Het is loffelijk dat banken hun klanten helpen bij veiliger bankieren via internet, maar met het pakket Trusteer Rapport bestaat de kans dat eindgebruikers zich ten onrechte veilig voelen. Dat stellen Computable-experts van het topic Security. Op verzoek van Computable namen zij het gratis softwarepakket onder de loep.
Nienke Ryan, managing director, SpicyLemon
De ING geeft zijn klanten een vals gevoel van veiligheid met dit pakket. De door ING aangeboden software wordt geactiveerd wanneer de browser start. Op dat moment worden een aantal Windows-modules, zoals bijvoorbeeld de schermafdrukmodule, geïsoleerd en zou malware hier theoretisch niet meer bij kunnen.
Een minpunt van deze methode is dat de software niet altijd een goede grip krijgt op systemen die al geïnfecteerd zijn, terwijl de gebruikers nu wel een vals gevoel van veiligheid hebben. Daarbij komt nog dat het agressieve gedrag van deze software veel antivirusproducten aan kan laten slaan. Wat als consumenten voor het gebruiksgemak de antivirusbescherming helemaal uitzetten?
Trusteer kijkt niet naar verdacht gedrag – de zogeheten heuristiek – van processen, wat goede antivirusbescherming wel doet en is ook geen firewall. Op het moment dat het systeem geïnfecteerd is en cybercriminelen toegang hebben tot de pc van een gebruiker, is de integriteit van het pakket natuurlijk ook in gevaar. Ik ben bang dat mensen het gevoel hebben beschermd te zijn met deze software, terwijl dit in feite een vals gevoel van veiligheid is.
En dat terwijl in de overeenkomsten van diverse banken, waaronder de ING, de algemene voorwaarden worden aangescherpt. Het belang van goede en up-to-date antivirusbescherming moet niet worden onderschat. Niet alleen om je pc en jouw gegevens te beschermen, maar omdat je anders ook gewoon je geld niet terug krijgt als je een cybercrime slachtoffer bent.
Jurgen de Poorter, pr-sales consultant, Crypsys
Wat consumenten zich moeten realiseren is dat Trusteer Rapport geen vervanging is van de normale virusscanner die is geïnstalleerd op de pc. Een veel voorkomende klacht over dit type beveiligingsprogrammatuur is dat het de browser vertraagt of zelfs laat vastlopen en daardoor een negatieve gebruikers ervaring oplevert.
De meeste gerenommeerde antivirusproducten hebben overigens al zogeheten plugins voor de meest gebruikte browsers, die het geïnstalleerde product instaat stellen het soort dreigingen waar Trusteer Rapport naar kijkt, te detecteren en direct op te ruimen.
Of en hoe Trusteer Rapport een aanvullende bescherming biedt is dus afhankelijk van vele factoren. Het is natuurlijk heel positief dat banken zich met dit onderwerp bezighouden en dit soort diensten aanbiedt aan eindklanten.
Cor Rosielle, Outpost24
Mijn eerste indruk is dat Trusteer Rapport weinig toegevoegde waarde heeft. Het bestrijdt malware, maar dat doet antivirussoftware ook. Het bestrijdt overigens niet alle malware, maar vooral malware die gericht is op bankieren en op een beperkt aantal sites. Verder richt Trusteer Rapport zich vooral op Windows. Er is ook een versie voor Mac, maar dan weer niet voor Safari. Ik bankier zelf veel via een app op een iPhone en die vond ik niet in de lijst van ondersteunde systemen.
De software wordt gratis aangeboden door Trusteer. Het is wel naïef te denken dat een bedrijf iets maakt en gaat onderhouden zonder er iets aan te verdienen. Als zij er geen geld voor vragen, dan vraag ik mij af waar zij wel aan verdienen.
Verder, omdat er malware bestreden wordt, zullen er frequent updates moeten plaatsvinden van kenmerken waaraan de malware herkend wordt. Omdat automatische updates niet zonder meer betrouwbaar zijn, is het aan te bevelen deze frequente updates in handmatige acties te downloaden, verifiëren en installeren. Ik verwacht dat de meeste mensen dat niet op deze manier zullen doen.
Dit maakt Trusteer Rapport een aantrekkelijk doelwit voor cybercriminelen. Het feit dat Trusteer zelf onzorgvuldig is met de spelling van hun producten op hun eigen website (ze schrijven Trusteer Rappport soms met twee p’s en soms met drie p’s) is ook al in het voordeel van de malware-schrijvers, omdat de gebruikers niet vertrouwd worden gemaakt met een consequente spelling.
Tenslotte, als je het product wilt downloaden, dan geef je eerst je username en e-mailadres op via een formulier dat niet beschermd is met https en daarna kun je de software downloaden, ook weer zonder dat de verbinding beschermd is door https. Voor een securityproduct is dit not done. Het is goed mogelijk dat Trusteer vindt dat encryptie niet nodig is omdat de software publiek beschikbaar is en er daarom geen vertrouwelijkheid nodig is. Maar een servercertificaat is ook een identiteitsbewijs zodat de bezoeker een hoge mate van vertrouwen kan hebben dat de server ook werkelijk een server van Trusteer is.
Omdat het product incompleet is en iets doet dat op de meeste systemen al door een andere component wordt gedaan, doet bij mij het vermoeden rijzen dat ING niet iets heeft gevonden wat de risico’s van cybercrime beperkt, maar dat zij iets hebben gevonden waarmee zij voor het grote publiek de schijn kunnen ophouden dat zij iets doen aan beveiliging en daarmee hun beschadigde imago wat proberen op te poetsen.
John Veldhuis, Sophos
Het is belangrijk de bron van de software van Trusteer te controleren. Ik zie wel eens een namaak Trusteer Rapport-installer in een zipfile voorbij waaien, uiteraard voorzien van malware. Zoals altijd moet je er zeker van zijn waar je je software vandaan haalt.
Seth van der Meer, Channel Director Benelux, Sophos
Trusteer ondersteunt niet alle browsers en operating systemen zoals Unbutu en Linux, mijn inziens is dit niet een heel groot probleem, maar wel iets waar men aan zal moeten werken. Daarnaast lees ik hier en daar dat het vertragend werkt voor de gebruiker. Dat kan ervoor zorgen dat de gebruiker de software de-installeert en niet meer gebruikt.
Het betref de reputatie van de bank die in het geding komt. Het valt de banken niet in zijn geheel aan te rekenen dat dit soort aanvallen op hen uitgevoerd worden, het zijn tenslotte gewilde targets. Banken zullen er alles aan doen om dergelijk soort aanvallen te blokkeren, maar zo’n aanval moet natuurlijk wel eerst plaatsvinden voor de bank actie kan ondernemen. Preventieve beveiliging helpt natuurlijk wel, maar zal geen garanties bieden. We hebben dan ook nog te maken met de software van de bank zelf. Hoe stabiel is deze, hoeveel fouten zitten hier in, wat doet men eraan om deze fouten en instabiele systemen foutloos en stabiel te maken? Pleisters plakken kan iedereen, maar structureel het probleem aanpakken is een hele andere uitdaging.
Het probleem zit vaak bij de gebruiker door naïviteit en een gebrek aan kennis bij het beveiligen van pc’s en het thuisnetwerk. Vaak denkt men met antivirussoftware voldoende beveiligd te zijn, maar een degelijke professionele firewall met zogeheten intrusion prevention systems, web scanning, mail scanning vergeet men vaak waardoor hun machine makkelijk te gebruiken is door derden. Daarnaast dien je je machine te versleutelen, zodat gevoelige data bij diefstal of verlies niet zomaar op straat komt te liggen. Controleer je pc ook pro actief op malware, virussen et cetera.
Martijn Bellaard, ict networking & security architect, Brain Force
Rapport is bedoeld om de api’s (application program interface) in de gaten te houden. Api’s wordt door software gebruikt om opdrachten aan het besturingssysteem te geven. Een voorbeeld: Op het moment dat jij in Word (of Excel) de opdracht geeft: ‘Bestand Opslaan’ zal Word nooit direct naar je disk gaan. Hij zegt tegen Windows (ervan uitgaande dat je Windows gebruikt, maar een Mac en Linux doen het net zo): ‘Sla op bestand met de eigenschappen eigenschappen’. Die opdracht is dus de api. Zo is er ook een api die je vertelt wat er op je disk staat. Op het moment dat jij de verkenner opent zal deze aan Windows vragen: ‘Wat staat er op C:’. Windows maakt een mooi lijst en geeft dit terug aan de verkenner. Deze toont nu de lijst aan jou.
Wat doet een rootkit hiermee? Stel, ik heb een virus gemaakt en die wil opslaan op C:Virus. Nu wil ik niet dat jij ziet dat er een directory C:Virus aanwezig is op je computer. Dan gaat er direct een lampje branden bij je. Dus zal de rootkit de api aanpassen dat hij alles laat zien behalve C:Virus.
Alle api’s staan in een .ddl of .exe ergens op je computer. De gedeelde api vind je terug onder C:WINDOWS. Bij Linux praten we over libraries, maar het principe blijft hetzelfde. Bij een Mac is het niet veel anders. Het grote voordeel van api’s is dat je een specifieke opdracht maar eenmaal hoeft te programmeren en op te slaan op de computer. Het nadeel is dat als er een fout in zit, dit gelijk gevolgen heeft voor een x-aantal softwarepakketten. Nu kun je een heel artikel schrijven over zogeheten DLL hells.
Browsers als Internet Explorer, Firefox en Chrome maken allemaal gebruik van api’s, vaak is er ook geen andere optie en moeten ze wel. Nu kan een rootkit een api zo aanpassen dat deze verkeerde informatie terug geeft. Hij kan je bijvoorbeeld omleiden naar een verkeerde url en zeggen dat alles goed is. Hier grijpt Rapport dus in. Deze monitort de api’s. Dat doet het door elke aanvraag (opdracht vanuit IE/Firefox enzovoorts) te controleren en eventueel aan te passen. Geen wonder dat die browsers trager worden en dat sommige onderuit gaan.
Stel je voor dat elke vraag die je aan je collega stelt, door mij gecontroleerd wordt en in sommige gevallen veranderd. Pas als je antwoord hebt van mij dat het goed zit, ga je verder. Dan kun je je best voorstellen dat je werk meer tijd kost. Ik kan me zelf voorstellen dat op een zeker moment je er gewoon boos over wordt 😉
Het idee achter Rapport is mooi en kan zeker de beveiliging verhogen, maar de controle op rootkits of virussen zou bij mijn virusscanner moeten liggen en niet bij een andere tool. Daarnaast is het mij onduidelijk hoe Rapport zichzelf update. Een belangrijke kracht van een antivirus oplossing is hoe vaak/snel hij geupdate wordt. Deze update zorgt er voor dat hij de op de hoogte is van de laatste virus aanvallen. Hierover kon ik niets terugvinden.
Ik zit bij de ING, maar het product staat niet op mijn computer. De ING zou er slimmer aan doen een antivirusoplossing aan te bieden. Eventueel met een monitoring-optie vanuit de bank. Dat zou ik graag zien. Dan kunnen ze mij actief beschermen tegen virussen.
Toen ik de aanbeveling van ING ontving om dat pakket te installeren, heb ik ze eerst enkele kritische vragen gesteld:
“Om te beginnen moet ik mij voor de installatie akkoord verklaren met een licentie-overeenkomst van enkele pagina’s in onbegrijpelijk juridisch jargon, waarvan ik de consequenties niet kan overzien. Verder is totaal onduidelijk wat het programma precies doet en wat dat voor eventuele consequenties kan hebben op de andere toepassingen die op mijn PC draaien, of voor de gegevens die op mijn PC staan. Het is blijkbaar een Amerikaans bedrijf; wie garandeert mij dat de Amerikaanse overheid (CIA, NSA o.i.d.) niet via dit programma in mijn PC en de gegevens die erop staan, gaat snuffelen? Volgens de Patriot Act mogen ze dat waarschijnlijk gewoon en kan ik daar geen bezwaar tegen maken en niets tegen doen. Ik vind dat de ING eerst wat meer uitleg, toelichting en garanties m.b.t. dit programma moet geven aan haar internetbankiers alvorens ze te vragen dit ‘zomaar’ te installeren.”
Ondanks een rappel heb ik nooit enig antwoord van ING op die vragen gekregen. En de woordvoerder die in het artikel wordt geciteerd verwijst ook weer naar de helpdesk van Trusteer, dus ING wil er zelf blijkbaar niets mee te maken hebben …
Dit artikel geeft antwoorden op enkele van mijn vragen die ING mij niet kon, wilde of durfde te geven, maar voedt ook mijn twijfel over de (on-)bruikbaarheid van het product. Ik heb er nog geen spijt van dat ik het tot nu toe niet heb geïnstalleerd.
Ik heb mij door ING laten overhalen deze beveiligingssoftware te installeren. Achteraf volmaakt onnodig dus, maar om ze te verwijderen heb ik een SYSTEM machtiging nodig. Nooit eerder zoiets beleefd. Wie helpt mij aan een oplossing?
@R. Strikwerda: ‘Run as Admin’ zou de truuk moeten doen; en anders even psexec van SysInternals gratis downloaden (google maar) om als SYSTEM iets uit te voeren.
@Cor Rosielle, Outpost24: Volgens mij is die software helemaal niet gratis, maar betaalt ING de licentie-kosten (zie publieke bronnen !); net zoals b.v. XS4ALL voor de McAfee virusscanner doet. Jammer dat de eerste helft van je betoog dus gebaseerd lijkt op een valse aanname; volgende keer graag wel je huiswerk doen; dit geldt ook voor de Computable redactie. Dit doet afbreuk aan de rest van het betoog (waar ik me verder prima in kan vinden).
@Cor Rieselle, Outpost24: De download op de ING website is weldegelijk via HTTPS ?
Ik zie nogal een keer voorbij komen dat men hier stelt dat de trust software weer niet voor die of die zou zijn gemaakt en dus…..
Als men even na denkt dan is het, in dit geval, een bank die bepaald hoe je het best en veiligst de verbinding opzet in geval van internet bankieren. Dat er meerdere smaakjes zullen zijn die mensen graag willen zien of eten moge duidelijk zijn maar….
Men verwacht wel van de bank dat die mee denkt een veilige verbinding gestalte te geven maar wil dan wel zelf een vinger in de pap hebben. Het liefst natuurlijk een commerciele.
Zelf heb ik het ook niet altijd even graag op banken en bankproducten, dat even als eerste stelling. Wel met automatiseren. Klaarblijkelijk hebben de criticasters de meest basale do’s and don’ts niet helemaal juist op het netvlies. Het is de bank hier die een product ter beschikking stelt, dus ook bepaald HOE die dat doet en hoe dat in elkaar zit. Die kijkt naar de grootste gemene deler daarbij.
Terecht dat een ontwikkelaar niet kijkt naar wat de klant verder op pc of laptop heeft geinstalleerd. even voor de goede orde, ik ben nog nooit een ontwikkelaar tegen gekomen die dat deed maar soit. Is die software volkomen? Nee. Maar laten we wel zijn, dat is geen enkele beveiligingsmethode in IT. Die gaat maar tot de laatst bekende intrusion erva ringen.
Het is een kat en muisspel, en ik denk dat in dat opzicht banken, en hun IT professionals, zeker erg veel tijd, moeite, budget en ervaring steken in het bestrijden van allerhande mogelijkheden tot intrusions. En dat doen ze best aardig vind ik.
Zie je ergens onvolkomenheden? Wees dan een echte IT professional en meld dat dan bij de betreffende bron. Die kan daar namelijk iets mee. Anders blijft het een beetje commercieel kinnesinne.
jongens, jongens wat een stemmingmakerij. schijnbaar heeft geen een van de “specialisten” zich langer da 3 seconden verdiept in Rapport. hadden ze dat wel gedaan dan hadden ze allemaal gelezen dat Rapport wel degelijk een client/server oplossing .. bv Mr. Krebs heeft er (al 3 jaar geleden) een redelijk stuk aan gewijd:
http://krebsonsecurity.com/2010/04/a-closer-look-at-rapport-from-trusteer/
en mr Krebs is een echte authoriteit op het gebied van Security. de hier gebruikte “specialisten” ken ik geen van allen en laten hier allemaal zien dat ze meer thuis zijn op de verkoopafdeling. niet meer, niet minder.
nee ik verkoop het niet, nee ik werk niet bij een bank. ik vind dit soort stukken gewoon stuitend slechte journalistiek. als ik in 3 minuten via google betere info kan vinden dan de hier genoemde “specialisten”… terwijl zij er nog voor betaald worden… (zeuren over het fout spellen van rap(p)port maar vervolgens niet weten hoe dat ubuntu word geschreven…)
Het lijkt mij echter dat de ware reden van het aanbieden van Raport niet het beveiligen van de klant is !!!!
Rapport is een tool voor de bank om zich te vrijwaren in geval van problemen !!!
Als ik mr. Krebs artikel lees, valt mij vooral iets op in het laatste stukje, waar hij meld dat Raport onlangs een nieuwe functie heeft ingebouwtd: Flashlight
Deze functie meld aan de bank, als de klant een virus/malware-infectie heeft.
Hier ligt de ware waarde van Rapport voor de bank.
Als Rapport zo’n melding heeft gegeven, en er zich problemen voordoen kan de bank zijn verantwoordelijkheid afschuiven, en naar de klant wijzen, en die de schuld geven.
Daarnaast:
Een losse tool uitgeven is een domme zet omdat er een zeer grote keus aan antivirus software is.
Zo weet je van te voren nooit of de tool probleemloos samenwerkt met de antivirus oplossing van de klant.
Een goede oplossing voor de klant zou een antivirus/malware oplossing zijn met geïntegreerde Rapport tool.
De tool zou in geval van infectie de verbinding naar een bank moeten weigeren, maar geen melding aan de bank moeten kunnen geven.
De “Flaslight functie is een schending van de privacy van de klant, en zou niet moeten kunnen.
Na het op de pc gezet te hebben, kon ik niks meer openen en nadat ik de pc opnieuw had opgestart, bleek dat mijn pc gecrasched was, nog nooit gebeurd in de 7 jaar dat ik de pc al heb!
Heb het er meteen afgegooid, nooit meer dit op mijn pc!
Op zich vind ik het kritisch bekijken van security oplossingen erg nuttig. Zelf ben ik een Microsoft docent, niet dat mij dat tot een autoriteit verheft maar het brengt mij in aanraking met educatie. Wat naar mijn mening iets is wat in het algemeen moet verbeteren is het opleiden/bewust maken van (eind) gebruikers van de eventuele controle mechanismes. Ik heb vele vele vele voorbeelden gezien waarbij ik zelf denk dat een (eind) gebruiker misleid wordt. Een van de belangrijkste… de mooie groene balk (knop) van Verisign in je Browser??? Wat zegt dat ding eigenlijk?? Als je het niet weet… Niets!! Terwijl we er toch op moeten vertrouwen.
Wat ik nu bijzonder goed vind aan de Trusteer Rapport oplossing, is dat mijn eigen bank mij uitlegt wat ze aan een probleem willen doen. Of het technisch ook zo is blijft de vraag, maar dit zal NOOIT opgelost worden. Ik lees graag nog meer reacties en meningen over dit geheel, ga vooral zo door!
Na het programma te hebben geïnstalleerd, ging het een eigen leven leiden en blokkeerde het mijn browsers (Mozilla, Explorer, Google Chrome) en de instellingen. Het opereerde als een browser op zichzelf en opende een raar venster waarmee ik geen contact kon krijgen met de server (terwijl al het andere internetverkeer prima functioneerde, kortom een ramp van een applicatie).
Uiteraard onmiddellijk verwijderd, maar het bovenstaande probleem is daarmee nog niet opgelost, programma is weg, rare venster is gebleven, dus nog steeds geen functionerende browser. Hoogstwaarschijnlijk zal ik mijn desktop opnieuw moeten installeren.
Fijne tip van de ING, bedankt!