'Nederlandse banken kwetsbaar voor BEAST-aanval'
De websites van alle bekende Nederlandse banken zijn kwetsbaar voor de BEAST- en CRIME-aanvallen, waardoor kwaadwillenden in bepaalde scenario's toegang tot de bankrekening van slachtoffers kunnen krijgen. Dat vertelt Luc Gommans tegenover Security.nl. Onderzoekers Juliano Rizzo en Thai Duong demonstreerden vorig jaar hun Browser Exploit Against SSL/TLS (BEAST) aanval.
Daarmee is het mogelijk om de sessie van gebruikers op HTTPS-sites te kapen. Voor het uitvoeren van de aanval moest de aanvaller tussen het slachtoffer en de website in zitten.
Dit jaar kwamen de onderzoekers met een nieuwe aanval, genaamd CRIME. Ook hier is het mogelijk om bij een man-in-the-middle-aanval om HTTPS-verkeer te onderscheppen.
Beveiliging
Gommans bekeek of de Nederlandse banken zich tegen deze aanvallen gewapend hebben. "Software en instellingen op de servers worden vaak niet bijgewerkt wanneer beveiligingslekken bekend gemaakt worden, en maatregelen als DNSSEC worden als overbodig beschouwd. Hierdoor is het erg makkelijk om in een internetcafé of op school andermans bankrekening te manipuleren", aldus de onderzoeker.
Hij testte in totaal 29 Nederlandse banksites. In de tests werd gecontroleerd of recente SSL/TLS aanvallen zoals BEAST en CRIME mogelijk zijn, of de website zwakke encryptiealgoritmes aanbiedt, en of DNSSEC ingeschakeld was. Geen enkele bank leverde een perfecte score af.
Inlogpagina
Volgens de onderzoeker is door de afwezigheid van DNSSEC het erg makkelijk om, op bijvoorbeeld www.rabobank.nl, de link naar de inlogpagina te vervangen door een kwaadaardige link. "Wanneer de gebruiker éénmaal vergeet het slotje in de adresbalk te controleren, kan even later geld overgeschreven worden naar het rekeningnummer van de aanvaller. Het gebruik van een Random Reader of sms-verificatie helpt hier niet tegen."
Om van de kwetsbaarheden misbruik te maken moet er sprake van een Man-in-the-Middle situatie zijn of DNS cache poisoning. "De eerste gedachte is een openbaar of gekraakt WiFi-netwerk (een netwerk met WEP bijvoorbeeld), maar er kan ook worden gedacht aan overheden of mensen die bij een provider werken", laat de onderzoeker weten.
Als voorbeeld geeft hij een provider als Ziggo of KPNn, maar ook een transit provider als Reggefiber of Atom86, of een DNS provider als OpenDNS. "Alles up-to-date houden (recente openssl versies zijn beschermd tegen BEAST bijvoorbeeld) en configuraties bijwerken (CRIME werkt alleen wanneer deflate/zlib compressie is ingeschakeld) kan al veel problemen verhelpen."
Browser
Gommans stelt dat ook consumenten actie kunnen ondernemen om de meeste aanvallen te voorkomen. "Controleer of je een moderne browser gebruikt zoals Internet Explorer 9, Chrome 22, of Firefox 16, en of deze ook van de laatste updates voorzien zijn. Windows Update is hierbij ook van belang, aangezien Internet Explorer en Chrome hierop vertrouwen voor Certificate Authorities, welke van kritisch belang zijn voor de veiligheid van alle https websites."
Daarnaast moeten internetgebruikers niet vergeten om het 'slotje' in de browser te controleren. "Bij het intypen van mijn.ing.nl wordt deze standaard over een onbeveiligde connectie geladen. Normaal wordt u doorverwezen naar een beveiligde inlogpagina, maar een aanvaller kan hier een stokje voor steken. De aanvalspagina ziet er exact hetzelfde uit, maar in de adresbalk staat opeens een pagina zonder slotje. Of er staat een slotje, maar de site is mijn.ing.nl.securlogin.tk."
dat de klant de TAN SMS leest voordat hij de TAN code intoetst?
http://en.wikipedia.org/wiki/Man-in-the-browser
secure.security.nl: https://www.ssllabs.com/ssltest/analyze.html?d=secure.security.nl
www.pine.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.pine.nl
www.certifiedsecure.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.certifiedsecure.com
www.fox-it.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.fox-it.com
www.lbvd.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.lbvd.nl
Als de security bedrijven het zelf al niet goed doen, wat kan je dan verwachten van banken. Maar aan de andere kant is het ook niet heel eenvoudig om een BEAST aanval uit te voeren.
De website van de Hiawatha webserver daarentegen:
http://www.hiawatha-webserver.org/: https://www.ssllabs.com/ssltest/analyze.html?d=www.hiawatha-webserver.org :P
Ik heb Fox-IT er al op aangesproken, Ronald Prins gaf mij als verklaring dat het toch maar een statische site was en de nieuwe website er aankwam en ze dan zouden updaten. Nieuwe site is er inmiddels maar blijkbaar niet updated...
Groet,
Goo
De kans dat je succes hebt met sslstrip is aanzienlijk groter.
Ik zie trouwens net dat de pastebin entry is verwijderd...
Dat komt omdat de onderzoeker alleen de voor hem gunstige gevallen laat zien: het was kennelijk niet interessant genoeg om de echte banking applicatiesites te testen of de resultaten waren teleurstellend om aandacht te vragen.
Oma Sien of oom Gerrit zal overigens geen enkele moeite met beast hebben, die laat je al in tal van andere problemen trappen die veel makkelijker te gebruiken zijn om klanten aan te vallen.
http://pastebay.net/1152419
Doet me denken aan zo'n "onderzoek" wat ongeveer ieder jaar wordt gepubliceerd dat niet alle sites met persoonsgegevens SSL hebben en dat hierdoor "gegevens op straat liggen". Uitgevoerd door: jawel een leverancier van certificaten.
Het échte probleem met internetbankieren zijn de MITB's/BITB's die via botnets ingezet worden op geinfecteerde PC's en de malware die nu nog niet gedetecteerd wordt door antivirus en dus vrolijk hun gang kunnen gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.