ABN AMRO was al op de hoogte van hackmogelijkheid

De ABN AMRO bank maakt zich steeds meer te schande. Dat er een simpele mogelijkheid voor hackers was in HomeNet om transacties te wijzigen is nog tot daar aan toe, maar dat de bank hier al een jaar van op de hoogte was is helemaal niet goed te praten. Studenten hadden in oktober vorig jaar al als test een werkend programma geschreven dat hetzelfde kon als het programma waarover afgelopen zondag bericht werd. Een programmeur gaf toen als reactie dat voor encryptie te veel systeembronnen nodig zouden zijn. Men verkoos dus lage systeemeisen boven beveiliging, zo meldt Nu.nl:

HomeNetPresentator Jeroen Pauw deed zich in de documentaire voor als een klant die elektronisch een aantal overboekingen plaatste. Door RTL 4 ingeschakelde hackers slaagden erin met de overboekingen van Pauw te knoeien. Hierdoor kwam geld op de verkeerde rekening terecht zonder dat ABN Amro iets in de gaten had. Soortgelijke pogingen bij de systemen van ING en Rabobank leverden geen resultaat op.

In oktober vorig jaar hebben twee studenten Informatica al contact opgenomen met de ABN Amro, omdat zij hetzelfde lek in Home Net geconstateerd hadden. Met het door hen geschreven programma waren ook het rekeningnummer en bedragen van overboekingen te veranderen.

De studenten zochten in oktober vorig jaar contact met de servicelijn van Home Net. Toen een reactie op zich liet wachten belden de studenten met het hoofdkantoor van de bank, waar ze na enig aandringen een programmeur aan de lijn kregen. Deze gaf aan dat de beveiliging te veel systeemkracht zou vergen: "Encryptie kost te veel processorkracht, aangezien je al 16 MB werkgeheugen nodig hebt voor telecommunicatie. We moeten het product geschikt houden voor 386 PC's."

Met dank aan irrelevant voor de tip.

Door Mark Timmer

05-09-2000 • 12:54

46

Bron: Nu.nl

Reacties (46)

46
46
34
9
8
7
Wijzig sortering
Grappige anekdote in dit kader:
Ik ging een beleggingsrekening openen bij de ABN en toen vroeg de baliemiep aldaar of ik ook Homenet wilde. Ik zei toen "nou, nee want ik bankier alleen via internet of niet. Ik ga geen extra modem aan mn netwerk hangen. De rabobank kan het ook via internet dus waarom jullie niet?"

Antwoord van ABN medewerkster:
"Ja maar bankieren via internet is niet veilig!!"

Oh wat een hypocrisie! :D

Over die encryptie: daar was toch allang bekend? 2 jaar terug moest ik eens mn wachtwoord opnieuw ingeven want ik had de tool opnieuw geinstalleerd (wel in andere dir). Ik was echter mn wachtwoord kwijt, en na 1 minuut te hebben rondgekeken in mn oude homenet dir kon ik het wachtwoord zo uit de logfile halen...

ik heb toen maar niet de moeite genomen nog langer met homenet door te gaan, dat moge duidelijk zijn!
AuteurAnoniem: 3689 @EfBe5 september 2000 13:07
HomeNet kan ook via internet hoor. Als je 'm instelt op "intranet" kan je gewoon via je kabelmodem homenetten. Doe ik ook.

Ik ben niet zo dom om zo'n trojan te starten, dus er kan toch niets gebeuren.
Weet ik, maar niet via een proxy. (mn internet verbinding loopt via een server met daaraan de cablemodem.)

verder vind ik dat als je bankieren via internet aanbiedt, je de internet technieken moet gebruiken, omdat die meer dan toereikend zijn. Ze gebruiken al die calculators, de spullen HEBBEN ze dus al (die dingen zijn nl niet goedkoop) en waarom dan niet de zaken goed inzetten. Naja, ze krijgen nu de kous wel op de kop.
Anoniem: 5975 @EfBe5 september 2000 15:03
OOK via een proxy, maar dan heb je OF een proxy wat geen socks ondersteunt OF niet goed geconfigureerd heb.
Ik draai zelf winroute dus alle netwerk verkeer is voor mijn applicaties toch transparant.
Hangt er vanaf, hier in Rotterdam bij Sonera kabel hebben ze blijkbaar die poort voor HomeNet geblokt en krijg je dus een foutmelding als je met DE bank wil connecten.
Anoniem: 11130 @EfBe5 september 2000 15:40
Zeg Otis, in welke logfile staat het password? }>...
Sja... ABN AMRO....

Ik mag nog steeds geen rekening openen bij hen omdat ik destijds mijn ABN pasje had gecopieerd. Bij de balie beweerde men consequent dat ABN pasjes niet gecopieerd konden worden en het simpele feit dat mijn copietje prima werkte (hebben ze zelf gezien!) werd niet geaccepteerd.
Daarna bij flappentap pincode vergeten, pasje ingeslikt, gewoon volgende pasje erin en prima werken. Dat kon natuurlijk niet en werd kennelijk ook door ABN opgemerkt: binnen enkele dagen was mijn bankrekening afgesloten, restant geld werd in beslag genomen - zonder enige kennisgeving, zelfs geen aangifte. Pasje heb ik hierna aan een ABN rayonhoofd kado gedaan
Maar tot op heden sta ik bij ABN Amro blijkbaar nog steeds te boek als fraudeur.

ABN blinkt dus niet echt uit in het accepteren van mogelijke gevaren, hacks enz en steken zo te zien liever hun kop in het zand. En dan 'vergeet' ik nog even het hele WOL verhaal...
"Maar tot op heden sta ik bij ABN Amro blijkbaar nog steeds te boek als fraudeur"

Hmmmm, waarom zou dat nou zijn. Je staat vast op hun "5 most wanted list".
Banken zijn net olifanten. Ze hebben een groot en langdurig geheugen ;)
De studenten zochten in oktober vorig jaar contact met de servicelijn van Home Net. Toen een reactie op zich liet wachten belden de studenten met het hoofdkantoor van de bank, waar ze na enig aandringen een programmeur aan de lijn kregen. Deze gaf aan dat de beveiliging te veel systeemkracht zou vergen
Hmm, ik heb bij het lezen van dit bericht enigzins een gevoel van deja-vu, M$ riep vorige week iets vergelijkbaars.

IMHO is dit een typisch voorbeeld van absolute arrogantie en geen enkele vorm van respect naar je klanten toe.

Hai, ik ben een bank, maak een leuk produkt om thuis te kunnen bankieren (hetgeen postitief mag worden genoemd), vervolgens wijst iemand mij op het grote lek in de beveiliging en dan reageer ik met "weet je wel wat dat kost...".

Als dat geen arrogantie is, dan weet ik het ook niet meer, zoiets mag van mij gerust juridsich worden aangepakt!

Ik kan hier werkelijk zo verschrikkelijk kwaad om worden, je moet het eens omdraaien: Hai bakn, ik wil deze maand eigenlijk even geen rente betalen, omdat ik rood sta.

Gevolg: dreigbrieven, deurwaarders, etc.

Als grote organisatie denkt men tegenwoordig alles maar te kunnen en dit soort berichten geeft mij de indruk dat dit soort bedrijven gewoon schijt heeft aan de klant (moet wel, anders had ABN in oktober echt wel iets ondernomen om het lek te dichten).

:(

Overigens scheept De Bank zich op de volgende wijze zijn klanten af:

www.abnamro.nl/safety/indexframe

Als klant kun je (voor zover ik kon zien) geen informatie vinden over dit probleem en ben je aangewezen op de media.

Tja, jammer...
Encryptie kost te veel processorkracht, aangezien je al 16 MB werkgeheugen nodig hebt voor telecommunicatie. We moeten het product geschikt houden voor 386 PC's
Dit is weer eens een typisch voorbeeld van de arrogante en intimiderende houding om 'lastige' [al dan niet] klanten het bos in te sturen.
Dat encryptie te veel processorkracht zou kosten en dat je 16 MB werkgeheugen nodig hebt voor telecommunicatie is grote flauwekul. Het opbouwen van een verbinding met een modem duurt al zo lang, dat er wel een extra minuutje af kan om een gigantische stoot berekeningen uit te voeren, zelfs op een 8080. En 16 MB voor telecommunicatie. Hallo?
Toch wel erg vreemd die studenten een programmeur aan de lijn kregen bij het hoofdkantoor, en dat juist een programmeur zo reageert. Mijn ervaring is dat er bij dit soort systemen juist erg veel aandacht aan beveiliging en data integriteit wordt besteed.
Hmm, deze is ook wel aardig:

www.abnamro.nl/homenet/

Vraag:

Ik heb gehoord dat HomeNet onveilig is. Is dat waar?

Antwoord:

HomeNet is veilig. Zover er al sprake is van een risico, dan is dit eerder gelegen in de gebruikersomgeving –de computer- en het gebruik van internet

Conclusie: Klant je moet niet zeiken, áls er al iets mis zou zijn, dan is dat je eigen schuld!

(Komt uit de meest gestelde vragen aan de helpdesk).

:r
Ik was laatst op een banen beurs waar de ABN/AMRO ITers aan het werven was. Dus ik vraag aan zo'n vent in pak wat ze nou belangrijk vinden bij een sollicitant. Het kwam er op neer dat je goed moest kunnen communiceren werken in team verband en de rest van de hele management bla, en dat programeer kunsten eigenlijk nauwelijks meetelde. Ze hadden liever iemand die helemaal niets van informatica wist (maar het wel wilde leren) en een vlotte babbel had. Dat programeren kon iedereen namelijk zonder al te veel moeite leren, maar die vlotte babbel was aangeboren ofzo.
In ieder geval de IT afdeling van de ABN/AMRO zit volgens mij vol met mensen die met hun vlotte babbel hun onkunde verbergen.
Mensen die het programma zondagavond hebben gezien. Weet je nog wat die kerel van ABN zei?
Dit is de eerste keer dat we geconfronteerd worden met dit probleem
Ja, niet dus.
En over dat verhaal dat encryptie te veel proc-kracht kost. Wie draait er nu HomeNet op een 386?

Het programma van Rabobank was niet gevoelig voor de trojan, dus waarom zou het programma van de ABN dit wel zijn alleen omdat ze geen encryptie erin hebben gezet?

Misschien een leuke nieuwspoll: Wie draait HomeNet op een 386.
* Ik
* Ik draai wel HomeNet, maar niet op een 386
* Ik heb nooit HomeNet gebruikt
* Ik gebruik HomeNet sinds zondag niet meer
Het aantal mensen dat op de eerste optie stemt zal wel nihil zijn, dus de overige mensen die het programma wel gebruiken, maar niet op een 386 zijn eigenlijk de dupe :(

---edit---
Ik herinner me net dat me vader wat aandelen ABN heeft... ooopss :(
En over dat verhaal dat encryptie te veel proc-kracht kost. Wie draait er nu HomeNet op een 386?
Grappig dat je dat zegt, op de ABN site kun je ook zien dat je HomeNet voor Windows hebt, en daarvoor MOET je een Pentium hebben (zegt diezelfde ABN), da's toch wat anders als een 386?

Kortom: ze hebben maar wat geroepen...
[off-topic]

In principe kun je een versie van Windows 95 (laten we zeggen de A release :r ) draaien op een 486, met 8 MB.

Ik zeg je kunt het draaien, want je wilt het niet. (Performance van nix... :P )

[/off-topic]
en daarvoor MOET je een Pentium hebben (zegt diezelfde ABN),
het gaat hier duidelijk om wat ABN ervan zegt GO
lukt ook op een 386 met 12mb, alleen hd werd beetje krap met office enzo...
Ja, hallo...
dat dat Rabobank programma niet gevoelig is voor de trojan moge logisch zijn: het gaat om een heel ander programma
Overigens, ik telebankier nog steeds via homenet, ook na deze hack meldingen. Ik accepteer gewoon geen trojan progs en vind homenet voor de rest prima werken.
Zoch zou het leuk zijn als ABN AMRO nog wel een keer met encryptie komt.
HomeNet kan ook via FTP werken. Dus dat werkt gewoon over je Internet verbinding.

Toch ben ik niet echt bang voor dit probleem. Gewoon een kwestie van gezonde wantrouwendheid tegen mailtjes die je van onbekenden krijgt.
Gewoon een kwestie van gezonde wantrouwendheid tegen mailtjes die je van onbekenden krijgt
Heb je het programma zondagavond toevallig gezien? Nou, daar legden ze dus uit hoe ze mensen die trojan in de maag splitsten. Ze zoeken in nieuwsgroepen waar homenet gebruikers komen naar emailadressen. Dan mailen ze die mensen een "oplossing" voor hun probleem, ze faken het emailadres (dat kan iedereen) naar helpdesk@abn.nl ofzoiets en typen een zakelijk emailtje + attachement en voila. Een doorsnee Nederlander heeft het echt niet in de gaten hoor!
Ik ga toch maar eens een andere bank zoeken... :)

Nouja, het is natuurlijk gewoon dom dat dit soort financiele gegevens onbeveiligd op de harde schijf staan. Maar aan de andere kant, je moet eerst een Trojan binnenhalen voordat anderen er uberhaupt iets mee kunnen, en DAT kun je de ABN-AMRO weer niet verwijten.

En wie werkt er nu nog op een 386?? Zelfs mijn oma heeft een snellere PC :)
Nee dat is niet waar. Als je op een netwerk zit en je hebt je harddisk geshared dan kan iedereen die die share kan benaderen en er op kan schrijven (dat komt meer voor dan je denkt) en de dir van homenet kan benaderen met schrijfrechten de opdrachten wijzigen. dat zijn nl gewoon ascii batch bestandjes.
met die bug van in outlook hoefde je niet eens je post meer te openen.. kan er zo geen trajon geactiveerd worden?
en trouwens.. hoe vaak krijg je geen mailtje van je collega met een grappig programmatje eraan? zo'n ding is vaak sneller geopend omdat je denkt dat het dat conversieproggie is dat je had gevraagd
Tsja, net effe gebeld met de "service"-desk van Homenet.
Erg onproffesioneel allemaal:
1. Ze kunnen niet zeggen welke antivirus het virus ondersteunt. (na aandringen blijkt: geeneen)
2. Ze weten niet hoe het heet (de medewerker die ik kreeg noemde het "trojan horse" ;) )
3. Ik vraag dan ten einde raad de bestandsnaam en dat weten ze zelfs niet.
Volgens mij wordt iedereen voor het lapje gehouden zo. En helaas moet ik me bij Byte aansluiten, dat wij als gebruikers waarschijnlijk ALTIJD de l.l zijn !
Op dit moment IS er nog geen virus, er is alleen aangetoond dat het op deze manier KAN gebeuren. Nog niet echt iets om je zorgen over te maken dus.

Op dit item kan niet meer gereageerd worden.