Belgische banken verhelpen SSL-problemen
Belgische banken hebben massaal de SSL-problemen die door een Belgische blogger werden ontdekt verholpen. Zo ondersteunen de banken geen oudere versies meer van het SSL-protocol. Het SSL-protocol wordt onder andere gebruikt om het verkeer tussen bezoekers en de banksite te versleutelen.
Blogger Yeri Tiete besloot de SSL-implementaties van de banken te testen via de website van SSL Labs. Het resultaat was schokkend, waarbij allerlei grote banken een onvoldoende scoorde. Zo werd bijvoorbeeld het SSL 3.0-protocol nog ondersteund. In dit protocol zijn kwetsbaarheden ontdekt die een aanvaller in bepaalde scenario's kan gebruiken om gebruikers aan te vallen.
Verholpen
De Belgische banken kwam na het bericht en de mediastorm die losbrak in actie en hebben grotendeels de gevonden problemen verholpen. Zo ging ING Belgie van een "F" naar een "A-". De Record Bank deed hetzelfde, zo blijkt uit een blogposting van Tiete. Fortuneo en Ogone scoren met een "C" het laagst, maar Ogone heeft aangegeven dat het vandaag de ondersteuning van SSL 3.0 zal stopzetten.
"We hebben vandaag beslist om de oudere SSL-versie 3 niet langer te ondersteunen en minstens TLS 1.0 te eisen. Hierdoor kan een beperkt aantal cliënten sinds vanmorgen niet meer inloggen. We nemen nu met hen contact op. Door deze aanpassing is onze score op de 'SSL Labs test' meteen verhoogd van C naar B, wat een veilige score is", zo liet Luk Lammens, woordvoerder van Bank van Breda & Co, maandag al tegenover Het Laatste Nieuws weten.
ING, Record Bank en Bank van Breda & Co benadrukken dat de veiligheid van online betalingstransacties op geen enkel moment in gevaar is geweest. "De aangehaalde gevoeligheden waren bekend", aldus een woordvoerder van Record Bank. "En de geplande aanpassingen worden versneld uitgevoerd, waardoor Record Bank nog in de loop van de dag een topniveau zal halen."
Ook de Keytrade Bank stelt dat haar website steeds veilig was. "We maken wel degelijk gebruik van het SHA-256 (SHA2) mechanisme", aldus de bank. "Sommige besturingssystemen van Apple zijn niet in staat zijn het certificaat van de uitgever te herkennen wanneer deze gebruik maakt van dat mechanisme. We bevelen al onze klanten aan om steeds de meest recente updates browsers en besturingssystemen te installeren."
Hij heeft dus zijn 15 minutes of fame gehad, maar weet eigenlijk niet waar hij over spreekt.
De veiligheid van een HTTPS verbinding is toch iets minder simpel om te analyseren dan via dit simpel scoring systeem, alhoewel het natuurlijk wel een indicatie geeft.
Er zijn bijvoorbeeld perfect valide redenen waarom iemand geen "Forward Secrecy" wil gebruiken, bijvoorbeeld als je SSL decryption wil laten doen door een IDS/IPS systeem.
Ook is "SHA1" niet noodzakelijk onveilig, enkel de "collision resistance" is minder gegarandeerd. SHA1, en MD5, kunnen ook op manieren gebruiken worden waarbij collision resistance geen vereiste eigenschap is en voor die toepassingen is MD5 en SHA1 dus nog steeds perfect "veilig" om te gebruiken.
https://labanquepostale.fr - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4 en ondersteunt geen FS - https://www.ssllabs.com/ssltest/analyze.html?d=www.labanquepostale.fr
https://societegenerale.fr - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, etc - https://www.ssllabs.com/ssltest/analyze.html?d=societegenerale.fr
https://deutschebank.de - scoort A, gebruikt SHA1 cert - https://www.ssllabs.com/ssltest/analyze.html?d=deutsche-bank.de
https://secure.bgzglobal.pl - scoort B, gebruikt SHA1 - https://www.ssllabs.com/ssltest/analyze.html?d=secure.bgzglobal.pl
https://ingbank.pl - scoort B, gebruikt SHA1 - https://www.ssllabs.com/ssltest/analyze.html?d=ingbank.pl
https://danskebank.de - scoort B, gebruikt SHA1, https://www.ssllabs.com/ssltest/analyze.html?d=danskebank.dk
https://unicredit.it - scoort C, kwetsbaar voor POODLE, gebruikt SHA1, RC4, geen FS- https://www.ssllabs.com/ssltest/analyze.html?d=unicredit.it&latest
https://bancosantander.es - scoort C, kwetsbaar voor POODLE, gebruikt SHA1, RC4, geen FS - https://www.ssllabs.com/ssltest/analyze.html?d=bancosantander.es
https://www.365online.com (bank of ireland) - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, FS - https://www.ssllabs.com/ssltest/analyze.html?d=365online.com&latest
https://lgt.li ( liechtenstein ) - scoort B, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, FS - https://www.ssllabs.com/ssltest/analyze.html?d=lgt.li
https://www.bankofluxemburgonline.com, soort A-, https://www.ssllabs.com/ssltest/analyze.html?d=www.bankofluxemburgonline.com&s=199.102.149.109
Er hebben nog meer banken wel wat te doen, dan.
Peter
P.S. En dan zijn bankdirecteuren nog verbaasd dat we banken niet vertrouwen.
Hij heeft dus zijn 15 minutes of fame gehad, maar weet eigenlijk niet waar hij over spreekt.
De veiligheid van een HTTPS verbinding is toch iets minder simpel om te analyseren dan via dit simpel scoring systeem, alhoewel het natuurlijk wel een indicatie geeft.
Er zijn bijvoorbeeld perfect valide redenen waarom iemand geen "Forward Secrecy" wil gebruiken, bijvoorbeeld als je SSL decryption wil laten doen door een IDS/IPS systeem.
Ook is "SHA1" niet noodzakelijk onveilig, enkel de "collision resistance" is minder gegarandeerd. SHA1, en MD5, kunnen ook op manieren gebruiken worden waarbij collision resistance geen vereiste eigenschap is en voor die toepassingen is MD5 en SHA1 dus nog steeds perfect "veilig" om te gebruiken.
+1
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.