'Nederlandse banken kwetsbaar voor BEAST-aanval'
De websites van alle bekende Nederlandse banken zijn kwetsbaar voor de BEAST- en CRIME-aanvallen, waardoor kwaadwillenden in bepaalde scenario's toegang tot de bankrekening van slachtoffers kunnen krijgen. Dat vertelt Luc Gommans tegenover Security.nl. Onderzoekers Juliano Rizzo en Thai Duong demonstreerden vorig jaar hun Browser Exploit Against SSL/TLS (BEAST) aanval.
Daarmee is het mogelijk om de sessie van gebruikers op HTTPS-sites te kapen. Voor het uitvoeren van de aanval moest de aanvaller tussen het slachtoffer en de website in zitten.
Dit jaar kwamen de onderzoekers met een nieuwe aanval, genaamd CRIME. Ook hier is het mogelijk om bij een man-in-the-middle-aanval om HTTPS-verkeer te onderscheppen.
Beveiliging
Gommans bekeek of de Nederlandse banken zich tegen deze aanvallen gewapend hebben. "Software en instellingen op de servers worden vaak niet bijgewerkt wanneer beveiligingslekken bekend gemaakt worden, en maatregelen als DNSSEC worden als overbodig beschouwd. Hierdoor is het erg makkelijk om in een internetcafé of op school andermans bankrekening te manipuleren", aldus de onderzoeker.
Hij testte in totaal 29 Nederlandse banksites. In de tests werd gecontroleerd of recente SSL/TLS aanvallen zoals BEAST en CRIME mogelijk zijn, of de website zwakke encryptiealgoritmes aanbiedt, en of DNSSEC ingeschakeld was. Geen enkele bank leverde een perfecte score af.
Inlogpagina
Volgens de onderzoeker is door de afwezigheid van DNSSEC het erg makkelijk om, op bijvoorbeeld www.rabobank.nl, de link naar de inlogpagina te vervangen door een kwaadaardige link. "Wanneer de gebruiker éénmaal vergeet het slotje in de adresbalk te controleren, kan even later geld overgeschreven worden naar het rekeningnummer van de aanvaller. Het gebruik van een Random Reader of sms-verificatie helpt hier niet tegen."
Om van de kwetsbaarheden misbruik te maken moet er sprake van een Man-in-the-Middle situatie zijn of DNS cache poisoning. "De eerste gedachte is een openbaar of gekraakt WiFi-netwerk (een netwerk met WEP bijvoorbeeld), maar er kan ook worden gedacht aan overheden of mensen die bij een provider werken", laat de onderzoeker weten.
Als voorbeeld geeft hij een provider als Ziggo of KPNn, maar ook een transit provider als Reggefiber of Atom86, of een DNS provider als OpenDNS. "Alles up-to-date houden (recente openssl versies zijn beschermd tegen BEAST bijvoorbeeld) en configuraties bijwerken (CRIME werkt alleen wanneer deflate/zlib compressie is ingeschakeld) kan al veel problemen verhelpen."
Browser
Gommans stelt dat ook consumenten actie kunnen ondernemen om de meeste aanvallen te voorkomen. "Controleer of je een moderne browser gebruikt zoals Internet Explorer 9, Chrome 22, of Firefox 16, en of deze ook van de laatste updates voorzien zijn. Windows Update is hierbij ook van belang, aangezien Internet Explorer en Chrome hierop vertrouwen voor Certificate Authorities, welke van kritisch belang zijn voor de veiligheid van alle https websites."
Daarnaast moeten internetgebruikers niet vergeten om het 'slotje' in de browser te controleren. "Bij het intypen van mijn.ing.nl wordt deze standaard over een onbeveiligde connectie geladen. Normaal wordt u doorverwezen naar een beveiligde inlogpagina, maar een aanvaller kan hier een stokje voor steken. De aanvalspagina ziet er exact hetzelfde uit, maar in de adresbalk staat opeens een pagina zonder slotje. Of er staat een slotje, maar de site is mijn.ing.nl.securlogin.tk."
dat de klant de TAN SMS leest voordat hij de TAN code intoetst?
http://en.wikipedia.org/wiki/Man-in-the-browser
secure.security.nl: https://www.ssllabs.com/ssltest/analyze.html?d=secure.security.nl
www.pine.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.pine.nl
www.certifiedsecure.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.certifiedsecure.com
www.fox-it.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.fox-it.com
www.lbvd.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.lbvd.nl
Als de security bedrijven het zelf al niet goed doen, wat kan je dan verwachten van banken. Maar aan de andere kant is het ook niet heel eenvoudig om een BEAST aanval uit te voeren.
De website van de Hiawatha webserver daarentegen:
http://www.hiawatha-webserver.org/: https://www.ssllabs.com/ssltest/analyze.html?d=www.hiawatha-webserver.org :P
Ik heb Fox-IT er al op aangesproken, Ronald Prins gaf mij als verklaring dat het toch maar een statische site was en de nieuwe website er aankwam en ze dan zouden updaten. Nieuwe site is er inmiddels maar blijkbaar niet updated...
Groet,
Goo
De kans dat je succes hebt met sslstrip is aanzienlijk groter.
Ik zie trouwens net dat de pastebin entry is verwijderd...
Dat komt omdat de onderzoeker alleen de voor hem gunstige gevallen laat zien: het was kennelijk niet interessant genoeg om de echte banking applicatiesites te testen of de resultaten waren teleurstellend om aandacht te vragen.
Oma Sien of oom Gerrit zal overigens geen enkele moeite met beast hebben, die laat je al in tal van andere problemen trappen die veel makkelijker te gebruiken zijn om klanten aan te vallen.
http://pastebay.net/1152419
Doet me denken aan zo'n "onderzoek" wat ongeveer ieder jaar wordt gepubliceerd dat niet alle sites met persoonsgegevens SSL hebben en dat hierdoor "gegevens op straat liggen". Uitgevoerd door: jawel een leverancier van certificaten.
Het échte probleem met internetbankieren zijn de MITB's/BITB's die via botnets ingezet worden op geinfecteerde PC's en de malware die nu nog niet gedetecteerd wordt door antivirus en dus vrolijk hun gang kunnen gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Digital Forensic Researcher Mobile Device Hacking
Netherlands Forensic Institute (NFI)
As a digital expert in the field of mobile device hacking, you will strengthen the Digital Technology team. Your challenge? Reverse engineer the workings and security of mobile consumer devices.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.