Zo konden onder andere gegevens worden bekeken over het saldo van de betreffende persoon, en zijn laatste transacties. Als de gegevens gemanipuleerd zouden worden, zou het zelfs mogelijk zijn om transacties te genereren, zoals het overschrijven van bedragen naar 'je eigen geheime rekening in Zwitserland'.
Aangezien de informatie in netwerk zo beperkt was dat ik er geen touw aan kon vastknopen (natuurlijk om hackers niet op een idee te brengen... of zouden ze zelf geen idee hebben waarover het gaat?), heb ik zelf het een en ander uitgezocht. Als je denkt dat deze post bedoeld is om paniek de grond in te drukken: helaas. Het gevaar is wel degelijk reëel. MAAR! er is een oplossing voor, die helaas niet genoemd is bij Netwerk.
De site van de NCRV geeft een link naar een beveiligingsbedrijf, die het voor Netwerk heeft uitgezocht. Daar wordt verteld dat het gaat om de manier waarop Microsoft Internet Explorer met beveiligingscertificaten omgaat. Voor de niet-technische fok!ker: een beveiligingscertificaat is een onderdeel van een internet pagina dat verzekert dat je ook daadwerkelijk met de bank praat, en niet met een ander. Internet Explorer controleert dat in bepaalde gevallen niet goed, maar geeft geen waarschuwing dat je niet met de verwachte site communiceert.
Voor de technische mensen: deze fout is begin augustus ontdekt, en is onder andere beschreven op de volgende sites:
http://www.tweakers.net/nieuws/22847 en
http://online.securityfocus.com/archive/1/286290/2002-08-05/2002-08-11/0
De oplossing voor deze fout staat hier beschreven:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-050.asp
Voor iedereen: Het probleem is te verhelpen door een update voor Windows te installeren. Deze is op te halen vanaf de Windows-update site (http://windowsupdate.microsoft.com) Het gaat om de beveiligingsupdate die beschreven is onder nummer Q328145. Deze update is niet geinstalleerd als je onlangs Windows XP Service Pack 1 hebt geinstalleerd, en ook niet met Windows 2000 Service Pack 3, je zult het dus echt met de hand moeten doen. Als je een andere versie van Windows hebt raad ik je aan om hier te kijken en door alle technische blabla heen te lezen.
Een andere oplossing is om een andere browser te gebruiken, zoals Netscape of Mozilla.
[Dit bericht is gewijzigd door Anton op 28-10-2002 21:42]
en ik had je dat ook wel kunnen vertellen hoor.
Alles wat je maken is kan je ook hacken op de 1 of andere manier.
Ik zeg altijd maar: Alle swat gemaakt wordt kan ook weer gekraakt worden.. Het is nou eenmaal zo, helaas.
Aan alles zit risico's...
grtzzz
nog sorry voor de lauwe posts... 
quote:Nee, dat is niet de essentie. Zo zouden kwaadwillenden ook geld van je rekening kunnen plukken. Aangezien alles wat jij verstuurt (ook al is het versleuteld) nu voor de "boze" cputer zichtbaar is.
Op maandag 28 oktober 2002 21:55 schreef flat_erik het volgende:
Ik gebruik internet bankieren via de Postbank en Abn-amro! Het maakt me niet zoveel uit dat anderen het kunnen zien.. Doe er toch niks bijzonders op maar het klopt toch niet :}
quote:Inderdaad, is nogal een tijd geleden bekend gemaakt. Maar Netwerk draait het altijd wel leuk in elkaar.
Op maandag 28 oktober 2002 22:01 schreef Dragonfly het volgende:
jeetje............wat een verschil zeg...nu ineens zo spontaan...zonder mijn posts.....ik wou alleen maar ff zegge!! dat het oud nieuws is...dit stond al weken geleden overal en nergens vermeld...ook op FoK..grtzzz
nog sorry voor de lauwe posts...
Voor mij geen internetbankieren
En een schopje richting DIG
Hoppa!
quote:
Op maandag 28 oktober 2002 22:01 schreef Jernau.Morat.Gurgeh het volgende:
offtopic meuk verwijderd.En een schopje richting DIG
Hoppa!
geweldig
Het vervalsen van transacties vergt nog wel wat meer werk, gezien je dan ook de code van de 'paslezers' moet kraken.
quote:succes.....zou niet bij abn amro doen......neem dan postbank, dat is wel okeee geregeld!!
Op maandag 28 oktober 2002 22:02 schreef ghettoman het volgende:
Thnx voor de link, ik doe nu aan internetsparen en ga binnenkort ook girotellen
quote:Idd, als een collega van plan is je af te luisteren, moet-ie wel heel wat tijd over hebben om de boel voor elkaar te krijgen.
Op maandag 28 oktober 2002 22:03 schreef MSXUser het volgende:
Tsja, binnen een bedrijfsnetwerk kun je natuurlijk makkelijk een sniffer installeren. Ethernet blaast z'n signaal overal naar toe (in tegenstelling tot token-ring), dus is het heel makkelijk om het dataverkeer te volgen vanaf een willekeurige PC in het netwerk. In ieder geval niets nieuws onder de zon.
Het vervalsen van transacties vergt nog wel wat meer werk, gezien je dan ook de code van de 'paslezers' moet kraken.
En met alleen switches ipv hubs is het afluisteren ook al moeilijker, omdat een switch de data niet naar alle NICs stuurt, in tegenstelling tot een hub.
quote:Waar wij 'em met open armen ontvangen
Op maandag 28 oktober 2002 22:01 schreef Jernau.Morat.Gurgeh het volgende:
offtopic meuk verwijderd.En een schopje richting DIG
Hoppa!
Deze update zal neem ik aan ook wel op Windows Update te vinden zijn trouwens?
quote:Speciaal voor Tijn:
Op maandag 28 oktober 2002 22:06 schreef Tijn het volgende:[..]
Waar wij 'em met open armen ontvangen
Deze update zal neem ik aan ook wel op Windows Update te vinden zijn trouwens?
quote:en nog een linkje (speciaal voor Tijn): http://145.7.225.35
Voor iedereen: Het probleem is te verhelpen door een update voor Windows te installeren. Deze is op te halen vanaf de Windows-update site (http://windowsupdate.microsoft.com) Het gaat om de beveiligingsupdate die beschreven is onder nummer Q328145
quote:
Op maandag 28 oktober 2002 22:09 schreef MSXUser het volgende:[..]
Speciaal voor Tijn:
[..]en nog een linkje (speciaal voor Tijn): http://145.7.225.35
Damn you
quote:Met een sniffer kom je echt niet achter het banksaldo als de verbinding met de webserver van de bank ge-encrypt is hoor. (En die van ABN-AMRO is 128 bits encrypted)
Op maandag 28 oktober 2002 22:17 schreef lzandman het volgende:
Tja, die bug was inderdaad allang bekend. Maar zo schokkend vind ik dit nog niet, hoor. Een sniffer zou misschien wel je saldo en rekeningoverzicht kunnen zien
<knip>
quote:Jawel, dat is nu juist de bug. Je kunt als een soort man-in-the-middle tussen die verbinding gaan zitten. En dan kun je dus sniffen, zoals op TV getoond werd.
Op maandag 28 oktober 2002 22:21 schreef K3 het volgende:[..]
Met een sniffer kom je echt niet achter het banksaldo als de verbinding met de webserver van de bank ge-encrypt is hoor. (En die van ABN-AMRO is 128 bits encrypted)
quote:en laat nu elk internet-bankier-persoon dat doen
Op dinsdag 29 oktober 2002 12:02 schreef Ajaxno1 het volgende:
Weer paniek om niks dus, als iedereen gewoon z'n updates download (vooral de beveiligings updates) dan is er niks aan de hand. En het lijkt me dat iedere systeem/netwerk beheerder deze updates download.
niet dus....
quote:Tis vooral gevaarlijk in een netwerk, over internet is het lastiger te realiseren.
Op dinsdag 29 oktober 2002 12:16 schreef MaffiaInc het volgende:[..]
en laat nu elk internet-bankier-persoon dat doen
niet dus....
En aangezien elk netwerk over het algemeen wel een netwerkbeheerder heeft die updates installeert, is het risico dus niet zo heel groot
quote:daar heb je een punt .
Op dinsdag 29 oktober 2002 12:17 schreef Tijn het volgende:[..]
Tis vooral gevaarlijk in een netwerk, over internet is het lastiger te realiseren.
En aangezien elk netwerk over het algemeen wel een netwerkbeheerder heeft die updates installeert, is het risico dus niet zo heel groot
Bij Telebankieren is het een ander verhaal, omdat je daar een gebruikersnaam/wachtwoord interface hebt. En die zouden ze idd kunnen achterhalen.
En als je rekening geplunderd wordt, is het toch de bank die er voor moet opdraaien. Je krijgt je euro's gewoon terug, dat zijn ze verplicht.
quote:Ten zij je kan aantonen dat je zelf niet voldoende voorzorgsmaatregelen hebt genomen om je bankzaken te beschermen. Het niet updaten of het laten slingeren van gevoelige info kan je dus gaan aangrijpen als het onvoldoende beschermen van je bankgegevens.
Op dinsdag 29 oktober 2002 12:49 schreef Tarantino het volgende:
En als je rekening geplunderd wordt, is het toch de bank die er voor moet opdraaien. Je krijgt je euro's gewoon terug, dat zijn ze verplicht.
quote:Hij zit niet in SP3 idd, maar het is een preSP4, alleen vind ik het wel gek dat ik niet deze download aangeboden krijg bij Windows Update.
Op maandag 28 oktober 2002 21:37 schreef Anton het volgende:
Voor iedereen: Het probleem is te verhelpen door een update voor Windows te installeren. Deze is op te halen vanaf de Windows-update site (http://windowsupdate.microsoft.com) Het gaat om de beveiligingsupdate die beschreven is onder nummer Q328145.
quote:Het draaien van windows zou ik al aangrijpen als onvoldoende beschermen van je bankgegevens.
Op dinsdag 29 oktober 2002 14:23 schreef slakkie het volgende:[..]
Ten zij je kan aantonen dat je zelf niet voldoende voorzorgsmaatregelen hebt genomen om je bankzaken te beschermen. Het niet updaten of het laten slingeren van gevoelige info kan je dus gaan aangrijpen als het onvoldoende beschermen van je bankgegevens.
quote:Ben best wel benieuwd als Linux nou OS nr 1 was en Windows het Linux van nu, of je het dan andersom gezegd.
Op dinsdag 29 oktober 2002 15:01 schreef Aaargh! het volgende:[..]
Het draaien van windows zou ik al aangrijpen als onvoldoende beschermen van je bankgegevens.
Ben geen Linux kenner, maar Linux zal ook z'n lekken hebben, maar omdat Windows meer gebruikt wordt pakken hackers eerder Windows.
quote:Ware het niet dat de pinautomaten ook op NT draaien
Op dinsdag 29 oktober 2002 15:01 schreef Aaargh! het volgende:[..]
Het draaien van windows zou ik al aangrijpen als onvoldoende beschermen van je bankgegevens.
quote:Denk het niet, lees zijn postings er maar op na
Op dinsdag 29 oktober 2002 15:05 schreef Ajaxno1 het volgende:
Ben best wel benieuwd als Linux nou OS nr 1 was en Windows het Linux van nu, of je het dan andersom gezegd.
quote:
Op dinsdag 29 oktober 2002 15:05 schreef Ajaxno1 het volgende:[..]
Ben geen Linux kenner, maar Linux zal ook z'n lekken hebben, maar omdat Windows meer gebruikt wordt pakken hackers eerder Windows.
quote:Nee dus.
Op dinsdag 29 oktober 2002 15:05 schreef Ajaxno1 het volgende:
Ben best wel benieuwd als Linux nou OS nr 1 was en Windows het Linux van nu, of je het dan andersom gezegd.
quote:Er is een wereld van verschil qua security bij Windows en Linux. Linux (*nix system in het algemeen) zijn ontworpen met security in het achterhoofd, security is niet iets wat je er maar ff bijplakt, dit moet vanaf het begin in al je ontwerp beslissingen meegenomen worden. Bij windows 9x ontbreekt elk spoor van security daar is het OS niet voor ontworpen, het is gewoonweg niet aanwezig, er is geen rechten model, geen multi-user omgeving, niet eens fatsoenlijke afscherming van geheugen.
Ben geen Linux kenner, maar Linux zal ook z'n lekken hebben, maar omdat Windows meer gebruikt wordt pakken hackers eerder Windows.
Bij NT en afgeleiden lijkt dit al iets beter, de potentie is er iig wel maar de uitvoering is weer eens brak. het kernel van NT schijnt best heel aardig te zijn maar de uitvoering van de rest is wat minder. hoeveel mensen ken jij die XP draaien en een apart Administrator account hebben en een limited user account voor dagelijks gebruik hebben. ik maar bar weinig. Juist een OS met een doelgroep zoals windows moet de gebruiker DWINGEN om een user account aan te maken, en het gebruik van het Administrator account voor dagelijks gebruik zo onaantrekkelijk maken dat veel mensen dit niet willen gebruiken.
En dit is maar een van de vele voorbeelden.
Als jij onder windows een mailtje krijgt met een .exe en jij klinkt dit aan en het blijkt een virus te zijn, dan kan het je hele systeem vernaggelen. Op een *nix systeem is het ten eerste niet eens mogelijk om rechstreeks een programma vanuit een mail te starten (je moet het opslaan op schijf en executable rechten geven, dus een .jpg.exe truc zoals veel toegepast onder windows werkt niet omdat het systeem het simpelweg niet wil starten als programma). Zelfs als ik de file executable maak (waarom zou ik een jpg executable makene ?, maar goed) dan nog kan hij alleen schade aanrichten in mijn eigen home directory, de rest van het systeem blijft intact.
Idem voor lekken in IIS, 1 lekje in IIS en men kan als Administrator commando's uitvoeren (Code Red maakte hier gebruik van iirc). Als iemand m.b.v. een lek binnenkomt op mijn Apache server dan heeft ie geen root rechten maar alleen de rechten van user www-data, zo goed als niks dus, hij kan hooguit m'n website deleten.
Zo zijn er talloze redenen waarom windows niet secure is.
quote:Hmm mischien iets te snel gesproken, maar ik zei al ben geen *nix kenner. Dat IIS wist ik draai daarom als DEV server ook Apachce.
Op dinsdag 29 oktober 2002 18:06 schreef Aaargh! het volgende:Lap tekst
Maar een reden waarom mesen alleen een admin account draaien is omdat een limited user account onder XP nogal veel problemen geeft met het instaleren van software, en jah *nix systemen zullen pas popiulair worden als het OS een stuk gebruiksvriendelijker wordt.
BTW, ik vind diegene die dit bekend gemaakt heeft maar een beetje een sensatie zoeker, deze bug waarvan hij gebruikt maakt is al een stukje langer bekend en hij doet net of hij een heel groot lek ontdekt heeft.
quote:En dat is op wat voor manier een excuus ?
Op dinsdag 29 oktober 2002 18:28 schreef Ajaxno1 het volgende:
Maar een reden waarom mesen alleen een admin account draaien is omdat een limited user account onder XP nogal veel problemen geeft met het instaleren van software.
een limited user account hoort ook helemaal geen software te kunnen installeren, da's het hele fscking idee van een limited user account.
Ik werk standaard onder een luser account en als ik een programma wil installeren su ik ff naar root.
quote:Daar gaat het niet over, het gaat over security.
en jah *nix systemen zullen pas popiulair worden als het OS een stuk gebruiksvriendelijker wordt.
En ja *nix is heel gebruikers vriendelijk, het is alleen kieskeurig tegen welke gebruikers het vriendelijk is.
quote:Euhm, ik heb niet over mezelf hoor, maar over mensen die dit doen en de reden waarom, we zijn niet allemaal ICT-er. En wees nou eerlijk een gebruiker verlangt dat ie zelf op zijn EIGEN pc thuis simpel zonder al te veel te doen een programma kan instaleren.
Op dinsdag 29 oktober 2002 18:31 schreef Aaargh! het volgende:[..]
En dat is op wat voor manier een excuus ?
een limited user account hoort ook helemaal geen software te kunnen installeren, da's het hele fscking idee van een limited user account.
Ik werk standaard onder een luser account en als ik een programma wil installeren su ik ff naar root.
quote:Wat ik tot nu toe gehoord van *nix is dat het voorlopig niet zo gebruiksvriedelijk is als Windows, en iemand die een pc wil om te gamen/internetten en kantoor werk zal toch eerder kiezen voor het gebruikers gemak van Windows.
Op dinsdag 29 oktober 2002 18:31 schreef Aaargh! het volgende:
[..]Daar gaat het niet over, het gaat over security.
En ja *nix is heel gebruikers vriendelijk, het is alleen kieskeurig tegen welke gebruikers het vriendelijk is.
quote:Het is niet helemaal zo zwart-wit als Aargh het zegt. Google maar s
Op dinsdag 29 oktober 2002 18:36 schreef Ajaxno1 het volgende:Euhm, ik heb niet over mezelf hoor, maar over mensen die dit doen en de reden waarom, we zijn niet allemaal ICT-er
[..]Wat ik tot nu toe gehoord van *nix is dat het voorlopig niet zo gebruiksvriedelijk is als Windows, en iemand die een pc wil om te gamen/internetten en kantoor werk zal toch eerder kiezen voor het gebruikers gemak van Windows.
Maar ja er zijn mensen die niks beters te doen hebben 
quote:Ach dat is al zo oud als de computer bestaat.
Op dinsdag 29 oktober 2002 18:42 schreef Ajaxno1 het volgende:
Vind het trouwens al sneu genoeg dat we ons zorgen moet maken over "beveiliging" op je eigen huis pc en dat we een virus scanner moeten insatleren.Maar ja er zijn mensen die niks beters te doen hebben
quote:Een OS zonder security model etc. hoeft helemaal geen probleem te zijn, maar je meot zo'n machine niet met een untrusted netwerk zoals het internet koppelen.
Op dinsdag 29 oktober 2002 18:36 schreef Ajaxno1 het volgende:
Euhm, ik heb niet over mezelf hoor, maar over mensen die dit doen en de reden waarom, we zijn niet allemaal ICT-er. En wees nou eerlijk een gebruiker verlangt dat ie zelf op zijn EIGEN pc thuis simpel zonder al te veel te doen een programma kan instaleren.
quote:En dat dat een enorme klus geweest is om te migreren naar NT
Op dinsdag 29 oktober 2002 16:46 schreef slakkie het volgende:[..]
Ware het niet dat de pinautomaten ook op NT draaien
Blijft lachen een pinautomaat met een blauw scherm 
http://www.security.nl/artikel.php3?id=3786
http://www.abnamro.nl/frameset.html?/particulier/producten/indexframe-ibe3