Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties
Bron: Wildher ICT Solutions, submitter: ^herman^

Gisteren is het tv-programma Netwerk aangetoond dat internetbankieren zeker niet zonder risico is. Het bedrijf Wildher liet zien dat kwaadwillenden zonder al te veel problemen transacties konden afluisteren of zelfs aanpassen. Netbankieren Dit komt doordat het beveiligingscertificaat - dat zorgt voor de beveiliging van de verbinding tussen klant en bank - niet correct wordt aangestuurd door Internet Explorer. Vooralsnog is er geen andere oplossing voor het probleem, dan over te stappen op een andere webbrowser, aangezien daar de problemen al zijn verholpen. Hoe je kunt controleren of jouw beveiligingscertificaat en verbinding wel in orde zijn, kun je hier doen.

Moderatie-faq Wijzig weergave

Reacties (98)

1. de ABN zegt dit:
" Mocht u desondanks toch slachtoffer worden van deze vorm van criminaliteit, via een elektronische inbraak zoals door Netwerk werd gedemonstreerd, dan nemen wij de daardoor ontstane schade voor onze rekening."
Andere banken zullen op een zelfde manier reageren.
2. Zoals je al het dataverkeer kunt bekijken als het langs komt (dus verkeer op LAN zonder switch, je 'buren' bij sommige kabelboeren zoals Chello, en routers op Internet), zo kan ook de postbode, je buurman met gezamelijke brievenbus en de man van de postkamer in je post kijken.
3. Internetverkeer tussen mij en mijn bank gaat 'meestal niet' via Singapore
4. Data invoegen in een datastroom is volgens mij wel heel erg lastig. Hier zou je dus TCP voor de gek moeten houden met pakketvolgorde ???
5. Wanneer je, zoals bij de ABN, een sessiesleutel te pakken hebt heb je dus de kans van 1 op een miljoen om de volgende keer binnen te komen.
6. De eerdere ophef over Internetbankieren ging erom dat mensen naar de verkeerde site verwezen werden (zou kunnen door een entry in de file HOSTS) en dus dachten dat ze bij hun bank waren.

<< nog eentje toegevoegd>>
7. banken hadden jaren geleden een eigen veilige 'browser': de aparte software om te telebankieren via de telefoonlijn. handig?
1) En zo gauw je klaagt over een onterechte afschrijving verwijzen ze naar de algemene voorwaarde waar meestal staat dat je moet kunnen aantonen dat JIJ niks fout hebt gedaan wat de onterecht afschrijving mogelijk maakte. Wat voor de gemiddelde persoon waarschijnlijk niet mogelijk is.

2) Zelfs met switch kan je al het verkeer op een LAN afluisteren mb.v. arp-spoofing. Tenzij je professionele switches gebruikt met intrusion detectie.

3) Laat nu net ABN-AMRO een reclame spotje hebben waarin je een toerist in een internet cafe in een of ander aziatisch land (Singapore?) geld ziet overmaken.

4,5,6) Volgens mij hoorde ik iets over "Man-in-the-middle-attack". Hierbij wordt niet (via het "hosts" bestand of DNS spoofing) de klant naar een andere website geleid. Bij zo'n aanval wordt de beveiligde verbinding omgeleid naar de pc van de aanvaller die zelf wel een beveiligde verbinding opbouwd met de bank m.b.v. de gegevens die de klant opstuurt naar wat hij denkt de bank is. Dus zowel de klant als de bank denkt dat ze over een veilige verbinding met elkaar praten maar hebben niet door dat ze met de aanvaller praten die dus alles (onversleutelt) kan lezen en eventueel aanpassen.


-edit-
7) Wij hebben Homenet van ABN-AMRO wels eens geprobeerd. Nooit werkend gekregen, volgens de helpdesk was onze PC niet snel genoeg :?
hmmm vraag ik weet niet hoe het werkt bij chello maar is het niet zo dat je bij de kabel een kanaal toegewezen krijgt waarin je data verpakt zit zodat jouw verkeer niet te zien is door andere totdat al het verkeer natuurlijk aankomt bij de provider en daar alles bijelkaar komt op router/switch/hub?
[edit] homenet niet werken op wing98 zeker? moet je office net proberen dat werkt dan weer wel :)
Er wordt al heel lang en heel veel via internet gebankierd, dus ik snap niet dat ze zo'n simpele fout niet veel en veel eerder opgemerkt hebben.
(of zouden ze hem verzwegen hebben??)

en denk je dat iedereen elke keer bij het internetbankieren zijn slotjes na gaat kijken??
* 786562 Hawks
Binnen het bedrijfsleven en zeker het bankwezen wordt er een hoop verzwegen. Het gaat tenslotte om een hoop klanten.

Op het moment dat er een nieuw product of dienst door een instelling als een bank word ontwikkeld, wordt dit door talloze bedrijven onderworpen aan security scans.
Als je er bijv een tool als Etherreal tegenaan houdt, vliegt de informatie over je beeldscherm. Ik kan me niet voorstellen dat ze dit niet hebben gedaan tijdens de ontwikkel / demo fase van de dienst.
>>Als je er bijv een tool als Etherreal tegenaan houdt, vliegt de informatie over je beeldscherm<<

Helaas dus niet binnen een bestaande SSL-sessie met verwisselende sleutels niet genoeg tijd om de data te decrypten. Dus Ethereal als sniffer gebruiker is niet mogelijk.

Men heeft het expliciet over een Man-in-the-Middle attack op een lokaal netwerk, waarbij men inderdaad o.a. DNS foppen (t.b.v. van de URL).
Ook bij banken is het (in)zicht in technologie beperkt. Ik denk niet dat we er zomaar vanuit mogen gaan dat de banken moedwillig krakkemikkige Microsoft technologie door de strotjes van de klanten drukken.

Speaking of which....Bij Microsoft denkt men ook dat men veilige software bouwt en zie... men bedenkt een certificatie-plugin voor IE 8-)
Er wordt al heel lang en heel veel via internet gebankierd, dus ik snap niet dat ze zo'n simpele fout niet veel en veel eerder opgemerkt hebben.
Dit is geen fout in internet-bankieren, maar het is een fout in de manier waarop Internet Explorer het https-protocol geimplementeerd heeft. De banken gaan ervan uit dat ze, wanneer ze internetbankieren via https aanbieden, een veilig product hebben. Dat ben ik op zich met ze eens. Het enige wat ze kunnen doen is mensen op deze fout wijzen en wellicht druk uitoefenen op microsoft om hier snel iets aan te doen.
Sorry, maar hier ben ik t niet helemaal mee eens. Was het nou dat er in 1 of ander browsertje dat door enkelen wordt gebruikt, ben ik het met je eens. Maar Internet Explorer wordt door 90% van de mensen gebruikt, lijkt me dan wel logisch als je eerst even juist met die browser test of alles wel veilig is.

Ik gebruik pm 1 jaar internetbankieren van ABN. Ik ben altijd huiverig geweest voor dat electronisch bankieren, maar uiteindelijk toch overstag gegaan. Mede door de overtuigen waarmee de medewerker van de bank mij vertelde dat het absoluut veilig was, maar ook door enkele tests in pc-bladen. Er is nooit gerept over eventuele beveiligingslekken/browserproblemen. Achteraf was mijn achterdocht toch niet zo vreemd...

Gelukkig is, naar mijn mening wel te laat, het lek gedicht dmv een patch. Toch ken ik genoeg mensen die amper updaten en sommige zelfs helemaal niet. Mja, ook de consument heeft zijn eigen verantwoordelijkheden zullen we maar zeggen.
Ik kijk zelf altijd of er wel https:// voor staat hoor, als ik CC info of wat dan ook moet invoeren. Macht der gewoonte, maar het gebeurt toch echt wel hoor, en niet zo moeilijk om te doen :)
Ik weet niet of jullie allemaal het programma gisteren hebben gezien maar het probleem zit em niet zozeer in de gebruikte browser maar in de mogelijkheid om comunicatie op te vangen tussen de browser en de bank. Het is dus ook niet zozeer een gevaar voor de thuisgebruiker van internetbankieren maar het gevaar zit hem in de gebruiker die even vlug wat bankzaken doet op het werk. Daarvan kan de gegevens opgevangen worden (zoals ze dus gisteren lieten zien).

Het verhaal word dus als gewoonlijk weer opgeblazen, er is iets aan de hand maar een echt heel groot probleem is het ook weer niet. Daar komt bij dat bv saldo info ,comunicatiesleutel enzo kan worden uitgelezen maar om met die info overboekingen te doen is velen malen moeilijker.
>Het is dus ook niet zozeer een gevaar voor de >thuisgebruiker van internetbankieren maar het gevaar >zit hem in de gebruiker die even vlug wat bankzaken >doet op het werk.
Ik dacht al even dat ik de enige was die het gezien had...

A) Het geldt idd alleen maar op een netwerk, waarbij je medewerkers je gegevens kunnen ZIEN. Maar dat zijn dezelfde mensen waarvan je moet vertrouwen dat ze je portemonnee niet uit je jaszak die aan de kapstok hangt stelen...

B) Je kunt de gegevens dus NIET aanpassen, als je dat doet dan klopt de bijbehorende code van die transactie niet meer (die is berekend aan de hand van de opdracht), om die code OOK aan te passen zou de dief je pas+pincode+calculator moetren hebben...

Ik snap die "experts" van gisteren niet eerst zegt die ene letterlijk dat het alleen binnen een netwerk kan, dan zegt de volgende dat het dus ook vanuit singapore kan. Bovendien verzwegegn ze dus dat je transactie alleen kan aanpassen als je de codes kent, stelletje prutsers...
Heel scherp maar wist je dat als jij daar in het programma netwerk gaat zitten ook gelijk tot specialist word gebombadeerd? Dus het is maar de vraag of we het met echte specialisten te maken hebben gehad.
Het probleem zit hem zeker ook in de gebruikte browser omdat IE de enige browser is die het certificaat niet goed controleert. Dus alleen de combi van het gebruiken van IE en in een groot netwerk internet bankieren is gevaarlijk.
Dit komt doordat het beveiligingscertificaat - dat zorgt voor de beveiliging van de verbinding tussen klant en bank - niet correct wordt aangestuurd door Internet Explorer.
Bedoelen ze dan niet dat IE niet veilig is? Dat betalen en bankieren via internet niet 100% veilig is dat wisten we al, maar om nou te zeggen dat het niet veilig is omdat IE niet goed kan omgaan met certificaten vind ik wel wat ver gaan. Lijkt mij dat ze dan beter kunnen zeggen dat je een andere browser moet gebruiken. Of beter, dat banken hun eigen browser gaan lanceren speciaal voor het bankieren over internet.
Het "gewone" beveiligingsrisico van internet bankieren staat hier los van, IE maakt het nog wat minder veilig dankzij deze bug. (en what's next, zou ik er bijna achteraan willen zeggen, gezien de hoeveelheid bugfixes voor IE van dit jaar...)

En een aparte browser is natuurlijk totaal geen optie. Dan kunnen ze net zo goed weer de ouderwetse telebankier progjes tevoorschijn toveren, en die via internet laten werken i.p.v. inbellen bij de bank.
De kans dat iemand me op mijn kop slaat als ik net een pinautomaat heb bezocht is veel groter dan dat mijn internet bankier acties worden gekaapt.
Bovendien moeten ze het nog wel ergens heen sturen. En dat rekening nummer is dan bekend, inclusief de eigenaar. Het is best lastig om geld echt te laten verdwijnen.
Ben het met Ortep eens. Iedere idioot die een hand heeft waarmee hij en pistool kan vasthouden kan mij van m'n geld beroven of me dwingen te pinnen. Zelf al komen er script-kiddie-tools om de girotel te manipuleren, dan nog ligt de drempel hoger als bij een gewone beroving.

Bovendien. zag hier gisteren wat over op netwerk (dacht ik), de man noemde daar niet welke tools hij gebruikte om de data-stroom te onderscheppen, maar ik neem aan een packet-sniffer. Volgens mij werken die niet echt lekker op een geswitched netwerk. Wat toch veel netwerken tegenwoordig zijn.
Een packet sniffer is inderdaad makkelijker in een netwerk met bus structuur. Maar met IP spoofing kan je de 'man-in-the-middle' aanpak gebruiken waardoor bovengenoemde truc ook in een geswitched netwerk zal werken.
Een paar CT's geleden stond hierover een razend interessant artikel.
Theoretisch zou zo'n aanval overal vandaan opgezet kunnen worden, uit de netwerk aflevering van maandag werd echter duidelijk dat het bedrijf in kwestie die alleen vanuit een lokaal netwerk gedaan heeft. Of het daarbij om een geswitchte verbinding ging werd niet vermeld. Het wordt dan al VEEL moeilijker om achter de configuratie (DNS server, ip adres) van de aan te vallen machine te komen. De door hen gebruikte lab opstelling doet ook niet echt recht aan de realiteit : het ging hier dus om een 'onbewaakt' netwerk.
Niet voor niets werd door de aardige meneer van wildher aangeraden om internetbankieren thuis te doen (tenzij je kabel hebt natuurlijk, dat is in principe ook een lokaal segment), je zit dan namelijk achter een PPP verbinding (in mijn ADSL geval ook nog achter NAT/firewall), wat de praktische uitvoerbaarheid van deze truc tot vrijwel nul reduceert...
Gewoon naar een zwitserse rekening storten daar kennen ze bankgeheim geen haan die er naar kraait...kijk maar naar dat verhaal van Interpay hoe simpel het is geld te laten "verdwijnen.. B-)
Dat kan dus niet. Je zal eerst naar een Nederlandse bank moeten. Overschrijvingen naar een buitenlandse bank gaan zeer moeizaam. En als er sprake is van een misdrijf boeken ze het gewoon terug. OOK van een Zwitserse bank. Dat bleek ook uit dat verhaal van Interpay.
En dus zul je het geld moeten opnemen, smokkelen en storten in bijv. Zwitserland. Aangezien dat nogal lastig is wordt er vaak een omweg bevaren. Door het geld een aantal keer over te maken. (van een Nederlandse bank naar een bank met bankgeheim, naar een andere bank met bankgeheim en eventueel nog een aantal maal.) De Nederlandse authoriteiten hebben bewijs dat het geld van een Nederlandse bank naar bijv een Zwitsere bank is gesluisd en vorderen dat terug. Echter dit geld is al weer doorgesluisd en die transactie valt (meestal) wel onder het bankgeheim. Vandaar dat er vaak nog een aantal transacties gemaakt worden. Et volia :) Overigens is dat Zwitserse bankgeheim aan corosie onderhevig, en dat zou dus wel eens kunnen verdwijnen op de middellange termijn.
Netwerk en Wildher hebben een al langer bekend probleem aan de kaak willen stellen.

Al eind augustus was aangetoond dat het checken van certificaten door IE niet juist werd afgehandeld.
Dit kwam door een fout in het Windows OS (Cryptofuncties). Begin September heeft MS voor al z'n OSsen een patch uitgebracht die het probleem zou moeten oplossen.

Inmiddels zou internet bankieren voor dit specifieke probleem weer veilig moeten zijn. (Mits natuurlijk de laatste patches van MS zijn geladen).

Bij Internet Bankieren blijft het natuurlijk wel goed opletten!!!
De bug die wordt aangestipt zit hem in IE, maar die is wel degelijk gepatcht: zie
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/MS02-050.asp

Ik kan ook met een ongepatchte browser aantonen dat het gebruik van die browser niet correct is.

Verder is het gebruik van invalid certificates mbt bankzaken erg lastig, om de doodeenvoudige reden dat www.banknaam.nl het certifcate afgeeft en als je de juiste url intikt je ook het juiste certificate krijgt en niet, zoals gesuggereerd, een foute. Iemand die dus de juiste URL intikt is safe. Een eenmaal gecommuniceerd certificate zal dan zorgen voor encryptie tussen server en browser waarna de keycard beveiliging verder gecommuniceerd wordt. Transacties zijn dan NIET af te luisteren noch te wijzigen.

Al met al een normale Netwerk uitzending: veel lawaai, weinig waarheid.
Weer een reden om over te stappen naar andere browsers...

Jammer dat er nog een aantal sites zijn die niet goed werken op bijv. Mozilla.
Jammer dat er nog steeds zoveel mensen cq. bedrijven zijn die geen html kunnen of hun site zo bouwen dat hij er alleen in IE goed uitziet.
IE houdt zich niet aan een aantal standaarden waardoor sommige websites er in haar browser wel goed uitzien, maar niet in andere browsers.
Een goed voorbeeld is Jotti, die met het bouwen van de template van zijn forum gewoon volgens de standaarden werkt, maar op bepaalde plekke foute html moet gebruiken om het er in Internet Explorer goed uit te laten zien...
Wat denk je dat die mensen die die sites bouwen belangrijker vinden:
- Het ziet er goed uit in Internet Explorer: de klant is blij, want nu kan 97,5% van de mensen zijn site goed bekijken.
- Het ziet er goed uit in Mozilla, maar IE heeft er moeilijkheden mee / het ziet er niet goed uit. De klant is boos omdat zijn site voor de meeste mensen lelijk is.

Natuurlijk zou het beter zijn als iedereen dezelfde standaard zou gebruiken, maar je kunt moeilijk de sitebouwers de schuld geven dat IE gewoon bepaalde andere html tags gebruikt dan bijv. Mozilla/Netscape.

Volgens mij was het trouwens al een hele tijd geleden bekend dat Internetbankieren niet veilig was...

edit: gevonden: http://frontpage.fok.nl/news.fok?id=23205
Volgens mij was het trouwens al een hele tijd geleden bekend dat Internetbankieren niet veilig was...

edit: gevonden: http://frontpage.fok.nl/news.fok?id=23205
Dit gaat over electronisch bankieren en heeft te maken met de interpay systemen. Hierbij moet je al een incasso contract hebben, om het 'trucje' te kunnen doen. Verder ligt het probleem niet bij internet bankieren, maar bij de IE browser. Alle https is hierdoor niet zo veilig als wordt verondersteld.

Verder is nooit verondersteld dat IB 100% veilig is. het is altijd een afweging tussen wat beveilig je, hoeveel kost het om deze beveiliging te breken en wat levert dat vervolgens op.
100% veilig is onwerkbaar!
Ben ik ook met je eens, maar ik vind het wel jammer dat een bedrijf als Microsoft zijn monopoliepositie min of meer gebruikt als argument om van de standaarden af te mogen wijken.

Maar voordat er hier een flamewar gaat ontstaan en de boel nog verder off-topic gaat zal ik maar stoppen, want daar heb ik ook geen zin in :)
en als je wel volgens de standaard schrijft (zoals ik) dan zin er nogsteeds browsers die dit niet goed renderen. En het leuke is nou dat IE niet zo'n browser is, maar dat browsers als netscape, en opera vaak de standaard niet goed ondersteunen.
Je lult uit je nek. Natuurlijk is geen enkele browser perfect, dat kun je ook niet verwachten. Zowel IE and NS, als Mozilla hebben rendering bugs, en zullen dat ook altijd hebben.

Het is daarom ook altijd mogelijk om je pages voor browser x te developen, totdat alle bugs in browser x eruit zijn, en je code helemaal valid is volgens validators zoals http://validator.w3.org, en vervolgens in browser y te gaan kijken om erachter te komen dat het er toch niet helemaal hetzelfde uit ziet. Daaruit kun je echter nooit concluderen dat browser y de standaarden daarom minder goed ondersteund! Als je was begonnen met voor browser y te designen was je misschien wel veel minder lang bezig geweest met je page debuggen, en had het het in browser x er misschien ook wel niet uitgezien. Ook daaruit kun je niet concluderen dat browser x slechter is.

Als je echter objectief gaat kijken, zoals bijvoorbeeld de heren van http://www.richinstyle.com dat zul je zien dat IE toch echt een *aanmerkelijk* hoger aantal rendering bugs heeft dan Mozilla/NS6/7.

Ook zijn er een aantal zeer nuttige dingen, niet direct gerelateerd aan html/css waar IE totaal niets van bakt (en dan heb ik het nog niet eens over security... :P).

Probeer maar eens een PNGtje met transparante background te gebruiken in IE - IE maakt het gewoon grijs.... En nee, een GIFje gebruiken is geen *goed* alternatief! 256 kleuren behoort in de middeleeuwen thuis.
Stuur een emailtje naar de webmaster of het bedrijf van de website als je 'm niet goed kunt zien in Mozilla/Netscape.

Dat is de enige manier lijkt het wel om ze te laten inzien dat het gemakkelijker is wel goede code te maken...
En stel nou dat iemand's bankrekening hierdoor wordt leeggehaald, wie is er dan verantwoordelijk voor? :?
Krijg je je geld terug van de bank? Of van Microsoft? Of heb je gewoon dikke pech? :?
Voor zover ik weet, is een bank daarvoor verzekerd. Je krijgt het dus gewoon terug van de bank (zelfde concept als de bank een foutje maakt in je voordeel, gaat ook gewoon terug naar de bank)
Fout, je wordt geacht (lees de voorwaarden) er zeker van te zijn dat je met de server van de bank communiceert. Doe je dat niet, dan is dat een fout aan de client kant, niet een fout van de bank en je kunt ze daar niet verantwoordelijk voor stellen.

Wellicht dat je een kans maakt, zie ook de situatie met de gekopieerde pinpassen, maar in beginsel zijn de banken niet verantwoordelijk.
De ABN AMRO heeft al op zijn internet-bankieren site staan dat fout afgeboekte bedragen vanwege deze IE bug vergoed worden. Staat er trouwens pas na inloggen, ik heb het nog niet op de ABN AMRO site zelf gezien.
Ja, dat is exact de fout waar het om gaat.

En wat ook zo is: Microsoft heeft er inmiddels een patch voor uitgebracht, ruim een maand geleden nu al: http://www.microsoft.com/technet/security/bulletin/MS02-050.asp

Overigens was de uitzending van Netwerk erg vaag, er werd niet vermeld wat het probleem was, alleen via de site van de NCRV (die doorverwees naar de site van het bedrijf dat het onderzoek had uitgevoerd) kon je achterhalen dat het om de bewuste bug met de certificaten ging. Ook dat je met Mozilla en Netscape geen last had werd niet vermeld. Het is dus weer voor een groot deel paniekzaaierij.
Die patch lost maar de helft van de gevonden problemen op, en niet in alle browser/OS combinaties. De complete patch laat blijkbaar wel op zich wachten... :(

PS: als je die patch installeert zullen bepaalde correcte certificaten ook gewoon niet meer werken (mooie "bugfix").

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True