DNB: 'cyberaanvallen' zijn snel toenemend risico

De Nederlandsche Bank waarschuwt in een vooruitblik op 2018 dat 'toenemende digitalisering en technologische vernieuwing' de financiële sector kwetsbaar maken voor internetaanvallen. Daardoor zijn dit soort aanvallen volgens de centrale bank een toenemend risico.

In het onlangs gepubliceerde document schrijft DNB: "De toegenomen digitalisering en de onderlinge afhankelijkheden in de financiële keten maken dat cyberrisico's de financiële stabiliteit kunnen raken." Daarom kunnen internetaanvallen grote gevolgen hebben. Bijvoorbeeld doordat gegevens in verkeerde handen vallen.

Aanvallen worden volgens DNB bovendien complexer en richten zich niet altijd meer op klanten van banken. In plaats daarvan voeren aanvallers acties uit tegen de financiële instellingen zelf. Volgens de centrale bank kan hierdoor bijvoorbeeld de 'financiële keten' in het geding komen, wat betekent dat problemen bij één instelling ook gevolgen hebben voor andere organisaties in dezelfde keten.

DNB wil dat instellingen beter worden in het 'beheersen van cyberrisico's'. Om dat te bereiken, voert de organisatie onderzoeken uit. Onlangs maakte Het Financieele Dagblad bekend dat DNB met behulp van red teams de beveiliging van de financiële sector wil onderzoeken. Dit initiatief zou de naam Tiber dragen en aanvallen simuleren van georganiseerde criminelen en staten.

Internetaanvallen op banken komen af en toe in het nieuws, bijvoorbeeld een aanval op de Taiwanese Far Eastern Bank. Beveiligingsonderzoekers schreven deze toe aan de zogenaamde Lazarus-groep, die banden zou hebben met Noord-Korea. Deze groep zou ook verantwoordelijk zijn voor een hack op de centrale bank van Bangladesh.

IT-banen

Reacties (58)

kikker81 27 november 2017 12:21

Hoe meer de huidige financiele wereld onder druk staat vanwege hun gecentraliseerde afhankelijkheden, hoe beter dat is voor de koers van cryptocurrencies, het zal dus op een geven moment lonend gaan worden om swift plat te leggen.
Zorg dat je voor die tijd wat reserve geld voor noodgevallen in een bitcoin wallet hebt.

Verwijderd @kikker81 • 27 november 2017 14:16

Bij een gecentraliseerde tulpenbank zijn het aantal virtuele tulpen die ik heb automatisch verzekerd tegen cybercriminaliteit. Bij een gecentraliseerde eurobank zijn het aantal virtuele euromunten die ik heb automatisch verzekerd tegen cybercriminaliteit. Bij gealloceerd goud zijn mijn reëele staven goud opgeborgen in een stevige kluis bij een gecentralizeerde bank en bij fysieke criminaliteit op de gecentralizeerde bank zijn mijn reëele staven goud verzekerd tegen fysieke criminaliteit.

Bij een gedecentralizeerde tulpenwallet zijn het aantal virtuele tulpen die ik heb niet automatisch verzekerd tegen cybercriminaliteit.

Bij een fysieke tulpentuin zijn mijn tulpen niet verzekerd tegen mensen met bollenrazernij, tulpengekte, tulpenwoede of tulpengekte die mijn tuin komen leegroven. Maar ook niet tegen andere rampen, zoals natuurrampen. Tulpenmanie kan lelijk doen.

Bij een gedecentralizeerde bitcoinwallet zijn mijn virtuele bitcoins niet verzekerd tegen cybercriminaliteit.

Er is geen fysieke versie voor bitcoins. Ik vrees dat uw bitcoins daarom nog gevaarlijker zijn dan tulpen anno 1637. Maar goed, toen was de manie gestart in 1634, en brak de ineenstorting in in Haarlem dus pas na enkele jaren uit. Jullie bitcoinplakkers hebben dus nog wel een jaartje of zo ...

kikker81 @Verwijderd • 27 november 2017 14:33

Ik zou je iets beter inlezen, maar waarschijnlijk laat je cognitieve dissonantie dat niet toe

Of je bent in de beginperiode je private key kwijt geraakt.
Of je had de kans om bitcoins te kopen toen ze nog op 1 cent stonden.

Zit ik in de buurt?

Verwijderd @kikker81 • 27 november 2017 14:48

Het tweede dan. Maar op dit moment heb ik geen interesse in dure bitcoins. Maar daar gaat het hier ook niet over. Je zegt dat een gedecentralizeerd systeem beter beveiligd is tegen cybercriminaliteit. Dat zou kunnen. Zolang je systeem, dat jijzelf gedecentralizeerd bijhoudt, veilig is. Daar sta je nl. zelf voor in.

het gecentralizeerd systeem van de banken mag dan misschien veilig, of niet veilig, zijn. Het is in ieder geval verzekerd. Dat maakt het terug veilig. Plus hebben we gemerkt dat de Europese Centrale Bank het niet zomaar toelaat dat een bank overkop gaat. En die ECB kan zoveel geld als ze willen voorzien om zo'n bank te redden (moest dat nodig zijn). Voor bitcoins is dat allemaal niet zo.

M.a.w. worden je bitcoins gestolen: pech. Zijn je bitcoins niets meer waard omdat er geen handelaars mee willen handelen (zal afhankelijk zijn van de marktwaarde en marktstabiliteit van die bitcoins): pech. Verlies je je private key (zoals je zelf aangeeft een mogelijkheid): pech.

Dat zijn toch belangrijke argumenten tegen jouw stelling dat bitcoin veel veiliger is. Dat is gewoonweg niet zo.

kikker81 @Verwijderd • 27 november 2017 15:22

Hier heb je helemaal gelijk in. Als je meer vertrouwen hebt in verzekeringsmaatschappijen, politici en bankdirecteuren dan in wiskunde kun je beter al je geld bij een bank laten staan.

Ik heb liever dat een bank over de kop gaat zodra ze in de problemen komt. Slechte bedrijfsvoering dient te worden bestraft, dat haalt de rotte appels er uit.
En dat zou inderdaad heel zuur zijn voor de mensen die hun geld daar plaatsen, maar ik heb ook liever dat mensen gemiddeld iets meer verantwoordelijkheid nemen over hun geld dan ze nu doen. Omdat ik vind dat er vanuit (semi)overheden te veel misbruik wordt gemaakt van dat vertrouwen.

Maarja dat ben ik, een vreemde eend in de bijt, waarschijnlijk redeneert de meerderheid zoals jij doet.

Verwijderd @kikker81 • 27 november 2017 15:29

Die wiskunde beschermt niet tegen een aantal zaken zoals diefstal. Natuurlijk kan je wel wiskunde gebruiken om je private keys op een geëncrypteerd medium te zetten.

In ieder geval beschermt een contract je, afhankelijk van het contract, wel tegen diefstal. Ongeacht de wiskunde of wat dan ook die achter de cybercrimineel zijn inbraakpogingen zat (afhankelijk van wat er in je contract staat).

Wat de andere mensen doen, en rotte appels en zo, vind ik iets te weinig belangrijk wanneer het over mijn eigen bezittingen gaat. M.a.w. zal ik geen onnodige risico's nemen uit louter ideologische overweging.

Verwijderd @kikker81 • 27 november 2017 15:49

Je bedoelt bestraffen zoals met Dirk Scheringa ?

Wauw wat een straf heeft die gehad door de slechte bedrijfsvoering. En na het omvallen van zijn DSB lopen er nog zat gedupeerden rond en lijdt Scheringa gewoon weer een normaal leventje.

kikker81 @Verwijderd • 27 november 2017 17:11

Dat is bestraffen in het systeem zoals het nu gaat. Niet mijn gewenste scenario. Kan me voorstellen dat die Scheringa wel uit moet kijken, zou zelf niet prettig door het leven gaan als ik wist dat ik het leven van anderen gerruineerd had, die man moet altijd op zijn hoede zijn voor wraak acties.

Verwijderd @kikker81 • 28 november 2017 00:42

Dat is bestraffen in het systeem zoals het nu gaat. Niet mijn gewenste scenario. Kan me voorstellen dat die Scheringa wel uit moet kijken, zou zelf niet prettig door het leven gaan als ik wist dat ik het leven van anderen gerruineerd had, die man moet altijd op zijn hoede zijn voor wraak acties.

Waarom zou hij daar bang voor moeten zijn ? Ik denk dat je teveel films kijkt. Alsof mensen er bij gebaat zijn om iemand te vermoorden die hen geld gekost heeft :-/

In jou scenario zouden er dagelijks tientallen tot honderden doden of gewonden vallen door wraak acties merk ik al... Vergeet niet, overal worden wel fouten gemaakt - tot in de medische wereld toe!

Het systeem zoals deze er nu ligt is waterdicht. Bank onderuit? Jij krijgt (een deel van) je geld en het leven gaat door. Neem als voorbeeld dat gezin die werkelijk alles heeft verkocht om zoveel mogelijk bitcoin te verkrijgen. Nu hebben ze duizenden euro's als je het zou omrekenen. Het lijkt fantastisch, tot plots weer ergens iets fout loopt of de totale valuta onderuit dondert. Niets is zo onbetrouwbaar als crypto currency door het gebrek aan zekerheden. Zekerheden die het bankenwezen in de EU wel hebben.

TripleTech @kikker81 • 27 november 2017 16:26

Waarom zou slechte bedrijfsvoering bestraft moeten worden over de rug van normaal werkende burgers? Het is niet dat een entiteit zelf sturing geeft, het zijn nog altijd de bestuurders die verantwoordelijk zijn voor slechte bedrijfsvoering.

Voor het gemak neem ik even aan dat jij ergens in loondienst bent (midden-groot bedrijf). Stel de directeur, RvC etc maken er een potje van maar vullen wel hun eigen zakken. Tja pech voor jou als werknemer dat de zaak failliet gaat, had je maar meer verantwoordelijkheid moeten nemen om te werken bij een solide bedrijf. Dan vind je het toch ook fijn dat we in Nederland kunnen terugvallen op het UWV? (zoiets als het bankgarantiestelsel in Nederland, of ECB).

Ik ben van mening dat ook Bitcoin een lifecycle heeft. Het is allemaal happy en profit nu de koers een stijgende lijn is (media staat vol met rooskleurige verhalen over mensen die goed hebben geïnvesteerd). Over een jaar koop je wellicht een mooie Mercedes met 1 bitcoin, maar wie weet is diezelfde bitcoin een dag later een Porsche waard. Ga je toch mooi de boot in als de koers klapt en je geen Porsche maar een tweedehands Dacia ermee kan kopen.

Beleggen is een kunst en niet zomaar instappen omdat men dit op internet schrijft. Er zijn meer mensen die alles hebben verloren met beleggen dan zich financieel onafhankelijk hebben gemaakt.

kikker81 @TripleTech • 27 november 2017 17:26

Ik werk als freelancer en ik gruwel van zaken als een UWV, heb in mijn jeugd talloze ongeschoolde baantjes gehad bij grote bedrijven en ook een jaar of vijf een leuke functie bij een klein bedrijfje maar loondienst en alle verplichtingen en rechten die daar bij horen is helemaal niets voor mij.
Heb een keer een uitkering aan proberen te vragen maar werd zo gek van al die bureaucratie en formulieren dat het me minder vermoeiend en vervelend leek om gewoon weer werk te gaan zoeken.
Vond mijn half jaar contracten nog te doen, maar van een vast contract kreeg ik acuut de kriebels.
Als ik mijn geld bij een bank zou zetten en die bank zou het kwijt maken zou ik het de bank verwijiten maar net zo goed mijzelf omdat ik mij er niet genoeg van heb verzekerd dat ze netjes met mijn geld om gaan.
Gewoon de aard van het beestje dus dat ik wel iets in bitcoin zie.
Ik verwacht dat 1 bitcoin uiteindelijk op 0 (als het voorbij wordt gestreefd door een andere blockchain technologie) of in de miljoenen uit komt als het inderdaad de standaard onpartijdige munteenheid wordt in de wereld.

TheBlackbird @kikker81 • 27 november 2017 16:49

Het nadeel van banken overkop laten gaan is dat ze de hele economie met zich meesleuren. 'Too big to fail' was een veelgehoorde uitdrukking in 2008, en terecht denk ik.

Bitcoin is decentraal en dat heeft een aantal voordelen, maar evengoed ook een aantal serieuze risico's.

Overigens worden bitcoins op centrale exchanges verhandeld, en zo wordt het weer een centraal risico dat wellicht groter is dan banken want ze zijn niet gedekt (cf. MtGox).

kikker81 @TheBlackbird • 27 november 2017 17:13

Je kan bitcoins (en andere altcoins) ook verhandelen op de bitshares blockchain, die is decentraal.
Maar er zitten inderdaad risico's aan de bitcoin als je het vergelijkt met hoe het banken systeem nu werkt, in mijn optiek echter geen onoverkomelijke risico's.

AJediIAm @kikker81 • 27 november 2017 12:54

Ik zie geen verschil tussen banken en bijvoordeeld Crypto traders. Alle partijen zullen steeds vaker last krijgen van cyberaanvallen. Gezien het slechte trackrecord van Crypto traders verbaast het me dat mensen hun vermogen er nog durven te stallen.

Bas_f @AJediIAm • 27 november 2017 13:05

Jij hebt het over exchanges. Het is helemaal niet nodig om jouw "vermogen" bij een exchange te stallen. Je kunt prima zelf een wallet aanmaken en je vermogen daar bewaren.

Sissors @Bas_f • 27 november 2017 13:14

En jij denkt dat de beveiliging die de gemiddelde persoon op zijn thuis PC'tje heeft beter is dan die van banken is? Een flink gedeelte denkt al als ze van PostNL een trackandtrace.pdf.exe ontvangen dat het een goed idee is die uit te voeren.

kikker81 @Sissors • 27 november 2017 13:54

Dan zal dat geld van die gemiddelde persoon gejat worden.
Maar dat heeft voor de gebruikers die hun beveiliging wel op orde hebben geen consequenties.

Als je decentraal wil handelen kun je de applicatie van bitshares.org gebruiken (kun je ook lokaal vanuit de repository draaien).

Lange termijn geld zet je op een "paper wallet", transacties vanaf dit adres onderteken je met je private key vanaf Tails OS (https://tails.boum.org/) op een bootable USB.
En eenmaal ondertekend stuur je ze naar het netwerk vanaf je normale pc met een read-only wallet.

Het is wat omslachtig, maar echt niet onmogelijk ingewikkeld voor de gemiddelde gebruiker. Je kan alleen niet lui zijn omdat de bank je schade toch wel vergoedt.

Sissors @kikker81 • 27 november 2017 14:14

Ik wil ook niet ontkennen dat het mogelijk is. Mijn punt is echter dat elk systeem waarbij het geld van de gemiddelde persoon wordt gejat geen vervanging is van ons huidige systeem, waarbij dat reuze meevalt.

kikker81 @Sissors • 27 november 2017 14:30

Nee dat valt niet mee, de banken vergoeden het gewoon. Dus betalen we het met z'n allen. Er worden ontzettend veel euro's bij elkaar gepished en getrojand.

En die gemiddelde persoon zal gewoon iets beter zijn best moeten doen om op z'n geld te passen. Denk dat dat wel gaat lukken zodra het niet meer vergoedt wordt.

Verwijderd @kikker81 • 27 november 2017 15:00

Nu goed. We moeten ook met z'n allen electriciteitscentrale's bouwen om bitcoins te minen wiens private key soms verloren gaat. Daar is dan het milieu voor vernietigd voor ... niets. We hebben nu al véél te weinig electriciteit om de samenleving te doen draaien zonder electrische auto's. Komen daar nog een bende bitcoin-miners bij ook.

Geld bij creeeren is veel milieuvriendelijker. Plus het zorgt ervoor dat mensen zich nuttig en productief bezig houden.

sjongenelen @Verwijderd • 27 november 2017 17:57

Ja. Proof of work is outdated inderdaad.
Kom maar op met PoS!

Sissors @kikker81 • 27 november 2017 14:43

Sorry, maar daar kan ik het echt niet met je eens zijn. Zie bijvoorbeeld: nieuws: Schade door fraude bij internetbankieren is met 82 procent gedaald. Een paar miljoen aan schade door phishing en soortgelijken. Dat vind ik reuze meevallen tov de totale hoeveelheid betaalverkeer dat in Nederland gebeurd.

En ik vind het wel erg optimistisch om te stellen dat als het niet vergoed wordt dat mensen wel voorzichtiger zijn. Oh er zal vast een kern van waarheid in zitten, maar hoeveel mensen moeten al hun geld kwijt zijn voor dat het geval is? Dan lijkt mij het huidige stelsel toch nog een stuk fijner.

Verwijderd @kikker81 • 27 november 2017 15:16

Je gebruikt een bootable USB. Dat is niet erg veilig. Helemaal niet zelfs (omdat je jezelf veilig waant door Tails OS, terwijl dat dus niet zo is. En Tails OS zeker en vast een getarget systeem is, toch in ieder geval door veiligheidsdiensten). Je kan beter je Tails OS opstarten vanaf een read-only medium zoals een CD-ROM. Best ook op een systeem dat geen CD-R heeft, alvorens ze je er in tricken om een CD-RW disk te gebruiken en achter je rug je op-ingebroken Tails OS de re-writable CD opnieuw schrijft met een verborgen virus er in.

Als je je private keys wil kunnen schrijven gebruik je best een aparte medium dat los staat van je Tails OS zelf. Bv. een MicroSD dan. Best ook geen USB (zoek BadUSB op waarom niet). Ik weet niet zeker of MicroSD gelijkaardige problemen heeft als USB. Dan kan je trouwens ook eenvoudiger je Tails OS upgraden: gewoon nieuw CDtje branden, opstarten en met je aparte MicroSD kan je meteen terug met je bitcoins spelen.

Ik zou wel de verleiding weerstaan dat MicroSD ooit in een Windows computer te stoppen, uit gemakzucht. Tenzij natuurlijk de bitcoin crashed voor de cybercriminelen massaal bitcoin private keys gaan proberen te stelen. De cybercriminelen zijn nu vooral nog harde schijven aan het encrypteren om zo mensen bitcoins af te troggelen. Maar van zodra veel mensen bitcoin private keys op hun harde schijven hebben staan, gaan die zéker rechtstreeks gestolen worden.

ps. en edit: als je nog een oude diskette drive hebt, dan zou ik daar je bitcoin private keys opzetten. Volgens mij gaan niet veel cybercriminelen met hun tools zoeken op de mount point voor diskettes, en je kan die diskettes met dat plastiekje op read-only zetten (bepaalde diskdrives konden dat plastiekje wel negeren geloof ik, dus zo geen gebruiken dan). Dan is de media fysiek beschermd tegen schrijven en is ze toch eenvoudig te beschrijven door een kleine manuele handeling. Verder is zo'n diskette er snel uitgehaald. Daarna kan de malware niet meer aan de private keys he. Private keys zijn ook niet zo heel groot. Er passen een behoorlijk aantal van die dingen op één diskette.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:55]

kikker81 @Verwijderd • 27 november 2017 15:28

De private key staat niet op de usb stick.
Die is fysiek, die voer ik in als ik via tails op de usb stick een transactie onderteken.

De integriteit van mijn usb stick check ik met een sha1 checksum, als er dan iets aan de data wordt gewijzigd zie ik dat meteen.

Verwijderd @kikker81 • 27 november 2017 15:30

Dat klinkt dan inderdaad niet slecht.

sjongenelen @Verwijderd • 27 november 2017 17:59

Leuk idee, maar een floppy is te zwak qua levensduur wat mij betreft (water, magneet, verval).
Misschien zo'n grote megadrive floppy

Verwijderd @sjongenelen • 27 november 2017 18:19

Je kan ze nog steeds ook printen op papier als backup he.

sjongenelen @Verwijderd • 27 november 2017 18:37

Ja inderdaad. Ik heb wel mensen gezien op reddit die het op verschillende printers printen

codebeat @Sissors • 27 november 2017 19:13

Ja maar dat komt omdat bij een heleboel mensen de optie "extensie verbergen voor bekende bestandsformaten" aanstaat en je dus alleen "trackandtrace.pdf" ziet. Is echt een van de slechtere toevoegingen in Windows ooit, dat verbergen.

Sissors @codebeat • 27 november 2017 19:25

Klopt, dat is zo. Tegelijkertijd zou je hopen dat die rode popup die er komt dat je een gevaarlijk programma gaat uitvoeren een hint geeft dat het geen PDF is. En dat blijft het probleem zolang je een OS hebt waar je buiten een app store om dingen kan installeren (of een app store waarin zo ongeveer alles kan komen zoals bij Android), als de gebruiker de waarschuwingen negeert die het OS geeft.

codebeat @Sissors • 27 november 2017 20:09

Je geeft het eigenlijk zelf al aan, er zijn inderdaad mensen die op alles klikken en installeren, zelfs niet eens lezen wat het precies doet en welke services het gebruikt. Je kunt alles achter een muurtje stoppen om het allemaal wat moeilijker te maken maar dat is de kern van het probleem niet. Het is onwetendheid van de mensen. Dat zie heel vaak bij 'oplossingen', symptoombestrijding, een soort kat en muis spel, het maakt het alleen maar ingewikkelder door niet de oplossing bij de bron te zoeken. App store is leuk, geinig en een uitstekend verdienmodel gebleken maar nog steeds geen garantie dat er niets fout kan gaan. Al die zogenaamde beveiligingen kunnen ook belemmeringen zijn, dat je niet kan doen met het systeem dat wat je wilt. Daarnaast door alles maar af te schermen, creëer je ook een soort schijnveiligheid, mensen vertrouwen erop en juist dat 'gemak' zorgt er weer voor dat mensen minder alert worden. Eén foutje in het systeem en de gebruiker denkt niets fout te hebben gedaan. Het mes snijdt aan twee kanten.

Verwijderd @kikker81 • 27 november 2017 15:46

Ook in Bitcoin zitten vast en zeker zwakheden en als het al niet direct is dan wel indirect. Genoeg te vinden waarbij ook de nadelen van Bitcoin e.a. cryptocurrencies wel hun zwakheden kennen.

Ik zelf heb liever mijn geld bij een bank, valt de bank om ben ik tot op zekere hoogte verzekerd dat ik (een deel van) mijn geld links of rechtsom wel krijg. Wordt je wallet leeggeplunderd, ben je gewoon de lul daarin zijn namelijk geen garanties en kunnen zelfs geen garanties worden gegeven - geen enkele verzekeraar kan en zal dit "ooit" gaan dekken!

Verwijderd 27 november 2017 12:55

We hebben onszelf heel erg kwetsbaar gemaakt met dit internet. Tel daar nog eens de onveilige besturingssystemen zoals Windows bij op en je hebt een recept voor een (financiële) ramp.

Daarom vind ik het wel goed dat ABN AMRO laatst een phishingmail stuurde naar alle medewerkers om te zien hoeveel de attachment zouden openen. Er was een ophef over, maar dit is de enige manier om mensen bewust te maken van de gevaren. Een ander is om de beveiliging veel verder op te voeren, vooral op systemen die met de buitenwereld in contact staan, zoals email, maar dat leidt eerder tot een wapenwedloop dan dat het echt iets oplost.

Ik ben er wel voor om bij de volgende test mensen op staande voet te ontslaan als ze op een linkje klikken waarmee een virus binnen gehaald wordt. Vaak zijn er meerdere dialogs waar je 'ja' moet klikken voordat het virus uitgevoerd kan worden (bijvoorbeeld een PowerShell script binnen een Word document) en toch klikken mensen gewoon door.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:55]

TerraGuy @Verwijderd • 27 november 2017 13:55

Daarom vind ik het wel goed dat Rabobank laatst een phishingmail stuurde naar alle medewerkers..

Bijna goed, het was de ABN Amro

Inderdaad een goede actie, men denkt dat men wat krijgt, is niet meer zo alert en bam, virus is binnen.

De_Koele_Man @TerraGuy • 27 november 2017 20:00

De Rabobank heeft dit enkele jaren geleden ook gedaan, kan ik uit eigen hand vertellen!

Verwijderd @Verwijderd • 27 november 2017 15:09

Waarom worden die systemen niet beveiligd tegen het uitvoeren en/of opstarten van zulke scripts?

Waarom moet PowerShell kunnen op de user-account van een medewerker van de bank? Waarom moet het zelfs maar mogelijk zijn om Administrator rechten te verkrijgen op dat account? Waarom wordt dat account niet gewoon iedere avond volledig gewist en s' morgens vanaf het netwerk opnieuw aangemaakt? Wat moet er dan via de account-instellingen opgestart worden wanneer die Windows opstart? Waarom is dat zo?

En tja, waarom gebruikt men Windows als dat OS het onmogelijk maakt het dit soort zaken goed te beveiligen?

Wanneer het over USB stickjes gaat: waarom kan men een USB-stick in de computer die de bankbediende bij een bank moet gebruiken stoppen? Waarom zijn die poorten er? Waarom is er niet een systeem dat zeer goed beveiligd is, met allerhande scanners e.d., waar de medewerkers hun bestandjes van en naar een USB stickje kunnen schrijven (om het daarna op het beveiligde netwerk te zetten) moesten er medewerkers zijn die eigen bestanden van buitenaf nodig hebben (bv. documenten van de klanten, of zo).

Verwijderd @Verwijderd • 27 november 2017 15:30

Een goede vraag. PowerShell wordt voornamelijk gebruikt voor systeembeheer en daarvoor zou je systeembeheer rechten moeten hebben. Op Linux kan je systeembeheer commando's alleen als 'root' (Administrator onder Windows) uitvoeren.

Waarschijnlijk is het weer een kwestie van gemak boven veiligheid.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 20:55]

Verwijderd @Verwijderd • 27 november 2017 15:37

Op een UNIX zoals Linux doen we gewoon chmod -x bestandje.sh en wijzigen we de owner permissions van de directory en de file zelf zodat de gebruiker bestandje.sh niet terug executable kan maken (en ook geen kopie kan maken om dan de kopie executable te krijgen).

Voorts heeft vrijwel geen enkele UNIX, zoals ook Linux niet, de huidige directory in de $PATH staan. Wat toch een belangrijke aanvalsvector is wanneer het de malware in de vorm van scripts e.d. aangeleverd wordt. Bijna geen enkele UNIX, zoals ook Linux niet, hebben in de LD_LIBRARY_PATH de huidige directory noch de directory waar de binary staat, staan. Dus dat maakt dat je al in /usr/lib moet kunnen schrijven om shared object files (DLL files in Windows) te vervangen. Dat is ook een belangrijke aanvalsvector.

M.a.w. moest Windows niet vrijwel alles op een hersendode manier doen, dan zou ook Windows veilig te kunnen maken zijn. Maar doordat de generatie die Windows 95 heeft gemaakt allerlei hersendode beslissingen maakte die, nu, backward compatible moeten blijven, is Windows technisch gezien een vrij eenvoudig target.

Microsoft zou kunnen documenteren en/of het mogelijk maken dat de huidige directory nooit in PATH staat en dat enkel DLLs die in C:\Windows\System32 staan geladen mogen worden. Maar dan zou 97% van de Windows software niet werken, en zou zelfs zo'n 90% van Microsoft's eigen software niet werken.

Want vrijwel alle Windows programmeurs, inclusief de mensen die voor Microsoft werken, doen dit allemaal verkeerd.

lucatoni 27 november 2017 13:16

Tsja.....DNB die zelf aan de slag gaat met red teams....ik vind het overdreven. Ik werk zelf bij een NL grootbank, en weet dat er op dit vlak erg veel intern gebeurd. Ik weet ook dat DNB, dan wel ECB regelmatig over de vloer loopt om over alle ontwikkelingen iets te vinden (regulier toezicht). De laatste jaren merk je wel dat dit toezicht is veranderd en DNB een hoop taken naar zich toetrekt. Ik kan niet precies achterhalen wat hier de reden voor is. Dit is in mijn ogen een perfect voorbeeld: DNB moet vanuit de rol als toezichthouder beoordelen wat een financiele instelling doet aan cybercrime en of dat voldoende is en daarover rapporteren. Tegenwoordig heb je een 1e lijn (uitvoerenden), 2e lijn (risicobeheersing), 3e lijn (internal audit), 4e lijn (externe accountant) die hierover al iets vinden, en daar komt DNB dan nog eens boven. Wat is nu de toegevoegde waarde?

SieBRUM 27 november 2017 12:04

In ander nieuws: Water is nat

totaalgeenhard @SieBRUM • 27 november 2017 12:35

Lees:

Als keten in gevaar komt dien je zwakke schakels weg te nemen....

Bunq kan dus bank licentie kwijtraken..

Het is een subtiele waarschuwing en terecht.
.

Verwijderd @totaalgeenhard • 27 november 2017 13:55

Bunq is veel te klein om iets uit te maken. Als het mis gaat dan gaan ze gewoon failliet, net als DSB toentertijd.

Ze proberen grootbanken te bewegen om de beveiliging nog verder op te voeren, maar een licentie gaan ze echt niet intrekken, dan valt het hele financiële systeem om.

totaalgeenhard @Verwijderd • 27 november 2017 15:27

Van systeembanken kun je licentie niet intrekken.

Van kleintjes wel.

DevWouter @totaalgeenhard • 27 november 2017 13:14

Het is mij niet duidelijk hoe jij de link legt met Bunq, zou je dat kunnen toelichten?

Bunq is dit jaar voornamelijk in het nieuws geweest van een DDOS en het feit dat ze hun verdienmodel veranderde. Er is geen hack of een "breach of security" geweest. Alleen de beschikbaarheid van hun omgeving heeft hinder ondervonden.

Verwijderd @DevWouter • 27 november 2017 17:01

Ach, een goed geschreven mailtje naar de juiste (lees: zwakke schakel) medewerker en die beveiliging kan ook doorbroken worden. Dat is juist het probleem.

MSteverink @SieBRUM • 27 november 2017 16:42

Sterk afhankelijk van de temperatuur. Er bestaat ook water in vaste vorm, en in gasvorm.

Dat er wereldwijd steeds meer water in vloeibare vorm bestaat, en steeds minder in vaste vorm is bedreigend en een waarschuwing waard. Voor cyberaanvallen geldt hetzelfde.

Verwijderd 27 november 2017 12:54

Bitcoin anyone?

Zarc.oh @japie06 • 27 november 2017 11:58

'Cyber' is een afko van 'cybernetics', het studiegebied van communicatie en bedieningssystemen in levende wezens machines. Cybernetics is etymologisch afgeleid van het Griekse woord 'kubernētēs' (stuurman).

- Zie https://blog.oxforddictionaries.com/2015/03/05/cyborgs-cyberspace-csi-cyber/

koelpasta @Zarc.oh • 27 november 2017 12:58

In dit verband is het woord 'cyber' afkomstig van het woord 'cyberspace', waarmee een globaal informatienetwerk wordt bedoelt waarop mensen zich kunnen inpluggen.
Het woord heeft verband met, maar staat los van, het oorspronkelijke 'cybernetics'.
Het werd in deze betekenis voor het eerst gebruikt door William Gibson in zn vroege romans.
Het genre dat hiermee ontstond wordt 'cyberpunk' genoemd.

In de jaren 90 is het woord 'cyberspace' in belangrijke mate synoniem geworden met het 'internet' (of mischien eigenlijk het World Wide Web).
Hierdoor zijn we allerlei internetgerelateerde zaken gaan voorzien van een 'cyber-' prefix.
Woorden als 'cyberaanvallen' valt onder deze categorie.

cracking cloud @koelpasta • 27 november 2017 13:39

het is vooral een ouderwets woord.

Faeron @japie06 • 27 november 2017 11:37

Ja, het is een hype-term. Het is een dusdanig ruime term, dat het eigenlijk niks concreets betekent. Maar wat maakt dat uit? Het blijkt dat het woord 'cybersecurity' directies iets meer aanspreekt dan het oude, stoffige woord 'informatiebeveiliging'. Als het helpt, waarom dan niet? Het doel is immers dat de informatiebeveiliging / cybersecurity verbeterd wordt. Dus in plaats van je te ergeren aan het woord, kijk naar wat je ermee kan bereiken.

bantoo @japie06 • 27 november 2017 11:36

Het is anders een vrij normaal woord.

Erycius @japie06 • 27 november 2017 11:39

Verplichte XKCD:
https://xkcd.com/1573/

florisjan @japie06 • 27 november 2017 11:40

(Het voorzetsel 'cyber' geeft aan dat het woord in kwestie eigenlijk slechts bestaat dankzij de opmars van computers. Zo is er het begrip 'cyberpunk', een SF-genre dat sterk afhangt van ideeìn uit de computerwetenschappen.

-webwoordenboek.be

CAPSLOCK2000

Security
Netwerk en systeembeheer

@florisjan • 27 november 2017 14:28

@japie06 Kom bij de Bond Tegen Cyber!

Iedereen die het woord "cyber" gebruikt zou onmiddellijk computer-impotent verklaard moeten worden en worden ontheven van alle verantwoordelijkheid op dit vlak. Het woord wordt vrijwel uitsluitend gebruikt door leken die interessant willen doen. Schrijvers van Science Fiction mogen dat, de rest kan het beter laten.

Extra strafpunten als je het over "de cyber" hebt, a la Trump.

[Reactie gewijzigd door CAPSLOCK2000 op 27 juli 2024 20:55]

Zoop @japie06 • 27 november 2017 11:43

Ik zie een advertentie staan op de frontpage over cyber monday, Tweakers zelf gebruikt het dus zelfs regelmatig.

Nha @Zoop • 27 november 2017 12:00

Omdat het woord gewoon van toepassing is. Sommige mensen klagen gewoon graag over toepasselijke woorden omdat ze het zelf nog niet kenden en plots veel gebruikt wordt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: