Zo konden onder andere gegevens worden bekeken over het saldo van de betreffende persoon, en zijn laatste transacties. Als de gegevens gemanipuleerd zouden worden, zou het zelfs mogelijk zijn om transacties te genereren, zoals het overschrijven van bedragen naar 'je eigen geheime rekening in Zwitserland'.
Aangezien de informatie in netwerk zo beperkt was dat ik er geen touw aan kon vastknopen (natuurlijk om hackers niet op een idee te brengen... of zouden ze zelf geen idee hebben waarover het gaat?), heb ik zelf het een en ander uitgezocht. Als je denkt dat deze post bedoeld is om paniek de grond in te drukken: helaas. Het gevaar is wel degelijk reëel. MAAR! er is een oplossing voor, die helaas niet genoemd is bij Netwerk.
De site van de NCRV geeft een link naar een beveiligingsbedrijf, die het voor Netwerk heeft uitgezocht. Daar wordt verteld dat het gaat om de manier waarop Microsoft Internet Explorer met beveiligingscertificaten omgaat. Voor de niet-technische fok!ker: een beveiligingscertificaat is een onderdeel van een internet pagina dat verzekert dat je ook daadwerkelijk met de bank praat, en niet met een ander. Internet Explorer controleert dat in bepaalde gevallen niet goed, maar geeft geen waarschuwing dat je niet met de verwachte site communiceert.
Voor de technische mensen: deze fout is begin augustus ontdekt, en is onder andere beschreven op de volgende sites:
http://www.tweakers.net/nieuws/22847 en
http://online.securityfocus.com/archive/1/286290/2002-08-05/2002-08-11/0
De oplossing voor deze fout staat hier beschreven:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-050.asp
Voor iedereen: Het probleem is te verhelpen door een update voor Windows te installeren. Deze is op te halen vanaf de Windows-update site (http://windowsupdate.microsoft.com) Het gaat om de beveiligingsupdate die beschreven is onder nummer Q328145. Deze update is niet geinstalleerd als je onlangs Windows XP Service Pack 1 hebt geinstalleerd, en ook niet met Windows 2000 Service Pack 3, je zult het dus echt met de hand moeten doen. Als je een andere versie van Windows hebt raad ik je aan om hier te kijken en door alle technische blabla heen te lezen.
Een andere oplossing is om een andere browser te gebruiken, zoals Netscape of Mozilla.
[Dit bericht is gewijzigd door Anton op 28-10-2002 21:42]
en ik had je dat ook wel kunnen vertellen hoor.
Alles wat je maken is kan je ook hacken op de 1 of andere manier.
Ik zeg altijd maar: Alle swat gemaakt wordt kan ook weer gekraakt worden.. Het is nou eenmaal zo, helaas.
Aan alles zit risico's...
grtzzz
nog sorry voor de lauwe posts... 
quote:Nee, dat is niet de essentie. Zo zouden kwaadwillenden ook geld van je rekening kunnen plukken. Aangezien alles wat jij verstuurt (ook al is het versleuteld) nu voor de "boze" cputer zichtbaar is.
Op maandag 28 oktober 2002 21:55 schreef flat_erik het volgende:
Ik gebruik internet bankieren via de Postbank en Abn-amro! Het maakt me niet zoveel uit dat anderen het kunnen zien.. Doe er toch niks bijzonders op maar het klopt toch niet :}
quote:Inderdaad, is nogal een tijd geleden bekend gemaakt. Maar Netwerk draait het altijd wel leuk in elkaar.
Op maandag 28 oktober 2002 22:01 schreef Dragonfly het volgende:
jeetje............wat een verschil zeg...nu ineens zo spontaan...zonder mijn posts.....ik wou alleen maar ff zegge!! dat het oud nieuws is...dit stond al weken geleden overal en nergens vermeld...ook op FoK..grtzzz
nog sorry voor de lauwe posts...
Voor mij geen internetbankieren
En een schopje richting DIG
Hoppa!
Q.E.D: Religion replaces ignorance with stupidity.
quote:
Op maandag 28 oktober 2002 22:01 schreef Jernau.Morat.Gurgeh het volgende:
offtopic meuk verwijderd.En een schopje richting DIG
Hoppa!
geweldig
Het vervalsen van transacties vergt nog wel wat meer werk, gezien je dan ook de code van de 'paslezers' moet kraken.
quote:succes.....zou niet bij abn amro doen......neem dan postbank, dat is wel okeee geregeld!!
Op maandag 28 oktober 2002 22:02 schreef ghettoman het volgende:
Thnx voor de link, ik doe nu aan internetsparen en ga binnenkort ook girotellen
quote:Idd, als een collega van plan is je af te luisteren, moet-ie wel heel wat tijd over hebben om de boel voor elkaar te krijgen.
Op maandag 28 oktober 2002 22:03 schreef MSXUser het volgende:
Tsja, binnen een bedrijfsnetwerk kun je natuurlijk makkelijk een sniffer installeren. Ethernet blaast z'n signaal overal naar toe (in tegenstelling tot token-ring), dus is het heel makkelijk om het dataverkeer te volgen vanaf een willekeurige PC in het netwerk. In ieder geval niets nieuws onder de zon.
Het vervalsen van transacties vergt nog wel wat meer werk, gezien je dan ook de code van de 'paslezers' moet kraken.
En met alleen switches ipv hubs is het afluisteren ook al moeilijker, omdat een switch de data niet naar alle NICs stuurt, in tegenstelling tot een hub.
quote:Waar wij 'em met open armen ontvangen
Op maandag 28 oktober 2002 22:01 schreef Jernau.Morat.Gurgeh het volgende:
offtopic meuk verwijderd.En een schopje richting DIG
Hoppa!
Deze update zal neem ik aan ook wel op Windows Update te vinden zijn trouwens?
quote:Speciaal voor Tijn:
Op maandag 28 oktober 2002 22:06 schreef Tijn het volgende:[..]
Waar wij 'em met open armen ontvangen
Deze update zal neem ik aan ook wel op Windows Update te vinden zijn trouwens?
quote:en nog een linkje (speciaal voor Tijn): http://145.7.225.35
Voor iedereen: Het probleem is te verhelpen door een update voor Windows te installeren. Deze is op te halen vanaf de Windows-update site (http://windowsupdate.microsoft.com) Het gaat om de beveiligingsupdate die beschreven is onder nummer Q328145
quote:
Op maandag 28 oktober 2002 22:09 schreef MSXUser het volgende:[..]
Speciaal voor Tijn:
[..]en nog een linkje (speciaal voor Tijn): http://145.7.225.35
Damn you
quote:Met een sniffer kom je echt niet achter het banksaldo als de verbinding met de webserver van de bank ge-encrypt is hoor. (En die van ABN-AMRO is 128 bits encrypted)
Op maandag 28 oktober 2002 22:17 schreef lzandman het volgende:
Tja, die bug was inderdaad allang bekend. Maar zo schokkend vind ik dit nog niet, hoor. Een sniffer zou misschien wel je saldo en rekeningoverzicht kunnen zien
<knip>
quote:Jawel, dat is nu juist de bug. Je kunt als een soort man-in-the-middle tussen die verbinding gaan zitten. En dan kun je dus sniffen, zoals op TV getoond werd.
Op maandag 28 oktober 2002 22:21 schreef K3 het volgende:[..]
Met een sniffer kom je echt niet achter het banksaldo als de verbinding met de webserver van de bank ge-encrypt is hoor. (En die van ABN-AMRO is 128 bits encrypted)
Lego de ga euh korfbal kampioen.
quote:en laat nu elk internet-bankier-persoon dat doen
Op dinsdag 29 oktober 2002 12:02 schreef Ajaxno1 het volgende:
Weer paniek om niks dus, als iedereen gewoon z'n updates download (vooral de beveiligings updates) dan is er niks aan de hand. En het lijkt me dat iedere systeem/netwerk beheerder deze updates download.
niet dus....
quote:Tis vooral gevaarlijk in een netwerk, over internet is het lastiger te realiseren.
Op dinsdag 29 oktober 2002 12:16 schreef MaffiaInc het volgende:[..]
en laat nu elk internet-bankier-persoon dat doen
niet dus....
En aangezien elk netwerk over het algemeen wel een netwerkbeheerder heeft die updates installeert, is het risico dus niet zo heel groot
quote:daar heb je een punt .
Op dinsdag 29 oktober 2002 12:17 schreef Tijn het volgende:[..]
Tis vooral gevaarlijk in een netwerk, over internet is het lastiger te realiseren.
En aangezien elk netwerk over het algemeen wel een netwerkbeheerder heeft die updates installeert, is het risico dus niet zo heel groot
Bij Telebankieren is het een ander verhaal, omdat je daar een gebruikersnaam/wachtwoord interface hebt. En die zouden ze idd kunnen achterhalen.
En als je rekening geplunderd wordt, is het toch de bank die er voor moet opdraaien. Je krijgt je euro's gewoon terug, dat zijn ze verplicht.
And it is impossible to live wisely and well and justly without living a pleasant life.
|
|
