Bank gezocht

Mails die pijn doen aan mijn ogen:

"Beste cliënt,

Onze grootste zorg bij het internetbankieren is de beveiliging die ten alle tijde moet gegarandeerd blijven. Wij wensen als bank geen enkel risico te nemen door opdrachten te accepteren vanuit het 'afstandskanaal' waarbij de kans op een verkeerde authentificatie van de tegenpartij bestaat.

In het 'open' linux systeem hebben wij vandaag geen zekerheid  om een 'beveiligde' connectie echt 'afgeschermd' te houden. Daarom zijn er tot op vandaag nog geen ontwikkelingen gedaan om KBC Online for Business in combinatie met de connected cardreader bereikbaar te houden/maken op LINUX systemen.
Wellicht maakt u vandaag gebruik van een 'sleutelbestand'  en paswoord waarvan we  binnen enkele maanden afscheid zullen nemen. Het beveiligingsniveau van deze security daalt zienderogen  en nadert inderdaad zijn einde. Onderzoek- analyse en ontwikkelings-inspanningen om een eigen LINUX oplossing te creëren zijn momenteel te duur in verhouding tot het aantal gebruikers.


Wij waarderen dat u bij ons cliënt bent en wensen langs onze zijde dit ook zo te behouden maar kunnen spijtig genoeg niet ingaan om uw vraag omwille van technische onvolkomenheden en budgettaire beperkingen. "

Getekend, KBC-helpdesk bedrijven.
Zorgwekkend bericht voor diegenen die KBC Online for business met sleutelbestand gebruiken, lijkt me...

wannes (not verified)

Thu, 07/07/2011 - 11:32

Kijk eens wat ik lees bij de eerste /willekeurige/ andere bank.
"5 goede redenen waarom Dexia Direct Net Business vanaf nu 'uw ding' is:
...
onmiddellijk te gebruiken op Windows, Mac en Linux"

Wel rare systeemvereisten verder (FF1.x en hoger)
Werkt verder gewoon met digipass blijkbaar.

wannes (not verified)

Thu, 07/07/2011 - 11:33

In reply to by wannes (not verified)

Bij nader inzien, vraagt Dexia volgens mij /altijd/ de m2 knop en extra bevestiging. Dus echt vooruit ben je daar niet mee.

Een bank die niet failliet gaat is moeilijk.

BNP gebruikt een "digipas" cardreader token. Just works. Benieuwd wat KBC ervan zal vinden als alle Linux-gebruikers plots met al hun bezittingen vertrekken. Beetje vervelend en mogelijk kostelijk om leningen enzo te verhuizen maar ... gewoon doen. Zichtrekeningen kan je meteen mee weg. Spaarrekeningen in principe ook.

Geen medelijden.

Wat is er mis met hun mail? Makes sense to me. (op wat typfouten na :-)
-> GNU/Linux biedt geen garanties voor veiligheid of andere garanties tout court. (zie GPL) Er kan in principe eender wat op gebeuren, want je draait gewoon software die geschreven is door semi-willekeurige mensen. Wat als er inderdaad een veiligheidslek zit in Linux/openssl of eendere welke andere software die je draait, waardoor met uw rekening gefraudeerd wordt? (bvb door andere transacties mee op te nemen die je zelf niet ziet)
-> van die sleutelbestanden ken ik niets, maar als ze zelf aangeven dat het stilaan onvoldoende wordt voor hun eigen strenge eisen en er daarom van gaan afzien, dan lijkt mij daar niets mis mee.
-> dat Linux ondersteunen een enorm budget opslorpt lijkt mij logisch (aangezien ze veiligheid moeten kunnen garanderen), en in feite praktisch onhaalhaar, als je alle distributies en hun updates in gedachte houdt.

Dusja, wat mis ik?
Dieter

Ik zal antwoorden met een tegenvraag: hoe kunnen ze dat voor Windows wel garanderen? Zijn daar dan wel garanties op? Heb je de EULA gelezen? :)
Voor alle duidelijkheid: het gaat hier om een webapplicatie. Tax-on-web en andere eid toepassingen zijn een mooi voorbeeld van hoe het wel kan.

Ik had het nog meer gewaardeerd als ze gewoon schreven dat het teveel kost of dat ze geen kennis hebben om het te ondersteunen dan met zo een absurde poging tot technische argumentatie.

Er zijn verschillende problemen met de GPL maar "veiligheid" van software die met de GPL geïnfecteerd is, is er geen van. Is proprietaire software dan niet door "semi-willekeurige mensen" geschreven? Ben ik meer of minder willekeurig als ik closed-source software schrijf dan als ik open-source software schrijf? Wat als ik betaald word om open-source software te schrijven? Verandert dat iets aan mijn willekeurigheid?

De GPL biedt exact dezelfde veiligheidsgaranties als iedere andere software-licentie: nul. Een software-licentie is hoofdzakelijk een instrument om garantie uit te sluiten. Louche organisaties zoals de Free Software Foundation en Microsoft misbruiken licenties ook om gebruikers het leven zuur te maken, maar dat is een andere discussie.

Wat betreft lekken in OpenSSL: een gebruiker van OpenSSL moet maar zien dat zijn software gepatcht is. Als ik me niet vergis, geldt dat ook in de Microsoft wereld? Of moeten die niet af en toe voorzien worden van patches? Neemt de bank verantwoordelijkheid als je transactie gehijackt wordt op een unpatched acht jaar oude Microsoft Windows installatie die deel uit maakt van één of ander botnet?

Verder moeten ze helemaal niet iedere Linux distributie ondersteunen. Als hun software zich naar standaarden gedraagt, zal deze op ieder platform gewoon werken. Het schrijven van systeemvereisten wordt dan veel eenvoudiger: "onze applicatie vereist implementaties van volgende standaarden: x, y, z". Ik weet niet hoe KBC werkt, maar BNP en Citi leveren in ieder geval geen native applicaties. Enkel een website waar je middels een "digipas" token moet inloggen. Ik kan me niet voorstellen dat het voor KBC onmogelijk zou zijn om iets gelijkaardigs aan te bieden?

Wat mis je dus: je gelooft dat er een verband bestaat tussen software-licenties en veiligheid. Verder ga je er van uit dat een banking applicatie "native code" is die ondersteund moet worden.

Fout dus.

Met het veiligheidsargument zijn de meeste open-source kenners het niet eens, maar zij gaan daarom niet van standpunt wisselen. Hun gebruikers-aantal argument is echter een cirkelredenering: we ondersteunen het niet, want niet voldoende mensen gebruiken het, want we ondersteunen het niet.

Bert de Bruijn (not verified)

Thu, 07/07/2011 - 17:20

KBC gebruikt ook een eenvoudige offline cardreader van Vasco voor persoonlijke rekeningen, net zoals de meeste andere banken. Werkt perfect onder Linux, en onder eender welk ander OS. Het probleem zijn hun bedrijfsrekeningen, die een ander (ISABEL-goedgekeurd) systeem gebruiken. Dat werkt met een andere smartcard (geen bankkaart), die in een online cardreader gestopt moet worden, en waarvoor een wachtwoord ingegeven moet worden in een applet op de computer. Dat werkt met weinig browsers, en weinig OSen. Het voorlopige alternatief: vraag/eis een persoonlijke volmacht op de bedrijfsrekening, zodat je de bedrijfsrekeningen ook kan zien in je persoonlijke KBC-Online. Dan zijn verrichtingen onder Linux geen probleem meer. Nadeel: je moet een persoonlijke KBC rekening hebben. Eis misschien een kostenloze lege KBC rekening met online-mogelijkheid ?

Zo werk ik nu. Probleem is die betalingen met M2 (firma... grotere bedragen) die dom geimplementeerd is. Ook al doe je 3 betalingen naar hetzelfde rekeningnr, je moet keer op keer M2 doen. Zelfs als dit een rekening uit je opgeslagen contacten is.
Daarnaast is KBC Online tegenwoordig niet bepaald snel en stabiel te noemen. Vandaar eigenlijk vooral mijn klachten. Als ze die gewone online fatsoenlijk laten werken, heb ik daar geen problemen mee. Maar met dit soort onzinmails krijg ik niet echt het gevoel dat er ginder iemand is die mijn probleem begrijpt.

Ik heb geen idee. De vraag is of je dat wel wil ook natuurlijk. Ze zouden ook gewoon een praktischer systeem kunnen implementeren voor beveiliging bij grotere bedragen, maar ik wed dat dit bewust niet gedaan wordt om klanten naar de iets duurdere business oplossing te pushen...

De codes die gegenereerd worden zijn niet alleen input-afhankelijk, ook tijd afhankelijk. Maar omdat de klok van de server en de klok van het apparaatje niet kunnen synchroniseren, zit daar wat speling op. Als je dus meerdere overschrijvingen naar dezelfde rekening moet doen, kan je - als je snel bent - dezelfde M2 return code gebruiken: de input is dezelfde (want zelfde rekeningnummer) en de timing zit dicht genoeg bij mekaar zodat het binnen de toegelaten marge valt.

Een kleine (<1K EUR) overschrijving moet je maar 1 keer bevestigen, en je kan dat 1 keer doen voor meerdere overschrijvingen tegelijk. Site toont overzicht van wat er ondertekend gaat worden, geeft challenge, jij berekent en submet de response, that's it.
Maar om een grote overschrijving (>1K EUR naar een rekening die niet van jezelf is) bij op die lijst te krijgen, moet je (per grote overschrijving) het rekeningnummer bevestigen waar het naartoe gaat. De challenge is dit keer het rekeningnummer van de bestemmeling.
M.i. heeft men dit ingevoerd om op die manier fake challenge-response dialogs die ongezien grote overschrijvingen zouden doen, onmogelijk te maken. Hopelijk vinden de bad guys <1K EUR niet interessant genoeg.

Bij Fortis is het wel zo dat het bedrag mee in de data zit waarop de challenge response gevraagd wordt en bij KBC niet.
Moest ik een fraudeur zijn die al zo diep toegang heeft, ik zou gokken op veel kleine overschrijvingen van verschillende rekeningen en niet één gigantische. Die valt direct op. :)

Jeroen Ost (not verified)

Fri, 08/07/2011 - 13:00

Bij Bank Van Breda (een kleine bank in vergelijking met KBC, enkel bedrijven en zelfstandigen) is linux een officieel ondersteund platform. Daar ziet men tenminste in dat zeker bij ondernemers linux een groot marktsegment is.

Er zijn genoeg alternatieven, wegwezen.

Jeroen Ost (not verified)

Fri, 08/07/2011 - 13:00

Bij Bank Van Breda (een kleine bank in vergelijking met KBC, enkel bedrijven en zelfstandigen) is linux een officieel ondersteund platform. Daar ziet men tenminste in dat zeker bij ondernemers linux een groot marktsegment is.

Er zijn genoeg alternatieven, wegwezen.

Eerst een onzinnig test-commentaartje posten en dan je spam, maar spijtig dat de spam direct gedelete was he, mijnheer Netbits? Geen nood echter. Ik heb ook de nodige abuse meldingen gestuurd naar je providers.

Luc, Ik heb je al gezegd op andere kanalen. Je kan banken niet veranderen, en je krijgt pas iets gedaan van hen als je hun lingua en hun regelspeak volgt. Bij KBC heet dat als bedrijf: "zeg dat je een mac hebt, want dat is wel ondersteund".

Procedure is als volgt:
- bestel KBC Online For Business. Je piept van niks, je vermeld ZEKER NIET dat je Linux hebt
- je ontvangt de smartcard en de cardreader.
- De smartcard gooi je weg, de CardReader is een perfect in orde vasco eID lezer, kan je houden of deel je uit aan iemand die nog geen heeft
- Je belt de business help desk, zegt dat het niet werkt op je MAC
- Ze sturen code om keyfile aan te maken naar je bankkantoor

Dit werkt al jaren perfect, op elk OS.

Ja, het is jammer dat ze geen Linux ondersteunen, ja het is nog veel zieliger dat ze een fake reden vertellen aan hun 1stliners. Maar bij elke bank moet je gewoon zorgen dat je hun taal spreekt, en de juiste procedures kennen om iets gedaan te krijgen.

Wij hebben (als bedrijf) zowel KBC als BNPPF (met M1/M2 ding) en ik prefeer by far de KBC methode!

Het klopt dat ze zeggen dat ze dit niet eindig gaan ondersteunen, maar dat zeggen ze nu al 5 jaar. Punt is dat zolang ze niks hebben voor Mac, ze het niet gaan uitfaseren. Veel kans dat als er iets nieuws komt dat ook Mac ondersteunt, het waarschijnlijk op Linux ook wel zal werken

Add new comment

The content of this field is kept private and will not be shown publicly.

Filtered HTML

  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.