"Rabobank neemt DNS-lek serieus"
Wie veilig wil bankieren doet er na de ontdekking van het DNS-lek van Dan Kaminsky verstandig aan om rechtstreeks het IP-adres van de bank op te zoeken, in plaats van DNS te gebruiken, maar hoe reageert een bank als je om het juiste IP-adres vraagt? Dennis Baaten nam de proef op de som en belde de Rabobank of ze hem het IP-adres van https://bankieren.rabobank.nl konden geven. De vrouw die hem te woord stond liet weten dat de verantwoordelijke persoon erop dat moment niet was en vroeg of hij een e-mail kon sturen.
In de e-mail maakte Baaten zijn verhaal en reden duidelijk en voegde daarbij aan toe dat hij het antwoord graag telefonisch zou willen ontvangen, omdat een hacker de e-mail zou kunnen onderscheppen. Hij zag echter dat het sturen van de mail ook niet zonder risico's was. "Eigenlijk is het stellen van deze vraag via de email al een risico, omdat ik misschien wel teruggebeld wordt door een hacker die dit bericht heeft onderschept."
Later die dag werd Baaten gebeld door een medewerker van de bank. "Hij vroeg wat ik met het ip-adres wilde doen, waarop ik antwoordde dat ik het graag wilde hebben omdat ik de DNS niet meer vertrouwde en tóch wilde internetbankieren door het ip-adres in mijn hosts bestand te zetten." De man gaf niet alleen het IP-adres, maar wilde ook de MD5 en SHA1 hashes van de huidige SSL certificaten voorlezen, om zo de authenticiteit van de certificaten te verifiëren. "Die moeite heb ik hem bespaard en vertelde dat het IP-adres voor mij op dit moment zekerheid genoeg was," aldus een tevreden Baaten.
Reacties (26)
07-09-2008, 15:20 door
Eerde
De Rabobank is altijd al voorlopert geweest op het gebied van Internetbankieren, betalen etc. Nu is met SMS betalen ook duidelijk geworden waarom men al een paar jaar als 'provider' optreed van mobiele diensten.
Het verhaal boven laat wel zien dat het snugger is van een medewerker om eens te horen waarom iemand dat wil weten, echter er zijn honderden tools die je die info geven. In mijn Firefox heb ik Netcraft en dat geeft rechtsonder het IP adres weer.
In het geval van de Rabo: 145.72.70.20 en na inloggen is dat: 145.72.84.9 deze wetenschap is echt openbaar en zelfs wenselijk als mensen dat weten. Dat merk je aan de Rabo reactie die ook alle MD5 en SHA1 hashes wil opnoemen.
Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Ooit iemand gehoord dat de Rabobank slachtoffer van een phishing scam is geworden ?
Het verhaal boven laat wel zien dat het snugger is van een medewerker om eens te horen waarom iemand dat wil weten, echter er zijn honderden tools die je die info geven. In mijn Firefox heb ik Netcraft en dat geeft rechtsonder het IP adres weer.
In het geval van de Rabo: 145.72.70.20 en na inloggen is dat: 145.72.84.9 deze wetenschap is echt openbaar en zelfs wenselijk als mensen dat weten. Dat merk je aan de Rabo reactie die ook alle MD5 en SHA1 hashes wil opnoemen.
Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Ooit iemand gehoord dat de Rabobank slachtoffer van een phishing scam is geworden ?
Het is op zich interessant een route trace naar bankieren.rabobank.nl te doen. Dit kan bijvoorbeeld met windows door een dos shell te starten en het commando "tracert bankieren.rabobank.nl" in te typen. Stel het IP adres wat dan gegeven wordt van bankieren.rabobank.nl is 145.72.84.9 Verder worden ook alle IP-nummers van alle tussenliggende knooppunten gegeven van de Client naar de Rabobank. Vervolgens kun je controleren of de URL's https://bankieren.rabobank.nl/ en https://145.72.84.9/ dezelfde resultaten opleveren.
@Eerde: In theorie kan ook de informatie die je via netcraft opvraagt vervalst zijn.
Als we zover gaan om IP adressen en hashes via een telefoongesprek gaan verifieren, dan ken ik er ook nog wel eentje:
Wil je een veilig systeem, dan zou je zowieso een authentieke CD moeten hebben van je Operating System. Wil je GNU/Linux, bestel dan bijv. de Ubuntu CD via shipit.ubuntu.com. Dan is het nog de vraag of dat niet onderschept was, en je een authentiek-lijkende CD ontvangt waarin de CA certificaten zijn vervalst.
Als je MS Windows legaal koopt in de winkel, is die kans er ook. Knap persoon die dat zo goed kan namaken, maargoed.
Het begint in iedergeval al bij het installeren van het systeem, of de pre-installed CA certificaten kloppen. Hoe heeft bijv. de distribiteur van het OS de CA certificaten verkregen? :)
Maar, zolang die CA certificaten kloppen, dan kan je ook het certificaat op bankieren.rabobank.nl controleren. Deze is gesigneerd door Verisign.
Zolang het certificaat klopt, ben je niet het slachtoffer van DNS spoofing, of iets anders.
Dus meneer Baaten had beter wel de MD5 en SHA1 hash kunnen verifieren, in plaats van het IP adres. Want, het IP adres kan ook gehijacked worden. Zie het 'recente' BGP lek :)
Als we zover gaan om IP adressen en hashes via een telefoongesprek gaan verifieren, dan ken ik er ook nog wel eentje:
Wil je een veilig systeem, dan zou je zowieso een authentieke CD moeten hebben van je Operating System. Wil je GNU/Linux, bestel dan bijv. de Ubuntu CD via shipit.ubuntu.com. Dan is het nog de vraag of dat niet onderschept was, en je een authentiek-lijkende CD ontvangt waarin de CA certificaten zijn vervalst.
Als je MS Windows legaal koopt in de winkel, is die kans er ook. Knap persoon die dat zo goed kan namaken, maargoed.
Het begint in iedergeval al bij het installeren van het systeem, of de pre-installed CA certificaten kloppen. Hoe heeft bijv. de distribiteur van het OS de CA certificaten verkregen? :)
Maar, zolang die CA certificaten kloppen, dan kan je ook het certificaat op bankieren.rabobank.nl controleren. Deze is gesigneerd door Verisign.
Zolang het certificaat klopt, ben je niet het slachtoffer van DNS spoofing, of iets anders.
Dus meneer Baaten had beter wel de MD5 en SHA1 hash kunnen verifieren, in plaats van het IP adres. Want, het IP adres kan ook gehijacked worden. Zie het 'recente' BGP lek :)
Ohja, en ook: hoe heeft die bank-medewerker het IP adres achterhaald?? haha, ik denk ook slechts via een DNS lookup :)
Nog een tip... Hoewel ik in mijn post zojuist al heb gezegd dat uiteindelijk zelfs het weten van het IP adres niet alles uitsluit... als je graag het IP adres wil controleren...
Doe dan eerst je DNS lookup. En doe vervolgens een WHOIS lookup op het gegeven IP adres. Zelfs die WHOIS informatie kan je natuurlijk in theorie vervalsen, maar dan wordt een aanval al een factor moeilijker van. Omdat een aanvaller niet anticipeert dat je een whois controle zou doen ;-):
~$ host bankieren.rabobank.nl
bankieren.rabobank.nl has address 145.72.84.9
~$ whois 145.72.84.9
[...]
% Information related to '145.72.0.0/16AS8211'
route: 145.72.0.0/16
descr: RABO-IPNET
origin: AS8211
mnt-by: AS8211-MNT
source: RIPE # Filtered
Om *nog* zekerder te zijn, kan je je whois lookup hier doen: https://www.ripe.net/db/whois.html :)
Nog een tip... Hoewel ik in mijn post zojuist al heb gezegd dat uiteindelijk zelfs het weten van het IP adres niet alles uitsluit... als je graag het IP adres wil controleren...
Doe dan eerst je DNS lookup. En doe vervolgens een WHOIS lookup op het gegeven IP adres. Zelfs die WHOIS informatie kan je natuurlijk in theorie vervalsen, maar dan wordt een aanval al een factor moeilijker van. Omdat een aanvaller niet anticipeert dat je een whois controle zou doen ;-):
~$ host bankieren.rabobank.nl
bankieren.rabobank.nl has address 145.72.84.9
~$ whois 145.72.84.9
[...]
% Information related to '145.72.0.0/16AS8211'
route: 145.72.0.0/16
descr: RABO-IPNET
origin: AS8211
mnt-by: AS8211-MNT
source: RIPE # Filtered
Om *nog* zekerder te zijn, kan je je whois lookup hier doen: https://www.ripe.net/db/whois.html :)
07-09-2008, 16:13 door
[Account Verwijderd]
[Verwijderd]
07-09-2008, 16:32 door
Eerde
Door makksjuh
Nee hoor dat is de grap nu net. Dat maakt niet uit.Door Eerde
Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Dat is schijnveiligheid. Die live CD is al bijna weer verouderd op gebied van security updates op het moment dat hij in de brievenbus valt. Dan zou je de CD kunnen aanbieden op de website waar dan standaard de nieuwste security updates in zitten, maar dan mag je dus elke keer weer die CD downloaden en fikken voordat je gaat internetbankieren.Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
07-09-2008, 16:34 door
Paultje
Door EerdeDe Rabobank is altijd al [color=red]voorlopert[/color] geweest op het gebied van Internetbankieren, betalen etc. Nu is met SMS betalen ook duidelijk geworden waarom men al een paar jaar als 'provider' optreed van mobiele diensten.
Het verhaal boven laat wel zien dat het snugger is van een medewerker om eens te horen waarom iemand dat wil weten, echter er zijn honderden tools die je die info geven. In mijn Firefox heb ik Netcraft en dat geeft rechtsonder het IP adres weer.
In het geval van de Rabo: 145.72.70.20 en na inloggen is dat: 145.72.84.9 deze wetenschap is echt openbaar en zelfs wenselijk als mensen dat weten. Dat merk je aan de Rabo reactie die ook alle MD5 en SHA1 hashes wil opnoemen.
Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Ooit iemand gehoord dat de Rabobank slachtoffer van een phishing scam is geworden ?
Het verhaal boven laat wel zien dat het snugger is van een medewerker om eens te horen waarom iemand dat wil weten, echter er zijn honderden tools die je die info geven. In mijn Firefox heb ik Netcraft en dat geeft rechtsonder het IP adres weer.
In het geval van de Rabo: 145.72.70.20 en na inloggen is dat: 145.72.84.9 deze wetenschap is echt openbaar en zelfs wenselijk als mensen dat weten. Dat merk je aan de Rabo reactie die ook alle MD5 en SHA1 hashes wil opnoemen.
Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Ooit iemand gehoord dat de Rabobank slachtoffer van een phishing scam is geworden ?
Voorloper(t)? Lees jij soms te veel GeenStijl of zo?
@Anoniem@Eerde
Als het IP-nummer 145.72.84.9 opgezocht wordt met https://www.db.ripe.net/whois dan komt hier uit:
role: Rabobank DBM
address: Rabobank ICT
address: Laan van Eikenstein 9
address: 3705 AR Zeist
address: The Netherlands
phone: +31 30 2151716
fax-no: +31 30 2151986
e-mail: name-it@rf.rabobank.nl
Als het IP-nummer 145.72.84.9 opgezocht wordt met https://www.db.ripe.net/whois dan komt hier uit:
role: Rabobank DBM
address: Rabobank ICT
address: Laan van Eikenstein 9
address: 3705 AR Zeist
address: The Netherlands
phone: +31 30 2151716
fax-no: +31 30 2151986
e-mail: name-it@rf.rabobank.nl
07-09-2008, 16:47 door
Eerde
@Paultje
Ja, GeenStijl, Schrijfstijl, whatever,. Mag het van jou... ofzo ofnie ?
Ja, GeenStijl, Schrijfstijl, whatever,. Mag het van jou... ofzo ofnie ?
07-09-2008, 18:42 door
Eerde
Door Anoniem@Anoniem@Eerde
Als het IP-nummer 145.72.84.9 opgezocht wordt met https://www.db.ripe.net/whois dan komt hier uit:
role: Rabobank DBM
address: Rabobank ICT
address: Laan van Eikenstein 9
address: 3705 AR Zeist
address: The Netherlands
phone: +31 30 2151716
fax-no: +31 30 2151986
e-mail: name-it@rf.rabobank.nl
Ja, nou, en, dus.....?Als het IP-nummer 145.72.84.9 opgezocht wordt met https://www.db.ripe.net/whois dan komt hier uit:
role: Rabobank DBM
address: Rabobank ICT
address: Laan van Eikenstein 9
address: 3705 AR Zeist
address: The Netherlands
phone: +31 30 2151716
fax-no: +31 30 2151986
e-mail: name-it@rf.rabobank.nl
Door Eerde
Dat is schijnveiligheid. Die live CD is al bijna weer verouderd op gebied van security updates op het moment dat hij in de brievenbus valt. Dan zou je de CD kunnen aanbieden op de website waar dan standaard de nieuwste security updates in zitten, maar dan mag je dus elke keer weer die CD downloaden en fikken voordat je gaat internetbankieren.
Nee hoor dat is de grap nu net. Dat maakt niet uit.Natuurlijk maakt dat wel uit. Als je browser lek is, en je gaat surfen met een Live CD, wil dat niet zeggen dat je niet gehackt kan worden. Enige voordeel ervan is dat je na reboot niet meer geinfecteerd bent, totdat je nogmaals wordt geinfecteerd.
Door Eerde@Paultje
Ja, GeenStijl, Schrijfstijl, whatever,. Mag het van jou... ofzo ofnie ?
Je vergeet ook al de R in je naam.. Eerder! ...want je wil blijkbaar altijd "eerder" reageren dan de rest! ;)Ja, GeenStijl, Schrijfstijl, whatever,. Mag het van jou... ofzo ofnie ?
Door EerdeHet verhaal boven laat wel zien dat het snugger is van een medewerker om eens te horen waarom iemand dat wil weten, echter er zijn honderden tools die je die info geven.
De kunst is juist dat dat niet betrouwbaar is, je kan het beter rechtstreeks van je bank vernemen, dan hebben die de verantwoordelijkheid over de geboden informatie.Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Ik zie weinig personen voor hun lol en gemak graag hun pc uitzetten en dan alleen voor het bankieren even een cd gaan starten en draaien. En dan komt er nog bij dat die live systemen ook achter kunnen lopen en tijdens het draaien net zo onveilig zijn als iedere ander systeem. Het gaat er niet om of de cd statisch is maar of hoe het systeem tijdens het bankieren in gebruik is.Ooit iemand gehoord dat de Rabobank slachtoffer van een phishing scam is geworden ?
probeer db.aa419.org eens. Weinig haalt de media, die is alleen dol op sensatie als het om veilig bankieren gaat.Door EerdeDe Rabobank is altijd al voorlopert geweest op het gebied van Internetbankieren, betalen etc. Nu is met SMS betalen ook duidelijk geworden waarom men al een paar jaar als 'provider' optreed van mobiele diensten.
Het verhaal boven laat wel zien dat het snugger is van een medewerker om eens te horen waarom iemand dat wil weten, echter er zijn honderden tools die je die info geven. In mijn Firefox heb ik Netcraft en dat geeft rechtsonder het IP adres weer.
In het geval van de Rabo: 145.72.70.20 en na inloggen is dat: 145.72.84.9 deze wetenschap is echt openbaar en zelfs wenselijk als mensen dat weten. Dat merk je aan de Rabo reactie die ook alle MD5 en SHA1 hashes wil opnoemen.
Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Ooit iemand gehoord dat de Rabobank slachtoffer van een phishing scam is geworden ?
een goede reactie maar even kappen met het pushen van linuxHet verhaal boven laat wel zien dat het snugger is van een medewerker om eens te horen waarom iemand dat wil weten, echter er zijn honderden tools die je die info geven. In mijn Firefox heb ik Netcraft en dat geeft rechtsonder het IP adres weer.
In het geval van de Rabo: 145.72.70.20 en na inloggen is dat: 145.72.84.9 deze wetenschap is echt openbaar en zelfs wenselijk als mensen dat weten. Dat merk je aan de Rabo reactie die ook alle MD5 en SHA1 hashes wil opnoemen.
Het enige wat ik de Rabo nog ter overweging zou willen geven is om een 'live CD' te maken van eoa GNU/Linux distro die je volledig uitkleed en waarmee mensen specifiek kunnen Internetbankieren. Dat heeft zeer veel veiligheidsvoordelen en kan de laatste twijfelaars over de streep trekken.
Ooit iemand gehoord dat de Rabobank slachtoffer van een phishing scam is geworden ?
De Rabobank is degelijk wel een voorloper van beveiliging. Ik ben een actieve gebruiker van internet bankieren bij de Rabobank en ik kan gewoon zeggen, dat de Rabobank absoluut een veilige bank is. Ze doen er van alles aan om het ook zo veilig mogelijk te houden. Het zijn snelle jongens, als het gaat om beveiliging.
Bedankt voor de tip : db.aa419.org
http://db.aa419.org/fakebankslist.php?psearch=rabo&Submit=GO&psearchtype=
http://db.aa419.org/fakebankslist.php?psearch=rabo&Submit=GO&psearchtype=
08-09-2008, 11:25 door
wimbo
Door AnoniemDe Rabobank is degelijk wel een voorloper van beveiliging. Ik ben een actieve gebruiker van internet bankieren bij de Rabobank en ik kan gewoon zeggen, dat de Rabobank absoluut een veilige bank is. Ze doen er van alles aan om het ook zo veilig mogelijk te houden. Het zijn snelle jongens, als het gaat om beveiliging.
Combineer dat met de wetenschap dat de postbank er bjina ieder uur uit ligt.....Door wimbo
zware onzin, kan er altijd op als ik het nodig heb.Door AnoniemDe Rabobank is degelijk wel een voorloper van beveiliging. Ik ben een actieve gebruiker van internet bankieren bij de Rabobank en ik kan gewoon zeggen, dat de Rabobank absoluut een veilige bank is. Ze doen er van alles aan om het ook zo veilig mogelijk te houden. Het zijn snelle jongens, als het gaat om beveiliging.
Combineer dat met de wetenschap dat de postbank er bjina ieder uur uit ligt.....de bericht is ook wel wat gekleurt. 1 iemand belt en heeft (misschien) mazzel dat ie goed door de helpdesk molen komt en de bank neemt het dns-lek serieus. beetje beter onderzoek zou wel mogen voor je zo'n conclusie trekt.
08-09-2008, 15:07 door
Eerde
probeer db.aa419.org eens. Weinig haalt de media, die is alleen dol op sensatie als het om veilig bankieren gaat.
Heb ik net gedaan.... geen enkele link met 'rabo' erin werkt, alles 404 etc.een goede reactie maar even kappen met het pushen van linux
De enige keer dat ik GNU/Linux noem is bij "live CD" ken jij anderen dan ?Van de PC boer die er van M$ een heeft voor hulp bij reparaties, hoor ik dat hij liever een Knoppix live-CD gebruikt.
Je vergeet ook al de R in je naam.. Eerder! ...want je wil blijkbaar altijd "eerder" reageren dan de rest! ;)
Gisteren was de eerste keer, in al mijn jaren hier, dat ik als eerste postte.... vreemde opmerking dus. Eerst even onderzoeken voor je dingen aan mij toeschrijft.
08-09-2008, 15:11 door
Eerde
Solly er waren 2 pags...
Deze werkt wel: http://www.rabn.net/
Mwah, als je die verwart met de RaboBank ben je mentaal verdwaald ;)
Deze werkt wel: http://www.rabn.net/
Mwah, als je die verwart met de RaboBank ben je mentaal verdwaald ;)
08-09-2008, 16:09 door
Eerde
A. view-source:% Doet dus helemaal nix, de pagina blijft gewoon blanco. Op XP/eBox/Chrome0.2.149.29
B. Net even mijn bankzaken gedaan en daarna zoals aangegeven gezocht op: "rekening", "Saldo" & "bank" om te zien wat er LOKAAL in mijn eigen Cache staat.
De eerste keer niet in 'privacy mode', de tweede keer wel.
Resultaat:
B1. Nix noppes nada, natuurlijk krijg ik de eerste pag van de Rabobank, maar geen enkele pagina daarna.
B2. Nix noppes nada, wel krijg ik nu (vreemd genoeg) wel een aantal startpags, dus ook die van het inloggen, maar zonder gegevens.
Je kan er dus nix mee, ook niet met de LOKAAL opgeslagen data uit je browser cache (iets dat iedere browser doet en waarvoor vele tooltjes bestaan om die uit te lezen).
Het geheel is dus allemaal M$-FUD, begrijpelijk want M$ heeft haar langste tijd gehad en in haar doodstrijd zullen er nog wel meer mensen door het lint gaan.
Jammer dat de div websites die vroeger serieus waren mee doen aan deze hype-FUD omdat het nu eenmaal veel clicks oplevert en zo dus weer veel advertentie-inkomsten, van Google notabene.
Van de reaguurders is bekend dat ze liever blaten, napapagaaien en FUD verspreiden dan dat ze zelf even iets onderzoeken of testen.
Triest is het wel.
B. Net even mijn bankzaken gedaan en daarna zoals aangegeven gezocht op: "rekening", "Saldo" & "bank" om te zien wat er LOKAAL in mijn eigen Cache staat.
De eerste keer niet in 'privacy mode', de tweede keer wel.
Resultaat:
B1. Nix noppes nada, natuurlijk krijg ik de eerste pag van de Rabobank, maar geen enkele pagina daarna.
B2. Nix noppes nada, wel krijg ik nu (vreemd genoeg) wel een aantal startpags, dus ook die van het inloggen, maar zonder gegevens.
Je kan er dus nix mee, ook niet met de LOKAAL opgeslagen data uit je browser cache (iets dat iedere browser doet en waarvoor vele tooltjes bestaan om die uit te lezen).
Het geheel is dus allemaal M$-FUD, begrijpelijk want M$ heeft haar langste tijd gehad en in haar doodstrijd zullen er nog wel meer mensen door het lint gaan.
Jammer dat de div websites die vroeger serieus waren mee doen aan deze hype-FUD omdat het nu eenmaal veel clicks oplevert en zo dus weer veel advertentie-inkomsten, van Google notabene.
Van de reaguurders is bekend dat ze liever blaten, napapagaaien en FUD verspreiden dan dat ze zelf even iets onderzoeken of testen.
Triest is het wel.
08-09-2008, 16:14 door
lievenme
Door AnoniemOhja, en ook: hoe heeft die bank-medewerker het IP adres achterhaald?? haha, ik denk ook slechts via een DNS lookup :)
Nog een tip... Hoewel ik in mijn post zojuist al heb gezegd dat uiteindelijk zelfs het weten van het IP adres niet alles uitsluit... als je graag het IP adres wil controleren...
Doe dan eerst je DNS lookup. En doe vervolgens een WHOIS lookup op het gegeven IP adres. Zelfs die WHOIS informatie kan je natuurlijk in theorie vervalsen, maar dan wordt een aanval al een factor moeilijker van. Omdat een aanvaller niet anticipeert dat je een whois controle zou doen ;-):
~$ host bankieren.rabobank.nl
bankieren.rabobank.nl has address 145.72.84.9
~$ whois 145.72.84.9
[...]
% Information related to '145.72.0.0/16AS8211'
route: 145.72.0.0/16
descr: RABO-IPNET
origin: AS8211
mnt-by: AS8211-MNT
source: RIPE # Filtered
Om *nog* zekerder te zijn, kan je je whois lookup hier doen: https://www.ripe.net/db/whois.html :)
Heel goed, maar dat werkt niet in windows xpNog een tip... Hoewel ik in mijn post zojuist al heb gezegd dat uiteindelijk zelfs het weten van het IP adres niet alles uitsluit... als je graag het IP adres wil controleren...
Doe dan eerst je DNS lookup. En doe vervolgens een WHOIS lookup op het gegeven IP adres. Zelfs die WHOIS informatie kan je natuurlijk in theorie vervalsen, maar dan wordt een aanval al een factor moeilijker van. Omdat een aanvaller niet anticipeert dat je een whois controle zou doen ;-):
~$ host bankieren.rabobank.nl
bankieren.rabobank.nl has address 145.72.84.9
~$ whois 145.72.84.9
[...]
% Information related to '145.72.0.0/16AS8211'
route: 145.72.0.0/16
descr: RABO-IPNET
origin: AS8211
mnt-by: AS8211-MNT
source: RIPE # Filtered
Om *nog* zekerder te zijn, kan je je whois lookup hier doen: https://www.ripe.net/db/whois.html :)
ik vermoed dat dit linux-bevelen zijn (host en whois)
Weet iemand hoe dat kan onder windows, of las ik er over?
met dank!!
08-09-2008, 16:32 door
Eerde
Google maar even op 'whois' en 'IP number' dan zuller er ook voor windhoo$ wel oplossingen zijn.
Weet iemand hoe dat kan onder windows, of las ik er over?
met dank!!
met dank!!
No thanks ;-)
In windows heb je nslookup geloof ik wel..
Open je command prompt, via start -> uitvoeren -> cmd
typ nu: nslookup bankieren.rabobank.nl
Nu heb je het betreffende IP adres. Je gaat nu naar https://www.ripe.net/db/whois.html
Deze site bereik je met een beveiligde SSL verbinding. Controleer dus of je het gouwen slotje in beeld hebt. In het invoerveld op die site, zet je het door nslookup-verkregen adres.
Als er RABO-IPNET staat dan klopt de DNS lookup op dat moment.
Het beste kun je nu dat IP adres in je Hosts bestand zetten, die staat volgens mij in C:\WINDOWS\System32\Drivers als ik me niet vergis.
Maar je eigenlijk maakt dit niet zoveel uit, zolang wanneer je naar https://bankieren.rabobank.nl gaat, maar geen veiligheidswaarschuwingen krijgt. Dit vanuitgaande dat je computer zelf niet is gehackt.
Door Anoniem
Maar, zolang die CA certificaten kloppen, dan kan je ook het certificaat op bankieren.rabobank.nl controleren. Deze is gesigneerd door Verisign.
Zolang het certificaat klopt, ben je niet het slachtoffer van DNS spoofing, of iets anders.
Maar, zolang die CA certificaten kloppen, dan kan je ook het certificaat op bankieren.rabobank.nl controleren. Deze is gesigneerd door Verisign.
Zolang het certificaat klopt, ben je niet het slachtoffer van DNS spoofing, of iets anders.
O ja ?
En als we nu het de bug in de SSL libraries van kort geleden combineren met deze DNS aanval ?
http://groups.google.com/group/mozilla.dev.security/browse_thread/thread/b2cda44a0e6c4d5c
Als de bank een een certificaat heeft gebaseerd op deze SSL libraries met de bug, dan is het mogelijk om de private key te achterhalen en dus hetzelfde Rabobank / VeriSign gesignde certificaat op je eigen bankieren.rabobank.nl machine te gebruiken.
Het certificaat klopt gewoon.... net als het webadres.
AV up2date ? Zo, 3xkloppen, we kunnen doorgaan ;-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
