image

Internetbankieren steeds onveiliger

vrijdag 15 juni 2007, 11:06 door Redactie, 9 reacties

De online beveiliging van banken wordt dankzij nieuwe diensten die ze aanbieden steeds onveiliger, zo blijkt uit Engels onderzoek. Er werden dit jaar 20% meer beveiligingslekken in de infrastructuur, applicaties en systemen van banken en andere financiele instellingen gevonden in vergelijking met vorig jaar. Een veel voorkomende fout zijn buffer overflows in Bind, waardoor een aanvaller toegang tot de DNS server kan krijgen. Een ander probleem zijn verlopen SSL certifcaten

De beveiligingsproblemen worden veroorzaakt doordat financiele organisaties "gedwongen" worden om online te gaan. "De extra toegankelijkheid mag dan handig voor de klanten zijn, op hetzelfde moment is men ook meer blootgesteld aan externe aanvallen," laat Roy Hills van NTA Monitor weten. Om dit soort problemen te voorkomen moeten banken de standaard Apache instellingen wijzigen en ervoor zorgen dat hun SSL certificaten up to date zijn.

Reacties (9)
15-06-2007, 12:20 door Anoniem
quote: "Een ander probleem zijn verlopen SSL certifcaten"

waarom? zolang de achterliggende privesleutel alleen bij de financiele
instelling bekend is, is een verlopen certificaat niets onveiliger dan een niet
verlopen certificaat.
Het geeft naar de klant toe echter wel een minder veilig/zeker gevoel omdat
de klant hiervan een melding krijgt.......aan de andere kant maakt dit de
klant wellicht meer allert op echt problematische situaties.
15-06-2007, 12:29 door Anoniem
quote: "Om dit soort problemen te voorkomen moeten banken de
standaard Apache instellingen wijzigen en ervoor zorgen dat
hun SSL certificaten up to date zijn."

Wow die arme banken, heavy hoor..... moeten ze nog wat doen
ook en ze 'verdienen' al zo weinig...... ;)
15-06-2007, 14:54 door Anoniem
Surf je met InternetExplorer naar de site van MijnPostbank.nl wordt je
nergens op geattendeerd. Doe hetzelfde met Opera en je zou bijna je geld
weer in een ouwe sok onder je matras gaan bewaren...
15-06-2007, 15:23 door Anoniem
Vogens mij verschilt de situatie voor banken niet van andere online
dienstverleners, die kampen met precies dezelfde beveiligingsproblemen.
Het probleem bij banken is blijkbaar dat ze hun beveiliging niet op orde
hebben.
15-06-2007, 16:23 door Anoniem
Door Anoniem
Surf je met InternetExplorer naar de site van MijnPostbank.nl wordt je
nergens op geattendeerd. Doe hetzelfde met Opera en je zou bijna je geld
weer in een ouwe sok onder je matras gaan bewaren...
Mijnpostbank.nl is de meest veilige internet bankier site verkrijgbaar. Hij is
namelijk altijd down!
15-06-2007, 17:44 door Thaddy
Door Anoniem
quote: "Een ander probleem zijn verlopen SSL
certifcaten"

waarom? zolang de achterliggende privesleutel alleen bij de
financiele
instelling bekend is, is een verlopen certificaat niets
onveiliger dan een niet
verlopen certificaat.
Certificaten zijn er in soorten en maten. Een certificaat is
mede gebaseerd op de verwachte duur van de veiligheid (een
extrapolatie van de steeds stijgende kans dat een
certificaat gecompromitteerd wordt. ) Een verlopen certificaat
is daarom een - ernstig - veiligheidsprobleem! en mag je
nooit negeren. Beter geen certificaat of een niet bij een
TTP geregistreerd certificaat dan een verlopen certificaat.
[edit]
Men neemt aan dat bij uitgifte van het certificaat tenminste 1 brute force kraak in gang wordt gezet. Indien door deze aanname, ceteris paribus, de kans op het vinden van de sleutel slechts enkele magnitudes groter is geworden verloopt het certificaat.
In Nederland zal een verlopen certificaat bij banken niet - gauw - voorkomen i.v.m. regelgeving DNB, maar ook omdat wij in Nederland (als banken) qua ervaring behoorlijk voorop lopen. Dat is de reden dat wij die regelgeving/controle al hebben :-)
[/edit]

Thaddy de Koning, Alex beleggersbank
15-06-2007, 21:05 door Anoniem
Door Anoniem
Surf je met InternetExplorer naar de site van
MijnPostbank.nl wordt je
nergens op geattendeerd. Doe hetzelfde met Opera en je zou
bijna je geld
weer in een ouwe sok onder je matras gaan bewaren...
inderdaad
16-06-2007, 00:33 door Anoniem
@anoniem en Thaddy:

Een verlopen SSL certificaat is wel degelijk een groot
beveilingsrisico. Niet zozeer omdat de private key van het
certificaat na verloop van tijd gekraakt kan zijn ( we
hebben het hier over 512/1024 bits sleutels, daar ben je
LANG op aan het bruteforcen ). Waar het om gaat is de
melding die de user in zijn browser krijgt. Bij een verlopen
certificaat wordt er namelijk in IE ( ter voorbeeld ) een
melding gegeven dat het certificaat verlopen is. Het punt
is, users lezen deze melding niet.

Waar zit dan het gevaar in:
Het is heel makkelijk om binnen grote netwerken ARP
poisining uit te voeren waardoor je al het verkeer door jouw
eigen computer kunt leiden. Hierdoor kun je ook een eigen
certificaat in de handshake van een computer stoppen die via
SSL verbinding maakt met de server van bijv. een bank. Het
probleem is dat als dat gebeurt je ook een
certificaatfoutmelding krijgt in de browser. Een normale
gebruiker ziet echt het verschil niet tussen een verlopen-
en certificaatongeldig fout.
Dit heeft tot gevolg dat de gebruiker van zonder na te
denken op "Ja" klikken met tot gevolg dat de verbinding
getapt kan worden.
16-06-2007, 14:29 door Thaddy
Om volledig te zijn in een korte reactie is best moeilijk :)
bedankt voor je aanvulling, maar:
Dat klopt - ook- . ARP poisoning wordt echter heel anders
bestreden. (gezien je kennis weet je dat ook best.....).
Voor nederlandse banken is daarom de looptijd van het
certificaat tenminste zo belangrijk.
Ik geef toe dat de situatie elders een stuk kwalijker lijkt
te zijn.
Verlopen certificaat is dus gewoon een niet te negeren
veiligheidsrisico, zijn we het beiden over eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.