Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Internetbankieren - Man in the Middle
12-12-2012, 10:03 door Erwtensoep, 2 reacties
Er zijn de afgelopen jaren verschillende kwetsbaarheden gevonden in SSL en TLS die gebruikt kunnen worden voor MitM aanvallen. Deze zijn echter te fixen door serverside aanpassingen te maken/te updaten en eventueel moet de betreffende software van die client(browser e.d.) ook worden geupdate. Het probleem is echter dat heel veel websites nog kwetsbaar zijn hiervoor ondanks dat sommigen al jaren bekend zijn. Ook bij internetbankieren bij de bekendere Nederlandse banken zit er nog veel fout, ondanks hun campagnes voor veilig internetbankieren voor hun klanten hebben ze blijkbaar niet al te veel aandacht voor security van hun kant.
Insecure renegotiation:
Ontdekt eind 2009, in 2010 is een nieuwe SSL/TLS standaard uitgebracht(rfc5746) waarin dit is gefixed.
http://blog.ivanristic.com/2009/11/ssl-and-tls-authentication-gap-vulnerability-discovered.html
https://community.qualys.com/blogs/securitylabs/2010/10/06/disabling-ssl-renegotiation-is-a-crutch-not-a-fix
In Firefox is her overigens mogelijk om bij sites die nog de oude standaard gebruiken, de beveiligde verbinding niet als succesvol te beschouwen en dus geen slotje weer te geven of om de verbinding helemaal niet op te zetten en een waarschuwing te geven:
https://wiki.mozilla.org/Security:Renegotiation#Control
BEAST attack:
Ontdekt in 2011, was al gefixed in TLS 1.1+, maar daar is weinig support voor, RC4 cipher suites prioriteren werkt ook.
https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
CRIME Attack
Ontdekt in 2012, gebruikt een kwetsbaarheid in TLS compressie, de oplossing is om TLS compressie uit te schakelen.
https://community.qualys.com/blogs/securitylabs/2012/09/14/crime-information-leakage-attack-against-ssltls
De banksites:
ABN AMRO:
Secure renegotiation: Kwetsbaar
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.abnamro.nl/nl/logon/identification.007
Aegon Bank:
Secure renegotiation: Kwetsbaar
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://mijn.aegonbank.nl/
ASN Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.asnbank.nl/onlinebankieren/secure/loginparticulier.html
Bank of Scotland:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Kwetsbaar
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://banking.bankofscotland.nl/netbankingnl/RetailLoginHome.html
Friesland Bank:
Secure renegotiation: Kwetsbaar
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://internetbankieren.frieslandbank.nl/ebank
ING Bank:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=https://mijn.ing.nl/internetbankieren/SesamLoginServlet
Rabobank:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=https://bankieren.rabobank.nl/klanten/
SNS Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.snsbank.nl/mijnsns/secure/login.html
Triodos Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Ja
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=bankieren.triodos.nl&s=213.236.80.139
Van Lanschot:
Secure renegotiation: Kwetsbaar
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=www.vanlanschot.com&s=193.173.195.10
En dan nog even het rapport voor secure.security.nl, niet echt belangrijk op zo'n site, als je dan toch HTTPS aanbied, doe het dan goed, vooral als security site en gezien het onderwerp van deze site is het toch belangrijk het goede voorbeeld te nemen.
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://secure.security.nl/
Insecure renegotiation:
Ontdekt eind 2009, in 2010 is een nieuwe SSL/TLS standaard uitgebracht(rfc5746) waarin dit is gefixed.
http://blog.ivanristic.com/2009/11/ssl-and-tls-authentication-gap-vulnerability-discovered.html
https://community.qualys.com/blogs/securitylabs/2010/10/06/disabling-ssl-renegotiation-is-a-crutch-not-a-fix
In Firefox is her overigens mogelijk om bij sites die nog de oude standaard gebruiken, de beveiligde verbinding niet als succesvol te beschouwen en dus geen slotje weer te geven of om de verbinding helemaal niet op te zetten en een waarschuwing te geven:
https://wiki.mozilla.org/Security:Renegotiation#Control
BEAST attack:
Ontdekt in 2011, was al gefixed in TLS 1.1+, maar daar is weinig support voor, RC4 cipher suites prioriteren werkt ook.
https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls
CRIME Attack
Ontdekt in 2012, gebruikt een kwetsbaarheid in TLS compressie, de oplossing is om TLS compressie uit te schakelen.
https://community.qualys.com/blogs/securitylabs/2012/09/14/crime-information-leakage-attack-against-ssltls
De banksites:
ABN AMRO:
Secure renegotiation: Kwetsbaar
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.abnamro.nl/nl/logon/identification.007
Aegon Bank:
Secure renegotiation: Kwetsbaar
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://mijn.aegonbank.nl/
ASN Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.asnbank.nl/onlinebankieren/secure/loginparticulier.html
Bank of Scotland:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Kwetsbaar
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://banking.bankofscotland.nl/netbankingnl/RetailLoginHome.html
Friesland Bank:
Secure renegotiation: Kwetsbaar
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://internetbankieren.frieslandbank.nl/ebank
ING Bank:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=https://mijn.ing.nl/internetbankieren/SesamLoginServlet
Rabobank:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=https://bankieren.rabobank.nl/klanten/
SNS Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.snsbank.nl/mijnsns/secure/login.html
Triodos Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Ja
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=bankieren.triodos.nl&s=213.236.80.139
Van Lanschot:
Secure renegotiation: Kwetsbaar
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=www.vanlanschot.com&s=193.173.195.10
En dan nog even het rapport voor secure.security.nl, niet echt belangrijk op zo'n site, als je dan toch HTTPS aanbied, doe het dan goed, vooral als security site en gezien het onderwerp van deze site is het toch belangrijk het goede voorbeeld te nemen.
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://secure.security.nl/
Reacties (2)
12-12-2012, 12:10 door
AdVratPatat
Dit probleem is al jaren bekend, zoals je terecht al opmerkt, vandaar dat ik me afvraag wat je precies verwacht van ons als lezer bij dit topic. In het buitenland (vooral buiten de EU) is het helemaal triest gesteld overigens.
Feiten:
Dat je (bedoeld of niet) insinueert dat dit te "fixen" valt door wat aanpassingen hier en daar door te voeren is niet helemaal correct. Implementatie van oplossingen voor dergelijke problemen zijn een verhaal van kosten / baten.
Het vereist een complete revisie, van de grond af dus, van de gehele infrastructuur en is in de praktijk enkel haalbaar voor "nieuwe spelers op de markt," en de partijen die zich willen profileren / onderscheiden op het gebied van duurzaamheid en veiligheid.
Wel kan ik je verzekeren dat genoemde problemen, en vele-vele-vele anderen zijn opgenomen in de beleidsnota's van vrijwel alle grote financiële instellingen in Nederland, al verwacht ik niet dat dit op korte termijn daadwerkelijk effect heeft.
IMHO:
Deze kwetsbaarheden zijn (potentieel) te misbruiken door zowel malware (passief) als hackers (actief) en zal, gezien de ontwikkelingen de laatste jaren op het gebied van malware en de groei in eenvoudige verkrijgbaarheid van exploits, een enorme toename van fraude met internet-bankieren tot gevolg hebben. Op naar 2013.
EDIT:
@TS: Nogmaals, de strekking is duidelijk, maar wat verwacht je voor reacties? "Oh, dit is wel erg?"
Feiten:
Dat je (bedoeld of niet) insinueert dat dit te "fixen" valt door wat aanpassingen hier en daar door te voeren is niet helemaal correct. Implementatie van oplossingen voor dergelijke problemen zijn een verhaal van kosten / baten.
Het vereist een complete revisie, van de grond af dus, van de gehele infrastructuur en is in de praktijk enkel haalbaar voor "nieuwe spelers op de markt," en de partijen die zich willen profileren / onderscheiden op het gebied van duurzaamheid en veiligheid.
Wel kan ik je verzekeren dat genoemde problemen, en vele-vele-vele anderen zijn opgenomen in de beleidsnota's van vrijwel alle grote financiële instellingen in Nederland, al verwacht ik niet dat dit op korte termijn daadwerkelijk effect heeft.
IMHO:
Deze kwetsbaarheden zijn (potentieel) te misbruiken door zowel malware (passief) als hackers (actief) en zal, gezien de ontwikkelingen de laatste jaren op het gebied van malware en de groei in eenvoudige verkrijgbaarheid van exploits, een enorme toename van fraude met internet-bankieren tot gevolg hebben. Op naar 2013.
EDIT:
@TS: Nogmaals, de strekking is duidelijk, maar wat verwacht je voor reacties? "Oh, dit is wel erg?"
12-12-2012, 14:46 door
Erwtensoep
@AdVratPatat
Ik kwam toevallig op die site voor Firefox instelling mbt renegotiation, toen had ik een paar banksites getest om te kijken hoe het er nu voor staat. Juist omdat dit al langer bekend is was ik benieuwd om te kijken of er in de afgelopen jaren wat veranderd is, of dat het nog steeds zo erg is. Omdat ik het toch al aan het opzoeken was kostte het niet zoveel moeite omdat in een post te zetten en dit te laten zien en mogelijk worden personen bij banken via Google Alerts e.d. hiervan op de hoogte gesteld. Hopelijk wordt het dan door de desbetreffende persoon naar het management doorgespeeld en zou het mogelijk wat meer prioriteit krijgen. Verder ben ik het ook met jouw mening eens dus dacht ik dat het geen kwaad kon om dit weer even in beeld te brengen.
Van de problemen had ik wel door dat ze niet allemaal door wat aanpassingen te fixen zijn, maar ik had het idee dat sommigen niet zoveel moeite kosten.
Ik kwam toevallig op die site voor Firefox instelling mbt renegotiation, toen had ik een paar banksites getest om te kijken hoe het er nu voor staat. Juist omdat dit al langer bekend is was ik benieuwd om te kijken of er in de afgelopen jaren wat veranderd is, of dat het nog steeds zo erg is. Omdat ik het toch al aan het opzoeken was kostte het niet zoveel moeite omdat in een post te zetten en dit te laten zien en mogelijk worden personen bij banken via Google Alerts e.d. hiervan op de hoogte gesteld. Hopelijk wordt het dan door de desbetreffende persoon naar het management doorgespeeld en zou het mogelijk wat meer prioriteit krijgen. Verder ben ik het ook met jouw mening eens dus dacht ik dat het geen kwaad kon om dit weer even in beeld te brengen.
Van de problemen had ik wel door dat ze niet allemaal door wat aanpassingen te fixen zijn, maar ik had het idee dat sommigen niet zoveel moeite kosten.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.