Archief - De topics van lang geleden

Veilig internetbankieren kan alleen via Boot CD

15-04-2008, 15:02 door Redactie, 36 reacties

In Groot-Brittannië werden eind maart nieuwe regels van kracht die verplichten dat consumenten beveiligingssoftware gebruiken als ze in het geval van een geplunderde bankrekening vergoed willen worden, maar deze maatregel is een wassen neus. Niet alleen is naleving bijna onmogelijk, het maakt internetbankieren niet veiliger. Wie zijn Windows update, met Firefox surft, een firewall en virusscanner gebruikt, kan nog steeds met malware besmet raken omdat zijn QuickTime achterloopt.

Door de explosieve toename van de hoeveelheid malware, dit jaar zo'n 20 miljoen nieuwe exemplaren, is het hebben van beveiligingssoftware allang niet meer voldoende. De oplossing is echter eenvoudig, een systeem dat niet geïnfecteerd kan raken, omdat het niet te beschrijven is. Via een boot CD zijn infecties niet op te lopen en de bank zou in het hosts bestand de IP-adressen van de banksite kunnen plaatsen. Op deze manier wordt de gebruiker niet met schijnveiligheid afgescheept en zou het aantal incidenten ook moeten afnemen.

Onze stelling luidt derhalve: Veilig internetbankieren kan alleen via Boot CD

Reacties (36)
15-04-2008, 15:19 door Anoniem
Wat een onzin.

Moeten we de bootCD van een bank dan vertrouwen?
En wat als je zaken doet met meerdere banken?

Daarnaast is het kunnen booten van een CD niet altijd mogelijk. en dan staat
de noodzakelijke driver voor het verkrijgen van een ip adres en het
communiceren er vast niet op. Wel veilig natuurlijk, maar zinloos.

Het klinkt als het afschuiven van de verantwoordelijkheid van de bank.
Als de bank echt veilig wil zijn, zal internetbankieren geen optie zijn...

Maar de bank kan natuurlijk ook (leren) veilig programmeren toepassen op de
website, regelmatig onderzoek doen naar de mogelijkheden om de site
anders te gebruiken dan bedoeld en het gebruiken van voldoende sterke
authenticatie. En daarbij steeds uitgaan van de meest slecht beveiligde PC
van de klant...

Ach het is maar een idee.
15-04-2008, 15:23 door Anoniem
Wat een onzin, verkeer is gewoon uitleesbaar en vatbaar voor
manipulatie.
Beetje jammer dat organisatie met security als speerpunt
überhaupt zo'n stelling durft te introduceren.
15-04-2008, 15:26 door Anoniem
Je kan ook gewoon niet bankieren. Scheelt ook een hoop geld
dat je naar de bank moet dragen voor de 'service' die ze
verlenen om met je geld te spelen.
15-04-2008, 15:30 door Reverze
dat werkt dus alleen bij phishing aanvallen..
Ooit al gedacht aan geinfecteerde cd images die worden aangeboden.. allicht
dat er mensen zo stom zijn om erin te trappen...

een mailtje sturen met.. er is een update.. stuur ze naar je eigen site met je
eigen image ( phising) en laat ze daar een nieuwe geinfecteerde image
downloaden.

je maakt het idd moeilijker voor mensen die uit zijn op je bankrekening.. maar
ook dit is weer te omzeilen...
15-04-2008, 15:47 door Anoniem
cd spelers zijn zooo 2007

airbook gebruiker
15-04-2008, 16:01 door Anoniem
Onzinnig, Man in the Middle attacks worden hier niet mee voorkomen.
Even internetbankieren vanaf een internetvebonden device zoals je eigen
PDA/Telefoon is ook onmogelijk op dat moment.
15-04-2008, 16:40 door wizzkizz
Uiteraard is (vrijwel) alles te omzeilen, maar elke stap die
je het criminelen moeilijker kunt maken is er een.

Het voordeel voor de bank is dat ze dan ook controle hebben
over de client, wat op dit moment het grootste probleem is
bij internetbankieren. Wanneer een besturingssysteem geboot
wordt wat alleen gelezen kan worden, wordt de kans op
besmetting van de client wel heel erg klein. Als aanvullend
daarop dit medium alleen zeer beperkt is in gebruik (als in:
alleen noodzakelijke poorten voor DHCP en poort 443
openzetten, verkeer over poort 443 alleen naar banksite
toestaan , geen externe media kunnen mounten etc.) is dit
goed dicht te timmeren.
Man-in-the-middle aanvallen zijn dan ook zeer moeilijk,
omdat a) DNS-spoofing niet mogelijk is (IP bank is bekend
dus geen DNS nodig) en b) alle verkeer versleuteld wordt,
waardoor het absoluut niet mee te lezen is en c) het
certificaat van de bank de authenticiteit van de banksite
bevestigd.
Dus theoretisch: ja.

Of het praktisch ook mogelijk is, is een heel ander verhaal.
Gebruikers die niet weten hoe het werkt, er niet mee om
kunnen gaan of niet de feeling hebben om het (snel) onder de
knie te krijgen, of niet willen rebooten voor elke keer dat bankzaken gedaan moeten worden etc. Het zijn denk ik vooral de praktische
bezwaren die de banken ervan weerhouden dit in te voeren, ze
weten ook heel goed dat het technisch veel voordelen biedt.

Ik sluit echter niet uit dan in de (nabije) toekomst banken
het wel gaan aanbieden en in geval van fraude alleen
uitkeren wanneer gebruik gemaakt wordt/werd van de boot-CD.

dat werkt dus alleen bij phishing aanvallen..
Ooit al gedacht aan geinfecteerde cd images die worden
aangeboden.. allicht
dat er mensen zo stom zijn om erin te
trappen...
Wanneer de bank heel nadrukkelijk
communiceert dat de boot-CD's alleen bij de bank opgehaald
mogen worden, zijn er maar weinig mensen die hierin trappen
denk ik. Allicht wel een paar, maar dat blijf je toch houden.

Onzinnig, Man in the Middle attacks worden hier niet
mee voorkomen.
Wel dus, zie hierboven.


Wat een onzin, verkeer is gewoon uitleesbaar en vatbaar voor
manipulatie.
Beetje jammer dat organisatie met security als speerpunt
überhaupt zo'n stelling durft te
introduceren.
Verkeer is dus niet uitleesbaar, dat is
het hele idee achter SSL/TLS. Als je dat niet gelooft moet
je je maar verdiepen in de werking hiervan.

Daarnaast is het kunnen booten van een CD niet altijd
mogelijk.
Dat is idd een praktisch punt. Het is wel
mogelijk (en volgens mij staat de BIOS in >99% van de
gevallen zo ingesteld), maar er zullen idd mensen zijn die
daarvan niet kunnen booten.

Het klinkt als het afschuiven van de
verantwoordelijkheid van de bank.
Als de bank echt veilig wil zijn, zal internetbankieren geen
optie zijn...
Imo is het juist meer het de gebruiker extra tools in handen
geven om hun eigen verantwoordelijkheid (betrouwbare client)
te nemen en het dus *juist voor de klant* makkelijker te maken


Maar de bank kan natuurlijk ook (leren) veilig programmeren
toepassen op de
website, regelmatig onderzoek doen naar de mogelijkheden om
de site
anders te gebruiken dan bedoeld en het gebruiken van
voldoende sterke
authenticatie. En daarbij steeds uitgaan van de meest slecht
beveiligde PC
van de klant...
Gelul in de ruimte natuurlijk. De banken huren
hackers in om hun systemen te testen. Het is ook niet (wat
"niet-insiders ervan te weten komen dan) dat de
achterliggende systemen het grootste probleem zijn, het
grootste probleem is dat de (technisch minder
opgeleide/vaardige klanten) er niet in slagen om hun
computer schoon te houden, misleid worden door criminelen of dat andere punten (als routers en DNS-servers) gecorrumpeerd zijn.
15-04-2008, 16:42 door Anoniem
Dit werkt prima.
Mijn hele familie boot al een ubuntu live cd die ik voor ze
geburned heb, en nadat iedereen tevreden was heb ik het hier
als project gedaan op het werk, paar honderd cds geburned en
uitgedeeld met een papiertje met uitleg.
iedereen blij.

reacties :
-verkeer 'gewoon' uitleesbaar ? gebruikt jouw bank geen SSL ?
-alleen bij phishing aanvallen ? wat voor andere aanval ken
jij waarbij ze je bankrekening leegtrekken ? ik neem aan dat
je het ook over de iets meer gecompliceerde aanvallen hebt
met man in the middle attacks.... ook die worden hierdoor
voorkomen (tenzij iemand je router pwned)
15-04-2008, 16:56 door Anoniem
wizzkizz, goed gescreven stuk echter niet compleet. Man in
the middle attacks zijn prima mogelijk. Download jij eens
snel Able & Cain is wat inzichtelijker aanhakend op je
kennis niveau.
15-04-2008, 17:14 door jmp
Uhh iemand gehoord van automatische incasso ??
15-04-2008, 17:30 door Anoniem
Hallo onder welke steen kruipen jullie vandaan om te beweren
dat SSL voldoende is om je te beveiligen. Dit is allang
verband naar het fabeltjesrijk.
15-04-2008, 18:17 door Anoniem
Door Anoniem
wizzkizz, goed gescreven stuk echter niet compleet. Man in
the middle attacks zijn prima mogelijk. Download jij eens
snel Able & Cain is wat inzichtelijker aanhakend op je
kennis niveau.
Daarbij wordt wel een fake certificaat gebruikt. Als de
webclient op de bootable CD zo is ingesteld dat deze alleen
de site opent als het certificaat klopt is deze attack niet
mogelijk. Het probleem is dat mensen nu gewoon een
certificaatverificatie foutmelding wegklikken.
15-04-2008, 19:28 door Anoniem
Onlangs constateerde ik dat internetbankieren via de
Postbank niet meer functioneerde vanachter de xs4all proxy.
Proxy uit, verbinding prima..... niet cool van de postbank !

De proxy cache word (dacht ik) gescant op malware etc dus is
dat i.i.g. de eerste laag van beveiliging.
Met andere bewoording, de Postbank ontneemt mij de
mogelijkheid om anoniem van hun diensten gebruik te kunnen
maken.
Dat is door EC verboden...!

Nu gebruik ik mijn locale proxy (Privoxy) om zo veel
internet troep als mogelijk buiten de deur te houden..

Dus is de Postbank de eerste onderneming die ik ken die de
gebruikers verplicht hun IP prijs te geven, ik kan vertellen
dat men bij het CBP bijna door hun stoel zakten toen ik
hierover om informatie vroeg.

Als electronisch betalen niet veilig kan STOP ER DAN MEE
maar blijf niet steeds grotere offers en geld vragen van je
klanten. Met de OV kaart was men er sneller van overtuigd
dat het uiteindelijk toch niet ging werken, nu de banken nog.

Banken zijn 'dienstverlenende' instellingen, nu verwachten
deze dienstverleners dat zij bepalen hoe u de diensten mag
gebruiken...??

De schoonmaker weigert te werken omdat er een verkeerd merk
schoonmaakmiddel moet worden gebruikt..??

Als ik een auto koop word ik toch ook niet verplicht om
enkele de snelwegen te mogen gebruiken en niet over
binnenwegen te mogen rijden..

Ik bied service aan huis, dan moet u mij wel komen halen en
brengen maar op de kosten voor het halen en brengen geef ik
wel 25% korting...
15-04-2008, 19:49 door Anoniem
Zouden we eens opnieuw kunnen beginnen, en dan voor het
gemak even aannemen dat de image goed cq. veilig is. Het
ging om een stelling, immers.
15-04-2008, 20:25 door Anoniem
Moeten we de bootCD van een bank dan vertrouwen?
Als je de bank niet vertrouwt, kan je natuurlijk een
oude(re) pc zonder harddisk laten staan voor je bankzaken.
Daar valt sowieso niets aan te vergallen :)

Ooit al gedacht aan geinfecteerde cd images die
worden aangeboden..
Of geinfecteerde fotolijstjes... Maar ook in dit geval: een
gebruiker kan zo'n cd in principe niet zelf veranderen, dus
kan hij imho niet aansprakelijk zijn voor de gevolgen van
een foute cd.
Ja, want je kan er als gebruiker niets aan veranderen. Dus
als er wat misgaat met een bootCD van de bank, dan is de
bank aansprakelijk.

En wat als je zaken doet met meerdere banken?
Als je met meer banken zaken doet, moet je misschien meer
sessies na elkaar doen, in plaats van tegelijk. Maar als je
een beetje wantrouwig bent tegen banken, dan start je
sowieso geen twee sessies tegelijk.

Uhh iemand gehoord van automatische incasso ??
Ehhmmm, rechtstreeks uit je loonzakje of van je ... * * * R
E K E N I N G * * * ??? :)


Met al die goedkope beperkte laptops in aantocht, zouden
banken als welkomstkadootje zo'n laptop cadeau kunnen doen.
Bijvoorbeeld bij een bepaald startsaldo. En laat banken hun
bankalgorithmen in de communities droppen zodat die veilige
software kunnen produceren. Deursloten en openssh zijn ook
producten waarvan iedereen kan bekijken hoe ze werken. Zijn
ze daarom minder veilig?
15-04-2008, 21:42 door Bitwiper
Door Anoniem
Man in the middle attacks zijn prima mogelijk. Download jij eens snel Able & Cain is wat inzichtelijker aanhakend op je kennis niveau.
Onzin.

Ervan uitgaande dat er geen implementatiefouten in SSL op mijn PC en bij de bank voorkomen, de private key van de bank niet ontvreemd is, mijn PC niet gecompromitteerd is, ik zelf de URL intik, geen van de Certificate Authorities (waar ik root certificaten van in mijn browser heb) een certificaat aan een derde heeft verstrekt met daarin de door mij ingetikte hostnaam uit de URL, het niet mogelijk is om (buiten die CA's) een schijnbaar geldig certificaat te genereren met daarin een publick key behorend tot een ander keypaar, kan Cain niets doen zonder een certificaat-waarschuwing te tonen op mijn PC: verstandige gebruikers zullen zo'n waarschuwing niet negeren waardoor er geen sprake meer zal zijn van een werkende mitm attack.

Sterker, in plaats van moeilijk te doen met ARP-spoofing mag je een router of PC naar keuze tussen mijn PC en die bank opnemen. Mitm attack bij SSL? FUD.
15-04-2008, 21:42 door Anoniem
Door Anoniem
cd spelers zijn zooo 2007

airbook gebruiker

airbook is voor wijven
15-04-2008, 22:54 door Anoniem
IK droom ik droom ik droom ik droom

Ik lees hier veel zinnige dingen maar vooral heel veel onzin.

Begin maar bij de stelling. Welk risico wil men hiermee
wegnemen. De PC die besmet is. Wellicht veel PC zijn
aangetast. Maar de CDROM zal dan een beperkte houdbaarheid
maatregel zijn. U weet wel zo'n symptoom
bestrijdingsdingetje. Immers een hacker is net water kiest
de minste weerstand en zal zijn pijlen richten op iets anders.

Dan maar de keten tussen je pc'tje en de bank. Hier zijn
genoeg mogelijkheden om de dingen te doen. Neem je ADSL
routertje b.v. Wat spoof dingetjes hierop loslaten. Wellicht
is dat dingetje ook wireless. (nog meer LOL).

Oh ja wat denk je van social enginering. Een UID, passwd
zijn bij jou makkelijk te vinden. Kom maar op de hackers
themawebsite. ANders kan ik ook de bank nog proberen met wat
identity theft.
Of toch maar afdwingen door te vertellen waar je moeder
woont, je kinderen naar school gaan, etc.

Genoeg leuke dingen als je maar wilt en tijd hebt.

Oh ja een MITM kan tegenwoordig zo gedaan worden dat je geen
certificaat fouten meer krijgt.

Dus toch maar iets anders gaan verzinnen dan populistische
domme oplossingen

SOFAR RFV
16-04-2008, 00:48 door Anoniem
Wie zijn Windows update, met Firefox surft, een firewall en virusscanner gebruikt, kan nog steeds met malware besmet raken omdat zijn QuickTime achterloopt.

Heel simpel....Gewoon geen QuickTime gebruiken......
16-04-2008, 08:14 door [Account Verwijderd]
[Verwijderd]
16-04-2008, 08:36 door Anoniem
Vraagje:
Kun je eigenlijk het image van de boot-CD dan weer in een
VMware sessie laden ?

Dan hoef je niet te rebooten.
Ik weet alleen niet wat voor effect het heeft voor de
beveiliging omdat buiten de VMware sessie natuurlijk meer
draait op de PC.

Carol
16-04-2008, 09:00 door wimbo
phishing is niet te stoppen. Phishing heeft alles te maken
met het creëren van onzekerheden bij gebruikers of inspelen
op de hebberigheid van die gebruikers.
Iedere malloot zou moeten weten dat je niet zomaar TAN codes
af moet geven, of wachtwoorden en toch lees je dat keer op keer.
Tot op heden zijn de meeste phishing aanvallen gepaard
gegaan met redelijk knullige e-mails vol schrijf/taalfouten
(enkele uitzonderingen daargelaten).

Het laten ophalen van een BootCD is ook te omzeilen door een
'update' CD op te sturen (snailmail of via een online
website) met een heel mooi schrijven er bij dat het toch
niet zo handig is om bijvoorbeeld invaliden te verplichten
naar de bank te laten komen... Mooi gebaar toch van de bank???

Of stuur een mooi uitziende mail met de melding dat door een
storing het CA certificaat in de browser vervangen moet worden.

Zolang men bij dit alles maar goed benadrukt dat wanneer men
het niet doet men niet meer bij d'r centen kan.....

@bitwiper:
mooi verhaal, maar in jouw betoog ga je er van uit dat alle
gebruikers op te voeden zijn en dat ze dus niets stoms/doms
moeten doen.....

Zoals Einstein al zei; Two things are infinite: the
universe and human stupidity; and I'm not sure about the the
universe.”


@Nielsk
In het originele artikel staat ook niet eens dat het
verplicht is. In die PDF (waar je uiteindelijk naar verwezen
wordt) worden alleen maar best practices aangehaald. Niet
anders dan de drie-keer-kloppen campagne hier in NL.
Gezien de aard van het verhaal moet je er wel van uitgaan
dat het om bankspecifieke CD's gaat. Immers heeft men het
over bank specifieke IP adressen (althans in deze stelling)
in de hosts file.... zie jij de gebruikers zelf een custom
bootCD maken (als er met meerdere banken zaken wordt gedaan)?

Daarnaast is het weer een aanvalsvector voor criminelen. Zij
kunnen een update cd sturen met een aangepaste hosts file.
En je wil de DNS naam combi met IP adressen niet zo
vastleggen. Wat gebeurt er als je backend een migratie moet
ondergaan en er andere IP adressen gebruikt moeten gaan worden.
Het uitbreiden van je serverfarm wordt ook wat lastig als
alle IP adressen en namen al vast liggen.

Dus een NEE op de stelling. En als toevoeging; het is niet
mogelijk om 100% veilig te telebankieren. Net zo min als dat
autorijden 100% veilig te maken is of het oversteken van de
straat. Je kan alleen de gebruikers zo goed mogelijk
proberen op te voeden.
16-04-2008, 09:10 door Anoniem
Ondanks alle, er aan de haren bijgesleepte
veronderstellingen (CD van Bank, Update CD's (!?) die je dan
natuurlijk gelijk gebruikt....!?) is het momenteel inderdaad
de veiligste wijze van internetbankieren...... absoluut
veilig is het natuurlijk niet maar dat bestaat ook niet,
never, nooit, jamais !
16-04-2008, 09:43 door Anoniem
Bij analyse van de fraudegevallen bij internetbankieren blijkt dat het zo goed
als altijd gaat om computergebruikers wiens beveiliging niet "optimaal" was
(om niet te zeggen: onbestaand). Bovendien werden ook voor die mensen de
kosten uiteindelijk gedragen door de bank (al vraag ik me af of de banken dit
zullen blijven doen - zie ook gerelateerde berichten de laatste tijd).

Als je m.a.w. er voor zorgt dat je een goede én up to date beveiliging hebt, dan
lijkt internetbankieren me behoorlijk veilig - al bestaat 100% veilig natuurlijk
niet.

Zelf kies is voor G Data InternetSecurity en daar ben ik heel tevreden van,
zodat ik blijf internetbankieren in volle gemoedsrust.
16-04-2008, 10:36 door Anoniem
Waarom zouden de banken boot CD's gaan verspreiden als ze te
beroerd zijn hun pinnpassen veilig te maken?
16-04-2008, 12:59 door Anoniem
Heeft iemand een handleiding voor het maken van een goede ubuntu live boot
cd?
16-04-2008, 13:17 door Anoniem
@Carol

Dan kun je beter de browser application te vinden bij VMWare gebruiken.
16-04-2008, 13:30 door Anoniem
@wimbo:

Ik weet dat ik blond ben maar sinds wanneer willen we ip-adressen van
backend systemen bekend maken in een internet DNS?
Ook je punt ten aanzien van het uitbreiden van je server park kan ik niet
plaatsen. Sterker nog de afhankelijkheid die jij met DNS creert die wil je niet.

Volgens mij is het zo dat je 1 ip-adres heb, nl. dat het virtuele ip-adres van je
load balancers en die zorgen er voor dat je verkeer verdeeld wordt.
Ook voor het uitbreiden van je server park heb je geen afhankelijkheid met
DNS.

Ik zie dus niet in waarom je, als bank zijnde, geen entry in je hostfile van je
clients zou wil zetten.

But correct me if i am wrong !!
16-04-2008, 17:34 door sjonniev
Alleen als de bootcd voorzien is van volledige
versleuteling, en voor het booten en sterke authenticatie
afdwingt, wil ik er wel eens naar kijken...
16-04-2008, 21:55 door Anoniem
Internetbankieren is erg handig, je flappen uit een muur
halen ook, je fiets niet op slot zetten als je even de
magnetron maaltijd bij de appie haalt ook.

In de praktijk is het zo dat de banken net als de credit
card bedrijven het wel prima vinden zo, en dat beetje er
naast valt lekker laten liggen.
en er af en toe een inhoudsloze reclame campagne tegenaan
gooien als 3x kloppen om de boel en hun geweten weer wat te
sussen.

Als je een beetje secure wil bankieren dan fiets je op weg
naar de appie even langs een bank en gebruikt een terminal daar!
Moet je wel zelf een beeetje moeite voor doen.......

Als je thuis met een PCtje wil bankieren tijdens het
filmpjes downloaden dan is de kans dat jij wat centjes
verliest door een hack even groot als dat juist jij dat
overdatum pakje melk pakt terwijl je fiets gejat word door
een agent die je rijwiel veilig steld.

BootCD is een hobby oplossing, net als banken die hun
klanten bedienen met een standaard versie van bijv. apache
uit de IBM of Oracle keuken, die ook nog door een paar op
hun pensioen wachtende systeembeheerders geïnstalleerd is.

De verenigde overheden willen niet dat je communicatie echt
secure word, want dat is zo lastig mee lezen voor ze, dus
uit die hoek zou er ook nog even geen verbetering komen.

Het oude Inbellen met een chipcard reader aan je machine was
wel een aardige stap in de goede richting, maar het mag geld
nog moeite kosten dus die zien we niet meer bij de mensen thuis.


Als men het echt in orde zou willen hebben dan zou dat reeds
gebeurt zijn, want zo moeilijk is dat niet, blijkt...


De moraal is deze:
Waar niet Gemakkelijk iets te Halen is, is geen Wil, en Waar
Geen Wil Is, daar Is Geen Weg...


Groetjes
*Anna.
16-04-2008, 22:19 door Bitwiper
Door wimbo
phishing is niet te stoppen.
Klopt. Onze maatschappij is voor een belangrijk deel gebaseerd op vertrouwen. Het daarvan misbruik maken is van alle tijden.

@bitwiper:
mooi verhaal, maar in jouw betoog ga je er van uit dat alle gebruikers op te voeden zijn en dat ze dus niets stoms/domsmoeten doen.....
Je verdraait mijn woorden. Ik schreef verstandige gebruikers, niet alle gebruikers en ik heb het nergens over opvoeden.

Los daarvan was mijn hoofddoel het bestrijden van de FUD dat SSL via een mitm attack (technisch) te kraken zou zijn. Als ik dat fout heb hoor ik dat zeer graag - maar dan wel onderbouwd natuurlijk.
17-04-2008, 13:33 door Anoniem
Door Bitwiper
Door wimbo
phishing is niet te stoppen.
Klopt. Onze maatschappij is voor een
belangrijk deel gebaseerd op vertrouwen. Het daarvan misbruik maken is van
alle tijden.

@bitwiper:
mooi verhaal, maar in jouw betoog ga je er van uit dat alle gebruikers op te
voeden zijn en dat ze dus niets stoms/domsmoeten doen.....
Je
verdraait mijn woorden. Ik schreef verstandige gebruikers, niet alle
gebruikers
en ik heb het nergens over opvoeden.

Los daarvan was mijn hoofddoel het bestrijden van de FUD dat SSL via een
mitm attack (technisch) te kraken zou zijn. Als ik dat fout heb hoor ik dat zeer
graag - maar dan wel onderbouwd natuurlijk.


SSL was 7 jaar geleden al te kraken. via mitm En er waren complete
schema's te verkrijgen hoe je dit moest aanpakken. En dit heb ik 7 jaar
geleden echt niet ad grote klok gehangen omdat ik geen slapende honden
wilde wakker maken.

Maar ja welke versie heb je het over?
17-04-2008, 21:11 door wizzkizz
Door Anoniem

SSL was 7 jaar geleden al te kraken. via mitm En er waren
complete
schema's te verkrijgen hoe je dit moest aanpakken. En dit
heb ik 7 jaar
geleden echt niet ad grote klok gehangen omdat ik geen
slapende honden
wilde wakker maken.

Maar ja welke versie heb je het over?
Wat zoekwerk rondom deze materie levert niets op wat een MITM aanval kan doen slagen indien

1) communicatie over SSL/TLS gaat;
2) IP adressen vast staan in een hosts-file;
3) de aanvaller zich niet in mijn netwerk bevindt;
4) ik de certificaat-waarschuwing van de browser NIET negeer.

grootste punt van zorg zal punt 4 zijn, omdat (in een goede
implementatie van de stelling) aan voorwaarde 1 en 2 sowieso
voldaan is.
Punt 3 zal voor thuisgebruikers ook geen probleem zijn,
behalve dan misschien als er een onbeveiligd draadloos
netwerk open staat.
Punt 4 kan de bank ook forceren door simpelweg een eigen
applicatie (bijv. een fork van Firefox) voor
internetbankieren te leveren die alleen verbinding maakt
indien het certificaat in orde is. .

Theoretisch gezien is het dus een veilige manier van
communiceren met je bank. Hoewel 100% veiligheid niet te
garanderen is natuurlijk.

bronnen van SSL MITM o.a.:
http://www.sans.org/reading_room/whitepapers/threats/480.php
http://www.lore.ua.ac.be/Publications/pdf/Boeynaems2004.pdf
http://en.wikipedia.org/wiki/Man_in_the_middle_attack
http://www-128.ibm.com/developerworks/linux/library/l-openssl2.html?ca=dgr-lnxw06SecureHandshake
17-04-2008, 22:59 door Bitwiper
Door wizzkizz
1) communicatie over SSL/TLS gaat;
4) ik de certificaat-waarschuwing van de browser NIET negeer
beide kloppen indien SSL minstens versie 3.0 is (dat heb ik in m'n eerste post niet genoemd, maar SSL v3.0 bestaat al bijna [url=http://wp.netscape.com/eng/ssl3/]12 jaar[/url])
2) IP adressen vast staan in een hosts-file;
3) de aanvaller zich niet in mijn netwerk bevindt;
Zolang de aanvaller geen private key plus bijheborend CA-signed certificaat met daarin de hostname die ik intik in zijn bezit heeft, zijn beide niet van invloed.

Vereenvoudigd weergegeven hoe SSL werkt (zie [url=http://tools.ietf.org/html/rfc4346#page-33]RFC4346[/url]):
[list=1][*]browser opent https verbinding met server
[*]server stuurt certificaat
[*]browser checkt certificaat (aan de hand van de handtekening van de CA)
[*]browser checkt of de hostname in het certificaat klopt met de ingetikte URL
[*]browser genereert een random symmetrische sleutel en versleutelt deze met de public key van de server uit het certificaat; het resultaat is uitsluitend met de private key behorende bij de public key in het certificaat te decrypten (uitgangspunt is dat alleen de server die private key heeft, anders ben je weg)
[*]browser stuurt de asymmetisch versleutelde sleutel naar de server
[*]server decrypt de symmetrische sleutel en gebruikt deze vanaf nu
[*]ook de browser gebruikt die symmetrische sleutel vanaf nu
[/list]
De uiteindelijke symmetrische sleutel is alleen bekend in de browser en op de server, er zijn dus geen afhankelijkheden van IP-adressen, routering e.d.

IP-adressen in je hosts file zetten lijkt zinvol voor de situatie dat een attacker een CA weet te vinden die een vals certificaat (hostname van een bank e.d.) wil ondertekenen (sloppy CA's zijn een groot risico voor PKI). Maar ook daar heb je niets aan als die attacker ergens tussen jouw PC en de bank-server (dus niet alleen in jouw netwerk) de routering (zowel op IP als ethernetniveau) kan beïnvloeden.
18-04-2008, 15:40 door wimbo
Door Anoniem
@wimbo:

Ik weet dat ik blond ben maar sinds wanneer willen we
ip-adressen van
backend systemen bekend maken in een internet DNS?
Ook je punt ten aanzien van het uitbreiden van je server
park kan ik niet
plaatsen. Sterker nog de afhankelijkheid die jij met DNS
creert die wil je niet.

Volgens mij is het zo dat je 1 ip-adres heb, nl. dat het
virtuele ip-adres van je
load balancers en die zorgen er voor dat je verkeer verdeeld
wordt.
Ook voor het uitbreiden van je server park heb je geen
afhankelijkheid met
DNS.

Ik zie dus niet in waarom je, als bank zijnde, geen entry
in je hostfile van je
clients zou wil zetten.

But correct me if i am wrong !!
Ik ga er even van uit dat we de hele boel nog steeds met
SSL/TLS blijven beveiligen. Op het moment dat een bank met
een eigen bootcd gaat komen, dan zullen ze communicatie op
basis van IP adres niet met een fatsoenlijk commercieel
certificaat kunnen afvangen. Een commercieel certificaat
wordt ALLEEN op basis van een officiele FQDN uitgegeven.
Omdat de domein eigenaar (in theorie) getraceerd kan worden
in het geval van een discussie.

Dat betekent dus een eigen PKI omgeving met een CA die voor
de rest niemand vertrouwt.
Ik weet niet of jij weet wat het inrichten EN onderhouden
van een eigen CA kost (zeker als daar financiële transacties
mee beveiligd gaan worden), maar trek je geldbuidel maar
open (ook als klant, want uiteindelijk betaal je het zelf).

De kosten van zo'n CA staan in schril contrast met het af en
toe een rekening die geplunderd is aanvullen (en
stilhouden). Dus IP adressen ipv dns is volgens mij niet
rendabel.

Het koppelen van de DNS en IP adressen in de hostfile is
leuk, maar ook daar heb je als bank last van omdat je bij
een wijziging in je Internet access / hosting je nieuwe
bootcd's uit moet gaan. En een nieuwe bootcd betekent een
traject met Quality&Assurance, omdat je geen CD's die niet
werken of virussen bevatten die de deur uit gaan.

Dat geld kunnen ze dan beter (gezamenlijk) steken in
campagnes voor het opvoeden van de gebruikers.
19-04-2008, 13:48 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.