Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 88 reacties
Bron: nu.nl

Home Net, het telebankprogramma van ABN AMRO is niet veilig. Zondag was op RTL4 in het programma hackers te zien dat het voor hackers eenvoudig is om betalingen die niet voor hun bestemd zijn op hun rekening terecht te laten komen. De programma's van de Rabobank en ING zijn beter beveiligd, hier lukte het hackers niet om in te breken. Het gaat nog enkele duren voordat ABN AMRO de problemen heeft opgelost. De consumentenbond vindt dat ABN AMRO het telebankieren stil moet leggen totdat de problemen zijn opgelost.

Zowel presentator Jeroen Pauw, die als klant van het telebankprogramma de overboeking maakte, als ABN Amro merkte niets van de kraak, waarbij duizenden guldens op een verkeerde rekening belandden. Omdat het gegevensbestand van Home Net niet is beveiligd, kunnen hackers ongestoord gegevens veranderen, zoals bedragen en rekeningnummers.

Bij de Rabobank en ING slaagden hackers er niet in het telebankieren te kraken. De telebankprogramma's van deze banken bleken wel te zijn beveiligd. In de documentaire erkent ABN Amro-topman G. Ensing dat telebankieren met Home Net riskant is voor gebruikers van internet. Hij verwacht dat het probleem op zijn vroegst over enkele weken uit de wereld is.

Comanal, Cableboy, Siberian, Goeiendagski, Kman, Bonobo, Maverick, jtpjc, Paul Pols, allemaal bedankt voor het submitten van dit nieuws!

Moderatie-faq Wijzig weergave

Reacties (88)

Ik heb het programma grotendeels opgenomen, dus als mensen het nog willen zien, dan kan ik er evt even een divx van maken en dit op een I-drive zetten. Mail even als je belangstelling hebt.

Update:
Het filmpje is te downen en te streamen vanaf :
media.hvu.nl/hackers.htm
Ja graag!!! Ik heb het niet gezien en zou het graag nog wel eens willen bekijken...

bvd
Ja, als je dat zou willen doen, wil je me dan even mail op micha@softhome.net? Dat zou ik erg waarderen.
Er zijn veel te veel misverstanden. Allereerst het feit dat er wordt gezegd dat de ABNAMRO zo'n slecht beveiligd pakket heeft, en dat andere pakketten zo veilig zijn. We hebben blijkbaar te maken met een prutser (die "cracker"), want als je bijv kijkt naar het ING-bestand waar de gegevens instaan. Dat is een Access-database met een wachtwoord erop. En dat stelt dus ook al helemaal niks voor. Rabo kan ik helaas niet beoordelen, daar heb ik geen ervaring mee.
Ten tweede is die newsgroup waar de boosdoener de email-adressen vandaan haalt NIET van de abnamro-zelf. Die kijkt daar ook niet in en reageert daar ook niet op.
Ten derde stuurt de abnamro geen bestanden op via email (enkele uitzondering maar dat is dan in overleg met klant)
Ten vierde heeft dit niks met de beveiliging van het pakket te maken.
Ten vijfde is dit allemaal gewoon persgeil, er gebeurt niks nieuws onder de zon, maar het wordt zo opgeblazen en mensen hebben het erover zonder dat ze weten waar't over gaat en klagen maar over de ABN..
Ten zesde staat de auteur bekend als een homenet-hater (zie posts van de betreffende persoon in newsgroups)
En zo is er nog een heleboel meer, maar ik ben te dom om alles te onthouden en op te noemen...
Tub.
Het verschil tussen deze pakketen en dat van de Rabo is het feit dat de data van de rabo paketen op de sever van hun staat en niet op de client computers en dus is er veel meer security voorhanden... de bank is niet afhankelijk van 3th party secrurity maar het staat gewoon op hun servers. en ze kunne er dus mee doen wat ze willen
Wat een absolute onzin om ABN hier de schuld van te geven. Jeroen Pauw in het programma: "We hebben hetzelfde programma geprobeerd om ING en Rabo, maar deze waren wél veilig".
Ja duh, als de trojan speciaal is geschreven voor ABN, logisch dat het dan niet op andere werkt. Is het zelfde als de service pack van Corel Office loslaten op MS Office...

En een update die je via email krijgt, terwijl er in Homenet zélf een speciale update functie zit ? Hoe dom kan een mens zijn !!

M.a.w: komplete onzin, hou je computer vrij van vreemde dingen. Dan overkomt dit soort dingen je niet snel.
Helemaal mee eens. En volgens mij ligt de fout ook bij het bedrijf dat het programma ontwikkeld. Die hadden natuurlijk beter moeten testen. En dan te bedenken dat 380 banken wereldwijd hun programmatuur bij dit bedrijf kopen.

Alles wat gemaakt wordt kan gekraakt worden. Het is echt supermoeilijk om iets te maken wat niet gekraakt kan worden.
Nee, de fout ligt niet bij het bedrijf dat het programma ontwikkeld. Dat zijn gewoon paupers die geen behoorlijke software kunnen maken. Of juist slimmerds die niet meer tijd in het product steken dan hun opdrachtgevers verwachten.

Want juist daar ligt het probleem: onkunde van de opdrachtgever om een ontwerp te beoordelen op geschiktheid. De figuren die het hardst roepen dat "De Bank" "digitaal moet" hebben over het algemeen de minste kaas gegeten van de technische achtergrond. En vragen vervolgens hun neefje "dat zo handig is met computers" om even zo'n "Electronic Banking" programma in elkaar te zetten. In wezen is voor veel van die figuren het hele computergebeuren een soort tovenarij. En zou jij een goede tovenaar van een slechte tovenaar kunnen onderscheiden als ze beide ogenschijnlijk hetzelfde kunnen? Dat bij de methode van de ene een enorme ontploffing kan ontstaan terwijl de andere voorzorgsmaatregelen heeft genomen kun je alleen beoordelen als je zelf iets van de "magie" weet.
Ik ben het gedeeltelijk met je eens: het is mischien waar dat de standaard updates niet via email plaatsvinden, maar ze moeten dit *duidelijk* communiceren in hun HomeNet handleiding. M.a.w.: bedrijven die zich bezighouden met dergelijke diensten moeten security experts in dienst nemen die dergelijke "user error exploits" in kaart brengen, zodat ervoor gewaarschuwd kan worden of dat het systeem ertegen gewapend wordt. (dat laatste lijkt me overigens een beter idee, daar je zo min mogelijk aan "het inzicht van de user" moet overlaten bij security zaken.)

Overigens heb ik ook een keer gelezen dat het grootste gedeelte van de network-intrusions (en ook bijv. inbraken in LANs) plaatsvinden door dergelijke "user error exploits" en *niet* door bruut hackwerk - de mens blijft een zwakke schakel. :)
Niet alle updates gebeuren via de client zelf.

Als je windows 2000 gebruikt, werkt de standaard versie (die ik heb iig) niet direct. Daarvoor had ik een update nodig, netjes aangevraagd via de helpdesk en binnen 2 dagen had ik een envelop met floppy in mijn brievenbus liggen...

Maar per email heb ik nog nooit gezien dat ze een update deden inderdaad...
Wat ik niet begrijp, is dat er niet gecontroleerd wordt, of het rekeningsnummer dat ingevuld is, het rekeningsnummer is van de naam die ingevuld is.

Zo heb ik van de Postbank ooit eens een boeking teruggehad, omdat ik een foutje maakte in het nummer. En ze zagen dat het nummer dat ik had ingevuld, niet van Pietje was.
Nee inderdaad, dat doen banken niet. Als je bij de postbank zit en je maakt wat over naar een andere rekening die ook van de postbank is, dan wordt inderdaad gecontroleerd of de naam bij het rekeningnummer hoort, de 'naam-nummer controle'. Maar als je NAAR een bankrekening overmaakt, gebeurt dat niet... immers, de postbank heeft alleen een database met haar eigen nummers en niet met nummers van de bank. Dus zou in principe op deze manier de postbank ook te misleiden zijn, want zij KUNNEN niet controleren en de bank waar het naartoe gaat KAN het wel maar DOET het niet. Als elke bank nou naam-nummer controle zou doen, zou er al een hele hoop minder gezeur zijn.
Het is heel simpel en gemakkelijk deze bug te verhelpen. Dat is namelijk (wat de giro nog steeds doet) een naam en nummer controle hanteren!!!

Dan zie je onmiddelijk als het naar een onbekende rekening gaat.
Damn, hoe moet ik mijn eigen reactie wijzigen.?

Maar oke, met naam en nummercontrole bedoel ik dus of de bank checkt of de betreffende naam overeenkomt met het bijbehorende banknummer. Kleine moeite, voorkomt veel vergissingen.
Als je al ingelogd bent zou er bij het "gezichtje" waar je op klikt om te reageren een potloodje staan. Ik vermoed dat pas ingelogd bent nadat je je tweede reactie hebt getypt. Als dat klopt kun je ook met het menu bovenin eerst apart inloggen.
De vraag is alleen: Wat is er nu precies aan de hand. Wie weet er meer van?
Wat is er aan de hand:

mbv een Trojan worden de betalingen die met Homenet in de wachtrij staan om te worden verzonden aangepast. Vooral uiteraard het rekeningnummer ;) Als de betaling wordt verzonden zie je alleen de begunstigde, maar die blijft hetzelfde.
Grove fout is natuurlijk dat de Bank niet controleerd of de begunstigde en het rekeningnummer overeenkomen.

Ik denk dat het nog maar eens benadrukt dat je je compu flink dicht moet gooien en toch vooral geen trojans toe te laten.

Bweeeh... dit is de reactie van de ABN :'(

www.abn-amro.nl/safety/indexframe

Ze verwachten binnen enkele weken een oplossing.
De pagina van ABN AMRO is wel erg misleidend, voor voortdurend te hameren op anti-virus software.
Jah, je moet eerst stom genoeg zijn om een trojan binnen te halen }>

De fout zit aan de client-side. Ze hebben afaik geen beveiliging doorbroken, want die was er niet :(

Op internet moet je gewoon uitkijken wat je waarvandaan download.

* 786562 Loki
De trojan werd slim binnengesluist.
De hacker zocht home-net nieuwsgroepen af naar problemen met home-net. Als hij iemand gevonden had deed hij zich voor als helpdesk van ABN-AMRO, en zei in een e-mail dat de ontvanger de bijgezonden update te draaien, dan zouden de problemen opgelost zijn, als je het bijgezonden programma starte kreeg je idd een scherm dat wees up een update, om de gebruiker niets te laten vermoeden.
Er is dus goed over nagedacht.
De reden dat juist ABN AMRO onveilig naar voren komt, is dat zij volgens mij werken met slechts een password beveiligd systeem. Als een gebruiker (via een trojaans paard verstuurd via de e-mail, zo werd het gepresenteerd namelijk) de beschikking krijgt over deze wachtwoorden, kan er eenvoudig gesleuteld worden aan de transactie. Bij het programma van gisteren werd ongemerkt het rekeningnummer veranderd.

Bij de Rabobank werken ze echter met een extra beveiligingsinstrument (digipas), waarmee via gegenereerde codes (op logaritmische basis) wordt gewerkt. Dat is veel veiliger, omdat je per se een digipas nodig hebt om een kraak te zetten.

Volgens mij had ABN AMRO dit ook kunnen leren van de Generale Bank waar vorig jaar volgens mij ook zoiets is gebeurd.

In de Telegraaf staat trouwens nog iets over de verantwoordelijkheid voor deze fout:
De Consumentenbond windt zich op over de affaire en
vindt dat ABN Amro het telebankieren onmiddellijk stil
moet leggen. "Wij nemen tevens aan dat de bank zich
volledig aansprakelijk stelt voor de door klanten geleden
schade", aldus een woordvoerder van de Consumentenbond.
Volgens mij is het bij de Rabobank zo dat bij fouten in principe de verantwoordelijk ligt bij de Rabobank zelf en niet bij de gebruiker.
Wat doet zo'n digipas dan precies? ABN heeft ook een of ander gadget om toegang te controleren, maar daar zat het probleem niet in. Het probleem is dat de client (Home Net software) een andere betalingsopdracht verstuurde dan de gebruiker dacht te versturen.
De digipas genereerd een code gebonden aan de tijd. Iedere heeft een andere code (of er zijn er heel veel). Met de gegenereerde code krijg je toegang tot je rekeningen.
Wil je een transactie plaatsen dan moet je mbv een extra code (gegenereerd door de server) nog een check doen. Deze code wordt door de digipas omgezet naar een authorisatie code.

Erg moeilijk te hacken lijkt mij. Je moet een soort digipas simulator programeren en dan nog veel gegevens van de klant achterhalen.
ABN-Amro werkt ook met een beveligingsmiddel gebaseerd op bezit, nl. een "calculator". De bank stuurt een code, die wordt op de calculator ingetoetst, die een andere code als resultaat oplevert. Vanzelfsprekend is de verstrekte code elke keer anders en het algoritme in principe onkraakbaar alleen gebaseerd op de codes die over en weer worden gestuurd.

Het probleem is dan ook niet de identificatie, het probleem is dat de gegevens die na de identificatie worden overgezonden onbeveiligd zijn en dus kunnen worden veranderd.

Overigens verbaasd mij dit eigenlijk helemaal niks. De software is op zich al bijzonder slecht (wat gebruik betreft), dus waarom zou het met de onderliggende mechanismen beter gesteld zijn?

\[Nee, dit laatste is geen getroll, Mr. "-1, Troll", dit is een (gegronde) mening. Jammer.]
Heb ik het goed? De Rabo heeft toch ook ooit hiermee problemen gehad? Pak um beet zo'n anderhalf jaar geleden?
nou wat ze toen bij de RABO gedaan hadden is dat ze een perfecte mirror site hadden opgezet.
Jij dacht dat het de rabobank was maar niks bleek minder waar het was de hacksite in dit geval waren het crackers

Tegenswoordigs staat er op de site
"Ga alleen verder als de adresregel begint met
https://betalen.rabobank.nl ...
(klik op Adres of Locatie; druk dan Home)
U bent er dan zeker van dat u communiceert met de Rabobank.
Bovendien, kregen ze alleen maar toegang tot de rekening van diegene. Ze konden geen geld overstorten.
Alleen werkte de Rabobank-hack met een .host file (een niet zo bekende feature (nee, ditkeer GEEN bug :)) van Windoos, waardoor er toch dat adres in de adres balk blijft staan, en je toch op een andere site zit te werken. Vraag me af hoe ze dat hebben opgelost.
Inderdaad, maar als goede bank ga je dan toch ook even bij je eigen programma kijken op het moment dat een concullega zoiets overkomt?

Ik kan me dat in ieder geval wel indenken.
auww.. da's toch wel een grove fout..

ook niet echt handig van abn, in deze tijd dat je bij zowat elke bank goedkoop kan telebankieren...
Maar alle banksoftware is dan ook onveilig. Je moet hier eerst een trojan binnenhalen, maar er zijn ook trojans zoals BackOrifice die je hele PC remote kunnen laten besturen.

Daarmee kan je de Rabobank en ING software vast ook besturen.

Dus aan de ene kant oud en niet nieuws. Aan de andere kant vrij ernstig dat het nog steeds niet is opgelost.
Je kunt dit niet remote besturen. Ten eerste heb je passwords nodig en ten tweede bestaan er ook nog de calculatoren. Zonder deze kun je nooit je eigen digitale handtekening meesturen. Wanneer dit niet gebeurt worden de gegevens niet verzonden.
Op zich klopt dat, maar de 'cracked version' doet gewoon wat de originele tool ook deed, immers het geld moet worden overgemaakt!, alleen omdat je de bestanden gewoon kunt lezen (daar verbaasde ik me al over toen ik het in een vlaag van verstandsverbijstering vroeger eens gebruikte) en het 'destination' rekeningnummer wat de klant ingeeft, DAT wordt bij versturen veranderd. De ABN is al jaren enorm triest bezig voor wat betreft het integreren van hun diensten met internet: steeds weer wordt er gekozen voor een externe tool, en wordt er NIET gekozen voor bestaande middelen, zoals bv de Rabo dat doet.
sterker nog... het is evt. mogelijk om in twee-in-een toe te passen...
1. je stuurt iemand backorifice of iets dergelijks toe
2. je gooit een ftp deamon open die in die trojan zit
3. je upload de crack voor homenet
Homenet is niet veilig omdat de databestanden gewoon leesbaar zijn met iedere editor. maw: geen crypting, niks. Rabobank's telebankieren via internet maakt NIET gebruik van externe software wat in je browser plakt of een tool die naast je browser moet gebruiken, maar gewoon met een keygenerator en HTTPS. Die keygenerator is 100% secure en persoonlijk, je kunt er dus niets mee als hacker. (een keygenerator of digipas werkt zo dat op de server en in de digipas zelf om de x seconden een nieuw random nummer wordt gegenereerd. Alleen degene met de pincode van de digipas kan dat nummer uitlezen uit de digipas zelf, waardoor een hacker er geen vat op heeft). Omdat rabo ook geen additionele software gebruikt, is het hacken van die site niet mogelijk middels de bij abnamro beproefde methode.

Overigens werkt de methode die ze nu hebben gebruikt met homenet IMHO ook met Online Investor wat een java applet is die je apart moet installeren. Die is gewoon te decompilen, en middels een trojan bv te overschrijven. Jad had er geen enkele moeite mee :)
als je programma's laat draaien op een client heb je altijd beveiligingsproblemen aangezien je de client's beveiliging niet kan controleren !!

er zijn ook heel wat makkelijkere maniers om trojans binnen te krijgen zonder attachments
(kijk maar eens naar de windows 2000 telnet bug)
Ik denk dat je daar gelijk in hebt: Home Net vertrouwt de client en dat is een zwakke plek. Het gaat dus niet om een of ander implementatie foutje dat met een patch te verhelpen is. Ik ben dan ook benieuwd hoe ze het gaan oplossen.
Waarom bouwen ze in dat programma geen filechecker in die alle bestanden op integriteit check.
Zo zou je dus moeten kunnen voorkomen dat third party programma's gegevens in het programma kunnen veranderen.

Met deze hack actie bijkt maar weer eens dat je niet moet bankieren middels een programma maar gewoon rechtsreeks via internet moet bankieren.
Zoals de Rabobank met zijn telebankieren dit werkt gewoon via internet middels een 64 bits secure verbinding }:O en een digipas met een roelerende sleutel

Tja en die is moeilijk te kraken }:O
ABN AMRO werkt ook met een beveiligingsmiddel hoor, namelijk een calculator. Volgens mij roteert die de sleutel ook.
Over dat programma ben ik het (deels) met je eens.
Zoals de Rabobank met zijn telebankieren dit werkt gewoon via internet middels een 64 bits secure verbinding
De standaardbeveiligingsniveau's voor IE zijn 40 bits en 56 bits, geen 64. Voor het beleggersgedeelde op de Rabobank site is trouwens sinds een tijdje 128-bits encryptie vereist.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True