Winfried's Blog

My Links

Blog Stats

Archives

Post Categories

Algemeen

3xKloppen? 3x op je voorhoofd tikken zal je bedoelen!

Gisteren maakte de nederlandse vereniging van banken (NVB) bekend te starten met een voorlichtingscampagne veilig internetbankieren. Mooi initiatief op het eerste gezicht, toch rammelt het. Ik schreef in een eerdere blog al over de hack bij de ABN-Amro, waarbij criminelen in de kaart gespeeld werden door een beperkte beveiliging van het internetbankieren van de ABN-Amro. Nou sprak ik eergisteren toevallig op de infosecurity beurs met een vertegenwoordiger van Vasco, de producent van de kaartlezers die door verschillende banken in Nederland gebruikt worden. Zijn woorden: "Ach, ja de ABN-Amro... ze hebben zich niet aan onze richtlijnen gehouden".

Ik haal even twee quotes uit het persbericht van de NVB: "De banken voldoen op dit gebied aan strenge veiligheidsregels. Ze nemen de veiligheid van internetbankieren serieus." en "Het is belangrijk dat consumenten hun computersoftware, internetbrowser en beveiligingssoftware up-to-date houden".

Laten we even alles op een rijtje zetten:

  • De ABN-Amro bezuinigt op de beveiliging
  • Ze houden zich daarbij niet aan de veiligheidsrichtlijnen van hun leverancier
  • Ze liegen knalhard dat ze de veiligheid serieus nemen
  • Als oplossing moeten hun klanten hun zaken beter regelen
Eerst een probleem creëren, ontkennen dat je iets fout heb gedaan, het probleem afwentelen op je klanten en daarbij verwachten dat je klanten wel doen wat jij hebt nagelaten? Veel arroganter moet het niet worden.

Wat het er niet beter op maakt, is dat de banken in hun voorlichting heel dubbel zijn. Ze roepen steeds dat internetbankieren heel veilig is, maar uit kleine snippers informatie kan je opmaken dat het toch regelmatig mis gaat. De banken weigeren echter openheid te geven over wat er mis gaat, op welke schaal en hoe het mis kon gaan. Maar toch moet de consument van de NVB beter op de veiligheid letten. "Consumenten en banken hebben een gezamenlijk belang bij veilig internetbankieren" schrijft de NVB. Als ze samen met de consument de veiligheid willen verbeteren, dan moeten ze hun klanten wel serieus nemen en eerlijk zijn tegen ze. En de eigen zaakjes op orde hebben natuurlijk...

posted on Friday, November 02, 2007 10:39 AM

Feedback

# re: 3xKloppen? 3x op je voorhoofd tikken zal je bedoelen! 11/6/2007 12:45 AM Gaby Schilders

Om het hele 'geintje' nog een komische noot toe te voegen: probeer de '3xkloppen' site maar eens te benaderen met een dichtgetimmerde browser: javascript _en_ flash zijn nodig om de site te laten werken. Als ik beiden toe sta voor de 3xkloppen site blijkt dat flash-detectie alsnog niet werkt...

En laten we vooral niet vergeten dat de relatief veilige stiefkindjes Linux en MacOS jarenlang met de nek werden aangekeken door de internetbankiersites en nu nog steeds niet altijd even goed worden ondersteund.

De conclusie dat de banken toch vooral hun handen in onschuld wassen lijkt me dan ook meer dan gerechtvaardigd. Wat zou er gebeuren als iedereen besluit om weer op papier over te schakelen en daarvoor vooral geen extra kosten meer wil zien omdat de banken geen veilig alternatief bieden?

Valt als actie te overwegen, via de consumentenbond bijvoorbeeld. Nederlandse banken proberen toch vooral woekerwinsten te behalen over de rug van hun klanten, niet een goede dienst voor een redelijke prijs te leveren. Aandeelhouders zijn tegevenwoordig koning, met dank aan Dhr. Tabaksblat.

# re: 3xKloppen? 3x op je voorhoofd tikken zal je bedoelen! 11/6/2007 10:35 PM SH

De website werkt inmiddels ook met Javascript uitgeschakeld.

# re: 3xKloppen? 3x op je voorhoofd tikken zal je bedoelen! 11/17/2007 12:18 PM david

En dan zijn ze ook nog vergeten om http://www.3xkl0ppen.nl te registreren...

# re: 3xKloppen? 3x op je voorhoofd tikken zal je bedoelen! 12/1/2007 12:27 PM Winfried Tilanus

Dank voor de goede reacties!

Het is van de zotte dat je tot voor kort door veel banken gedwongen werd om een onveilig besturingssysteem en een onveilige browser te gebruiken. Dat maakt deze campagne inderdaad extra wrang.

Het domein http://www.3xkl0ppen.nl/ verwijst inmiddels naar de campagne-site van 3xkloppen, maar staat inderdaad op naam van iemand anders. Foutje van de NVB...

Inmiddels kwam ik een itempje tegen op, ik dacht 1 vandaag, over deze hacks. Een medewerker van Fox-it wist te vertellen dat er twee keer dit jaar klanten van de ABN-Amro bestolen waren en dat het in beide gevallen om 5 klanten ging. (Zou er bij 5 transacties onder bepaalde verdachte omstandigheden een belletje gaan rinkelen?).

Het meest bizarre blijf ik vinden dat de Nederlandse banken mondiaal gezien bij de koplopers horen wat betreft de beveiliging van het internetbankieren. Als je de berichten uit de USA leest bijvoorbeeld dan gaan je tenen helemaal krom staan.

Maar het blijft jammer dat de Nederlandse banken de veiligheid zo stom aanpakken: alle lessen die in andere sectoren van de ICT-branche zijn geleerd over beveiliging laten ze liggen. Ze blijven vasthouden aan de beveiligingstactieken die ze zichzelf eigen hebben gemaakt in de tijd dat een bank nog een gebouw met een kluis erin was. Als je als financiële instellingen echt mondiale koplopers wilt worden, ligt hier een mooie kans!

# re: 3xKloppen? 3x op je voorhoofd tikken zal je bedoelen! 2/22/2008 10:40 AM *Anna McMillan

Na jaren bij verschillende banken en verzekeraars op de werkvloer tussen te server-racks te hebben gespeeld, en daar eindeloos veel misstanden te hebben gerapporteerd, zo als inet-bankieren master-SSL Certificates die in op een zogenaamd military-grade secure machine staan in een stalen rack met alarm er op, maar via een test laptopje in 't LAN gewoon die Master Cert's er af te frutselen zijn zonder rechten, en SWIFT servers waar je met telnet op kan met "test001","test001", etc...etc..., zijn we maar eens naïef bij de Toezichthouders gaan uithuilen.

Toen werd het al snel duidelijk dat instanties als AFM en De Nederlandsche Bank helemaal niets Willen doen aan daadwerkelijke toezicht uitvoer, ze willen alleen af en toe een mooi rapportje hebben van de banken dat de IT afdeling zelf vind dat ze het goed gedaan hebben, en verder op hun luie zwaar overbetaalde ere-baantje gat blijven zitten.
De Heren aan de top bij die zogenaamde toezicht instanties spelen oost-indish doof als je ze direct aanspreekt met bewijs, en medewerkers onder in de boom geven toe dat ze van die technische kant geen verstand hebben en ook niet willen hebben, omdat het gewoon boekhouders zijn.

Waar Geen Wil is,...... is politieke corruptie.


Het zou wel redelijk goed kunnen, maaaar.... dan moet er even flink met een zweep overheen, en wat kennis&ervaring Gebruikt worden, ipv CMG en dergelijke jochies in duur pak er tegen aan laten blijven piesen met theoretische standaarden en afvinklijstjes...

Echt schande dat ze nu de burger weer laten bloeden vanuit een vakantie villa in Nice!

# Skimming of 'secure' payment cards has become reality 5/5/2010 4:36 PM Winfried's Blog

Post Comment

Title  
Name  
Url
Comment   

ATTENTION: the code you need to copy is CaSe SeNsItIvE and is required to prevent spam.
Enter the code you see: