Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nieuwe e.dentifier software

10-12-2019, 17:02 door Briolet, 8 reacties
Op meerdere macs kregen we vandaag een melding dat er nieuwe e.dentifier software beschikbaar is. (Voor het inloggen bij de ABN-Amro). Leuk, maar dit werkte niet als je toestemming gaf.

Vervolgens op de website van de abn gekeken en daar de nieuwste versie gedownload. Toen ik de installatie instruktie doorlas, schrok ik echter:

https://www.abnamro.nl/nl/zakelijk/producten/digitaal-bankieren/e.dentifier/software-mac.html
En dan bedoel ik de eerste stap van punt 3. "De opdracht voor het negeren van een certificaat waarschuwing"

Een beetje geschiedenis. Medio 2018 was er de vorige update en daar bevatte de installer een verlopen certificaat. Ik heb dit doorgegeven aan mijn contactpersoon binnen de bank, die dit naar de goede afdeling zou doorsturen.

En wat zie ik nu? Inplaats van het opnieuw samenstellen van een pakket met correct certificaat, passen ze de instructie aan met een opdracht om een waarschuwing te negeren. Juist van een bank had ik zo iets niet verwacht. En dat loopt dus al anderhalf jaar.

De nieuwe software was overigens geziped met een algoritme dat niet in de standaard mac unzipper zit. (getest met El Capitan t/m High Sierra). Dat zal ook de reden geweest zijn dat de automatische installatie niet werkte. Ik heb nog een paar unzipers geprobeerd, die hem ook niet konden uitpakken.

Dan terug naar de terminal. Het programma 'unzip' kon hem wel gewoon uitpakken. (versie 6.0 van UnZip) En nu bleek dat deze versie van de e.dentifier software wel weer een geldig certificaat had. Blijkbaar hebben ze nieuwe software klaar gezet, zonder naar hun installatie-instructie te kijken. De certificaatwaarschuwing is er gelukkig niet meer. Geldig vanaf december 2016 t/m december 2021, dus in 2018 hadden ze dit certificaat ook al gewoon kunnen gebruiken.
Reacties (8)
10-12-2019, 18:01 door Erik van Straten
Door Briolet: [...] "De opdracht voor het negeren van een certificaat waarschuwing" [...]
Heel slecht inderdaad, een bank onwaardig.

Wat mij betreft moet het veel moelijker worden om certificaatwaarschuwingen te negeren, zoals bij HSTS het geval is. Er zou op z'n minst een soort penalty op moeten zitten die zo irtiteert dat men weigert en/of het onderliggende probleem aanpakt.

Misschien dat de overgrote meerderheid van systeembeheerders dan ophoudt met RDP certificaatwaarschuwingen en gewijzigde ssh fingerprints te negeren. En men in plaats daarvan de tijd neemt om het onderliggende probleem op te lossen zodat de volgende keer inloggen in elk geval zonder waarschuwingen plaatsvindt.

Wij securitymensen gaan ons niet vervelen de komende jaren...
10-12-2019, 18:08 door Anoniem
Wow.

Ook in stap 2 moet je op een Mac al waarschuwingen negeren.
Bank onwaardig dit.

Om de humor erin te houden: op het hoofdkantoor was dit vast het antwoord toen hun security afdeling riep dat je dit nooit moet doen: https://www.youtube.com/watch?v=9IG3zqvUqJY
10-12-2019, 18:10 door Anoniem
Door Erik van Straten:
Door Briolet: [...] "De opdracht voor het negeren van een certificaat waarschuwing" [...]
Heel slecht inderdaad, een bank onwaardig.
Diezelfde bank had een jaar of 10 geleden nog een zakelijk bankieren applicatie die onder Windows alleen goed werkte
als je inglogd was als een local administrator op je werkstation. Kritiek daarop werd ook weggewuifd. Dus daar zal men
niet snel wat leren denk ik.

RDP certificaten is een ander verhaal, als die telkens opnieuw dynamisch gegenereerd worden dan vraag je er als
OS fabrikant ook wel om!
10-12-2019, 18:14 door Anoniem
Naast dat je dus in stap 1 al andere dingen moet doen dan ze noemen (want hun ZIP pakt niet zomaar uit)

Krijg je vervolgens een niet mis te verstande fout:
'setup_430_signed.pkg' kan niet worden geopend omdat Apple het bestand niet kan controleren op kwaadaardige software.

Denk niet dat er veel klanten zijn die dit gaan doen.
11-12-2019, 09:40 door Anoniem
Ik snap dat jullie daar moeite mee hebben en terecht. Maar je kun de e-dentifier ook gebruiken, zonder hem aan de computer te koppelen. Geen problemen met al het bovenstaande, alleen wat meer werk.
12-12-2019, 11:53 door Rai03 - Bijgewerkt: 12-12-2019, 11:54
Door Briolet: De nieuwe software was overigens geziped met een algoritme dat niet in de standaard mac unzipper zit. (getest met El Capitan t/m High Sierra). Dat zal ook de reden geweest zijn dat de automatische installatie niet werkte. Ik heb nog een paar unzipers geprobeerd, die hem ook niet konden uitpakken.
Het is mogelijk om ZipOS_-_Edentifier_-_Software_for_Mac_setup_430.zip te unzippen met The Unarchiver: https://apps.apple.com/nl/app/the-unarchiver/id425424353?mt=12
, nadat The Unarchiver ingesteld is als standaard programma om zip-bestanden te openen.
12-12-2019, 13:51 door Briolet
Door Rai03:Het is mogelijk om ZipOS_-_Edentifier_-_Software_for_Mac_setup_430.zip te unzippen met The Unarchiver:

Had ik nog niet geprobeerd, (Stond zelfs al op de mac) maar die kan het inderdaad ook. Te kiezen via 'open met…". Alleen erg dat je als bank zo slordig omgaat met het grondig testen van software voor zulk gevoelige software als het valideren van betalingen. Het kan best zijn dat de programmeurs het programma wel goed getest hebben en het alleen mis gaat in het voorbereiden van een distributie. Laten we daar in elk geval van uit gaan.

In hun stappenplan gaan ze er blijkbaar vanuit dat de browser de zip al uitgepakt heeft. Dat is de default instelling van Safari. Maar ik had al getest dat dit ook niet werkt omdat Safari ook de default unzipper gebruikt. Ik zag in het stappenplan ook staan dat de filegrootte 1,8 MB is. Dit was correct, terwijl de vorige versie iets van 1.0 MB groot was. Blijkbaar hebben ze het stappenplan op dit punt wel aangepast, zonder te zien dat de nieuwe file nu een andere naam heeft en wel een geldig certificaat.

Wat betreft de reactie van 10-12-2019, 18:08: In stap twee moet inderdaad je ook een waarschuwing negeren, maar die is van andere orde dan een certificaat waarschuwing negeren. In stap twee gaat het erom dat je de software niet via Apple's AppStore ophaalt, maar van een andere partij die je dan moet vertrouwen. De ABN in dit geval een te vertrouwen partij en dat is dus een waarschuwing die je terecht kunt negeren.

Maar je kun de e-dentifier ook gebruiken, zonder hem aan de computer te koppelen
Klopt, maar in een zakelijke omgeving moet je dagelijks toch veel handelingen verrichten bij je bankrekening en dan scheelt het veel werk om het via een kabeltje te doen.
12-12-2019, 16:57 door Anoniem
Door Briolet: In stap twee gaat het erom dat je de software niet via Apple's AppStore ophaalt, maar van een andere partij die je dan moet vertrouwen.

Klopt, maar als ABN de app signed krijg je deze melding niet op systemen die sideloading van signed partijen nog toelaten. Dat was in dit geval ook nog eens niet het geval.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.