Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

'Nederlandse banken kwetsbaar voor BEAST-aanval'

dinsdag 30 oktober 2012, 10:11 door Redactie, 12 reacties

De websites van alle bekende Nederlandse banken zijn kwetsbaar voor de BEAST- en CRIME-aanvallen, waardoor kwaadwillenden in bepaalde scenario's toegang tot de bankrekening van slachtoffers kunnen krijgen. Dat vertelt Luc Gommans tegenover Security.nl. Onderzoekers Juliano Rizzo en Thai Duong demonstreerden vorig jaar hun Browser Exploit Against SSL/TLS (BEAST) aanval.

Daarmee is het mogelijk om de sessie van gebruikers op HTTPS-sites te kapen. Voor het uitvoeren van de aanval moest de aanvaller tussen het slachtoffer en de website in zitten.

Dit jaar kwamen de onderzoekers met een nieuwe aanval, genaamd CRIME. Ook hier is het mogelijk om bij een man-in-the-middle-aanval om HTTPS-verkeer te onderscheppen.

Beveiliging
Gommans bekeek of de Nederlandse banken zich tegen deze aanvallen gewapend hebben. "Software en instellingen op de servers worden vaak niet bijgewerkt wanneer beveiligingslekken bekend gemaakt worden, en maatregelen als DNSSEC worden als overbodig beschouwd. Hierdoor is het erg makkelijk om in een internetcafé of op school andermans bankrekening te manipuleren", aldus de onderzoeker.

Hij testte in totaal 29 Nederlandse banksites. In de tests werd gecontroleerd of recente SSL/TLS aanvallen zoals BEAST en CRIME mogelijk zijn, of de website zwakke encryptiealgoritmes aanbiedt, en of DNSSEC ingeschakeld was. Geen enkele bank leverde een perfecte score af.

Inlogpagina
Volgens de onderzoeker is door de afwezigheid van DNSSEC het erg makkelijk om, op bijvoorbeeld www.rabobank.nl, de link naar de inlogpagina te vervangen door een kwaadaardige link. "Wanneer de gebruiker éénmaal vergeet het slotje in de adresbalk te controleren, kan even later geld overgeschreven worden naar het rekeningnummer van de aanvaller. Het gebruik van een Random Reader of sms-verificatie helpt hier niet tegen."

Om van de kwetsbaarheden misbruik te maken moet er sprake van een Man-in-the-Middle situatie zijn of DNS cache poisoning. "De eerste gedachte is een openbaar of gekraakt WiFi-netwerk (een netwerk met WEP bijvoorbeeld), maar er kan ook worden gedacht aan overheden of mensen die bij een provider werken", laat de onderzoeker weten.

Als voorbeeld geeft hij een provider als Ziggo of KPNn, maar ook een transit provider als Reggefiber of Atom86, of een DNS provider als OpenDNS. "Alles up-to-date houden (recente openssl versies zijn beschermd tegen BEAST bijvoorbeeld) en configuraties bijwerken (CRIME werkt alleen wanneer deflate/zlib compressie is ingeschakeld) kan al veel problemen verhelpen."

Browser
Gommans stelt dat ook consumenten actie kunnen ondernemen om de meeste aanvallen te voorkomen. "Controleer of je een moderne browser gebruikt zoals Internet Explorer 9, Chrome 22, of Firefox 16, en of deze ook van de laatste updates voorzien zijn. Windows Update is hierbij ook van belang, aangezien Internet Explorer en Chrome hierop vertrouwen voor Certificate Authorities, welke van kritisch belang zijn voor de veiligheid van alle https websites."

Daarnaast moeten internetgebruikers niet vergeten om het 'slotje' in de browser te controleren. "Bij het intypen van mijn.ing.nl wordt deze standaard over een onbeveiligde connectie geladen. Normaal wordt u doorverwezen naar een beveiligde inlogpagina, maar een aanvaller kan hier een stokje voor steken. De aanvalspagina ziet er exact hetzelfde uit, maar in de adresbalk staat opeens een pagina zonder slotje. Of er staat een slotje, maar de site is mijn.ing.nl.securlogin.tk."

Virus verstuurt doodsbedreigingen vanaf pc
Israëlische politie doelwit van Xtreme RAT
Reacties (12)
30-10-2012, 10:29 door Anoniem
Leg eens uit hoe je bijvoorbeeld bij ING telebankieren een foute overschrijving kunt doen, aangenomen
dat de klant de TAN SMS leest voordat hij de TAN code intoetst?
30-10-2012, 10:29 door yobi
Man in the browser is denk ik een groter probleem (Sinowal, Zeus). Het slotje en de groene balk zijn dan gewoon aanwezig.
http://en.wikipedia.org/wiki/Man-in-the-browser
30-10-2012, 10:31 door [Account Verwijderd]
[Verwijderd]
30-10-2012, 10:58 door Acces Denied
Door Hugo: En niet alleen banken zijn kwetsbaar:
secure.security.nl: https://www.ssllabs.com/ssltest/analyze.html?d=secure.security.nl
www.pine.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.pine.nl
www.certifiedsecure.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.certifiedsecure.com
www.fox-it.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.fox-it.com
www.lbvd.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.lbvd.nl

Als de security bedrijven het zelf al niet goed doen, wat kan je dan verwachten van banken. Maar aan de andere kant is het ook niet heel eenvoudig om een BEAST aanval uit te voeren.

De website van de Hiawatha webserver daarentegen:
http://www.hiawatha-webserver.org/: https://www.ssllabs.com/ssltest/analyze.html?d=www.hiawatha-webserver.org :P

Ik heb Fox-IT er al op aangesproken, Ronald Prins gaf mij als verklaring dat het toch maar een statische site was en de nieuwe website er aankwam en ze dan zouden updaten. Nieuwe site is er inmiddels maar blijkbaar niet updated...

Groet,
Goo
30-10-2012, 11:11 door Anoniem
Graag vingers; wie heeft er ooit een succesvolle BEAST-aanval uitgevoerd?

De kans dat je succes hebt met sslstrip is aanzienlijk groter.
30-10-2012, 11:31 door [Account Verwijderd]
[Verwijderd]
30-10-2012, 12:27 door Anoniem
Jammer om te zien dat er nog zoveel banken zijn met mixed content of zelfs helemaal geen SSL/TLS...

Ik zie trouwens net dat de pastebin entry is verwijderd...
30-10-2012, 12:57 door [Account Verwijderd]
[Verwijderd]
30-10-2012, 13:53 door Anoniem
Door Anoniem: Jammer om te zien dat er nog zoveel banken zijn met mixed content of zelfs helemaal geen SSL/TLS...

Dat komt omdat de onderzoeker alleen de voor hem gunstige gevallen laat zien: het was kennelijk niet interessant genoeg om de echte banking applicatiesites te testen of de resultaten waren teleurstellend om aandacht te vragen.

Oma Sien of oom Gerrit zal overigens geen enkele moeite met beast hebben, die laat je al in tal van andere problemen trappen die veel makkelijker te gebruiken zijn om klanten aan te vallen.
30-10-2012, 16:10 door Anoniem
Herupload uit Google's cache van de pastebin:

http://pastebay.net/1152419
30-10-2012, 18:19 door [Account Verwijderd]
[Verwijderd]
31-10-2012, 13:22 door Anoniem
Ik zeg FUD. Leuk, maar eens met eerdere comment: doe het maar eens. Onderzoeker claimt dat het op school of internetcafe eenvoudig is. Dan moet er eerst iemand daadwerkelijk gaan bankieren, tegenwoordig zijn zeker scholen en cafés over op switched netwerken, dus arp poisoning, dns poisoning of phishing noodzakelijk, dan de tweede factor nog (tancode, challenge/respons token). Eens dat het beter is van de banken om te beschermen tegen BEAST, maar om nu meteen te zeggen dat het een heel groot probleem is ben ik het niet mee eens.

Doet me denken aan zo'n "onderzoek" wat ongeveer ieder jaar wordt gepubliceerd dat niet alle sites met persoonsgegevens SSL hebben en dat hierdoor "gegevens op straat liggen". Uitgevoerd door: jawel een leverancier van certificaten.

Het échte probleem met internetbankieren zijn de MITB's/BITB's die via botnets ingezet worden op geinfecteerde PC's en de malware die nu nog niet gedetecteerd wordt door antivirus en dus vrolijk hun gang kunnen gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 606
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter