image

Hacker vindt lek in websites Nederlandse banken

vrijdag 20 maart 2009, 10:21 door Redactie, 21 reacties

Een beveiligingsonderzoeker heeft op de websites van verschillende Nederlandse banken een beveiligingslek gevonden, maar ondanks een uitgebreide waarschuwing heeft alleen ING het probleem opgelost. Twee weken geleden ontdekte onderzoeker Zarco Zwier dat het mogelijk was om via de zoekfunctie Cross-Site Scripting aanvallen op de websites van ING, ABN AMRO, AEGON Bank, Delta Lloyd, Binck Bank en Fortis uit te voeren. "De reden dat ik mijn vindingen heb gepubliceerd is de simpliciteit van de lekken en het feit de lekken vrij simpel verholpen zouden moeten kunnen worden", zo laat Zwier tegenover Security.nl weten. In het ergste geval zou een aanvaller de internetbankieren sessie van een slachtoffer kunnen overnemen en ook het uitvoeren van een phishingaanval behoort tot de mogelijkheden.

Genegeerd
De onderzoeker heeft screenshots van de aanval gemaakt, maar informatie om de lekken te misbruiken verwijderd. Dat neemt niet weg dat de banken het probleem wel moeten oplossen. "Een ieder die behendig is in het vinden van Cross-Site Scripting lekken, kan deze binnen enkele momenten vinden." Zwier had één van de banken al op 18 augustus 2008 gewaarschuwd voor iets veel gevaarlijkers. "Na een aantal mailwisselingen heb ik hen weten te overtuigen van de impact van mijn vinding. Pas toen hebben ze ingestemd een wijziging door te voeren."

In dit geval werden alle betrokken banken op 4 maart ingelicht. Nu twee weken verder gaf alleen de ING bank gehoor aan de oproep van de onderzoeker om het probleem te verhelpen. Bij de vijf overige banken is de mogelijkheid tot Cross-Site Scripting nog steeds aanwezig.

Reacties (21)
20-03-2009, 11:43 door Anoniem
wat een clowns, lek gevonden maar wordt niet gefixt.
20-03-2009, 11:57 door Anoniem
Loopt ING/Postbank ook eens voorop :P
20-03-2009, 12:21 door Anoniem
ING is geen slechte bank. Helaas is wel met de overgang van Postbank en ING hun website overhoop gehaald ( veel links liepen dood of in rondjes ). Online bankieren gebeurt momenteel ook in het blauw en oranje. Lijkt me dat ING die CSS'jes met een kleine moeite gelijk even had kunnen omkleuren. Maar al met al is het wel de enige die een security risk direct aanpakt, scoort zeker punten bij mij. Een gewaarschuwd mens telt voor 2!
20-03-2009, 12:25 door Anoniem
Ik zal mijn bank eens gaan bellen en vragen wanneer ik mijn poen weer veilig op hun rekening kan zetten, nu heb ik alles opgenomen.
Ik denk als meer mensen zo reageren, het erg snel is opgelost. ;)
20-03-2009, 12:38 door Anoniem
De vraag die je natuurlijk moet stellen. Was Zarco wel de eerste of is het al tig keer misbruikt ?
20-03-2009, 12:55 door Anoniem
banken verlamt door krediet krisis, word je geld niet gestolen door speculanten, dan wel door luie bankiers. ik heb dit al voorzien, koop niet via internet, en bankier zeker niet !
20-03-2009, 13:26 door Anoniem
De grote ontbrekende bank hier is natuurlijk... de Rabobank! Ik heb in het verleden wat security werk gedaan voor de Rabobank, en ik zou zeer verbaasd zijn als ze een simpele XSS op hun site hebben. ;-)

Voorkomen is nog altijd beter dan genezen!
20-03-2009, 13:36 door Anoniem
Zwier heeft een leuke mening over het snel moeten oplossen, maar hij vergeet wat bijkomende zaken. Veel bedrijven zijn log en traag doordat de functies verdeeld moeten zijn over meerdere werknemers en externe partijen. Een wijziging die voor de buitenwereld logisch lijkt zal niet bij ieder intern logisch zijn door gebrek aan expertise of andere prioriteiten. En als iets ook nog eens in software van een leverancier zit en dat via een derde partij moet komen.... wat verwacht je dan dat er gaat gebeuren. Ja, problemen als xss zijn vervelend, maar uiteindelijk gaat beveiliging om keuzes maken in risico/geld/tijd etc. Ik vind de tijd die Zwiers heeft gegeven voor zijn publieke bekendmaking werkelijk belachelijk. Niet dat ik het niet belangrijk vind. Maar kom op, 10 werkdagen is echt niet reeel. Waarschijnlijk moeten dan functionaliteiten compleet uit productie worden genomen, wat mogelijk nog slechter is voor de reputatie en behoud van klanten. En als ze het wel kunnen oplossen dan moet er ook eerst eens goed onderzocht worden of de fout niet elders in zit. Anders krijg je daar weer klachten over van wanabe onderzoekers. En waarom zou het niet eerder opgelost zijn? De regels waaraan banken zich hier in Nederland moeten houden kennende omdat het niet in zeer cruciale domeinen zit. Het beperkt zich tot informatieve delen. En hoe leuk xss ook lijkt om uit te buiten, het is niet bepaald een gevaar gebleken om te worden uitgebuit. Het is veel makkelijker en goedkoper gebleken om massaal fake domeinen op te zetten, waar de klanten ook wel in kunnen trappen. En voor het bemachtigen van informatie via een klant zijn virussen veel effectiever als ik de naar de publiek bekende aanvallen terug kijk. Wat ik hoop is dat banken door deze publiciteit meer aandacht gaan besteden aan onderzoek. Doen banken wel genoeg om op een professionele wijze de sites te bouwen en te kunnen laten onderzoeken? Ik zie bij ING bijvoorbeeld dat ze oude software gebruiken waar dit xss probleem in zit, software waar ze zelf niet aan mogen sleutelen.
20-03-2009, 13:52 door Anoniem
Door AnoniemDe grote ontbrekende bank hier is natuurlijk... de Rabobank! Ik heb in het verleden wat security werk gedaan voor de Rabobank, en ik zou zeer verbaasd zijn als ze een simpele XSS op hun site hebben. ;-)

Voorkomen is nog altijd beter dan genezen!
Les 1: wees nooit maar dan ook nooit verbaasd als iemand anders een lek weet te vinden en een webapplicatie waar je zelf na het onderzoek geen invloed meer op hebt.

Er zijn zoveel invloeden die voor wijzigingen kunnen zorgen dat het ondoenlijk is om verbaasd te zijn. En zeker een externe onderzoeker is met handen en voeten gebonden aan wat de medewerkers en management wel en niet voor elkaar krijgen voor, tijdens en lang na een onderzoek. Het is daarom zeer ongezond om verbaasd te zijn.
20-03-2009, 15:04 door Anoniem
Zwaar onprofessioneel, ego trip van de ontdekker. Integriteit is wat hij wel probeert af te dwingen van de banken, maar zelf integer omgaan met de informatie is blijkelijk geen gewenst gedrag.
20-03-2009, 15:10 door spatieman
fixen ???
Dat kost geld.!!!
ons geld!!!

dus laat maar lopen, als het fout gaat, schuiven we het af op de melder..
20-03-2009, 15:34 door Anoniem
Wat is nou precies het gevaar van deze vulnerability? Is het mogelijk om hiermee op iemands account in te loggen?

Die screenshots zeggen mijn een beetje weinig ;x
20-03-2009, 16:07 door Anoniem
Jammer dat q-go niet hun zaken op orde heeft.... en wel toevallig dat ze aan alle grote banken leveren
20-03-2009, 16:11 door Anoniem
Door AnoniemZwier heeft een leuke mening over het snel moeten oplossen, maar hij vergeet wat bijkomende zaken. Veel bedrijven zijn log en traag doordat de functies verdeeld moeten zijn over meerdere werknemers en externe partijen. Een wijziging die voor de buitenwereld logisch lijkt zal niet bij ieder intern logisch zijn door gebrek aan expertise of andere prioriteiten. En als iets ook nog eens in software van een leverancier zit en dat via een derde partij moet komen.... wat verwacht je dan dat er gaat gebeuren. Ja, problemen als xss zijn vervelend, maar uiteindelijk gaat beveiliging om keuzes maken in risico/geld/tijd etc. Ik vind de tijd die Zwiers heeft gegeven voor zijn publieke bekendmaking werkelijk belachelijk. Niet dat ik het niet belangrijk vind. Maar kom op, 10 werkdagen is echt niet reeel. Waarschijnlijk moeten dan functionaliteiten compleet uit productie worden genomen, wat mogelijk nog slechter is voor de reputatie en behoud van klanten. En als ze het wel kunnen oplossen dan moet er ook eerst eens goed onderzocht worden of de fout niet elders in zit. Anders krijg je daar weer klachten over van wanabe onderzoekers. En waarom zou het niet eerder opgelost zijn? De regels waaraan banken zich hier in Nederland moeten houden kennende omdat het niet in zeer cruciale domeinen zit. Het beperkt zich tot informatieve delen. En hoe leuk xss ook lijkt om uit te buiten, het is niet bepaald een gevaar gebleken om te worden uitgebuit. Het is veel makkelijker en goedkoper gebleken om massaal fake domeinen op te zetten, waar de klanten ook wel in kunnen trappen. En voor het bemachtigen van informatie via een klant zijn virussen veel effectiever als ik de naar de publiek bekende aanvallen terug kijk. Wat ik hoop is dat banken door deze publiciteit meer aandacht gaan besteden aan onderzoek. Doen banken wel genoeg om op een professionele wijze de sites te bouwen en te kunnen laten onderzoeken? Ik zie bij ING bijvoorbeeld dat ze oude software gebruiken waar dit xss probleem in zit, software waar ze zelf niet aan mogen sleutelen.

Ik ben het deels met je eens. Maar de rest van je verhaal, de 90% is goed praten. Waar ze ergens snel kunnen reageren is dat wel bij de ING. Het is geen hobby club. Log mischien met innovatie, maar threats nemen zij zeer serieus lijkt mij. Je hebt het over de regels waar ze zich aan moeten houden. Een van de die regels is snel reageren op dit soort zaken. Denk je nou echt dat ze geen teams hebben die paraat staan om dit op te vangen. Ik zou me niet verbazen dat ze intussen ook al een intern onderzoek naar Zwier zijn gestart. Leuk en aardig maar jou verhaal over wat goedkoper is ook onzin. Partijen die dit echt willen uitbuiten hebben daar ook de financien voor. Wat betreft de oude software waar ze niet aan mogen sleutelen, hoe weet jij dat nou. Weet jij wat voor afspraken er zijn gemaakt tussen de software leverancier en de ING ?
20-03-2009, 16:41 door Anoniem
Hacker pffft.... script kiddy bedoel je.
Binnen 10 minuten weet je waar hij woont, werkt en wat ie allemaal op het internet staat te brallen. Ik zou eerst even nadenken voordat je dit soort dingen gaat roepen op het internet . Ik denk dat je kans op een professionele carriere in de informatiebeveiliging nu wel verkeken is. In ieder geval bij de banken.
Pure aandacht trekkerij die nergens voor nodig is. Een pro had wel anders gehandeld.
20-03-2009, 17:01 door Anoniem
Door AnoniemHacker pffft.... script kiddy bedoel je.
Binnen 10 minuten weet je waar hij woont, werkt en wat ie allemaal op het internet staat te brallen. Ik zou eerst even nadenken voordat je dit soort dingen gaat roepen op het internet . Ik denk dat je kans op een professionele carriere in de informatiebeveiliging nu wel verkeken is. In ieder geval bij de banken.
Pure aandacht trekkerij die nergens voor nodig is. Een pro had wel anders gehandeld.


Kijk ik vind dat je Zwier niet op die wijze moet beledigen. Ik zou hem geen script kiddy noemen. Het is toch wel een degelijke Hacker. Ik denk dat hij nog steeds wel een kans in de informatiebeveiling zelfs bij een bank.

Ja, hij trekt natuurlijk wel de aandacht zo, maar goed jij ook. Wanneer heb jij voor het laatst als Pro gehandeld ?


20-03-2009, 18:22 door Anoniem
Door Anoniem[

Kijk ik vind dat je Zwier niet op die wijze moet beledigen. Ik zou hem geen script kiddy noemen. Het is toch wel een degelijke Hacker. Ik denk dat hij nog steeds wel een kans in de informatiebeveiling zelfs bij een bank.

Ja, hij trekt natuurlijk wel de aandacht zo, maar goed jij ook. Wanneer heb jij voor het laatst als Pro gehandeld ?


Een echte hacker had wel wat anders blootgelegd...

Een Pro had de banken eerst ingelicht en een Pro had ook iets geroepen over de partij waar het probleem vandaan komt.

Waarom zou je deze man nog inhuren? Hij kikt alleen maar op publiciteit en hits op z'n ads
20-03-2009, 19:52 door Anoniem
Door Anoniem
Ik ben het deels met je eens. Maar de rest van je verhaal, de 90% is goed praten. Waar ze ergens snel kunnen reageren is dat wel bij de ING. Het is geen hobby club. Log mischien met innovatie, maar threats nemen zij zeer serieus lijkt mij. Je hebt het over de regels waar ze zich aan moeten houden. Een van de die regels is snel reageren op dit soort zaken. Denk je nou echt dat ze geen teams hebben die paraat staan om dit op te vangen. Ik zou me niet verbazen dat ze intussen ook al een intern onderzoek naar Zwier zijn gestart. Leuk en aardig maar jou verhaal over wat goedkoper is ook onzin. Partijen die dit echt willen uitbuiten hebben daar ook de financien voor. Wat betreft de oude software waar ze niet aan mogen sleutelen, hoe weet jij dat nou. Weet jij wat voor afspraken er zijn gemaakt tussen de software leverancier en de ING ?
Uit je reactie maak ik op dat je zelf maar het een en ander hoopt over hoe het bij een bank werk. Ik probeer het werk van de banken niet goed te praten, ik ventileer enkel mijn mening rond mijn kennis in dit vakgebied. Dat is naar mijn mening ook nog eens wat anders dan het er mee eens zijn. Daarom had ik ook een hoop op verandering toegevoegd. Mijn tip is eens rond te kijken naar de pogingen tot phishing van de afgelopen jaren en eens te tellen hoe vaak meerdere nep-sites en virussen de voorkeur hebben boven XSS. Wat betreft het snel reageren: het draait bij banken om betrouwbaarheid en reputatie en van hogerhand ook nog eens om stabiliteit. Er zijn geen legers controleurs die vanuit de Nederlandse Bank en de overheid controle uitoefenen op de software, er zijn geen nauwkeurige regels hoe iets er technisch uit moet zien en waar men dat niet hoeft te doen. Het gaat er vooral om dat banken kunnen laten zien dat ze hun best doen. En ja, dan zijn er teams die moeten zorgen dat gevaar binnen korte tijd geneutraliseerd is. Maar daar komt ook bij kijken dat je niet elke bug zomaar kan of mag fixen, dat de ontwikkelaars niet dezelfde personen zijn als het toezicht, dat er juridische kanten aan zitten, dat niet alles prioriteit heeft. En denk niet dat die medewerkers dat opzettelijk doen, dat er niet nagedacht is over wat ze wel en niet snel aanpakken. Risicobeheersing is geen kwestie van simpel even wat fixen omdat iemand in de buitenwereld daarom vraagt. Overigens is het lek in de ing site nog lang niet gefixed (in tegenstelling tot wat men beweert in diverse media als webwereld). Ze gebruiken daar gewoon bagger oude versies voor hun statistieken, en dat is niet iets van gisteren, twee weken geleden of een paar maanden. Dubbeltje op de eerste rang, of een keuze. Het maakt weinig uit. Het gaat er om wat men bij de bank straks nog acceptabel vind.
20-03-2009, 20:08 door prikkebeen
Door AnoniemHacker pffft.... script kiddy bedoel je.
Binnen 10 minuten weet je waar hij woont, werkt en wat ie allemaal op het internet staat te brallen. Ik zou eerst even nadenken voordat je dit soort dingen gaat roepen op het internet . Ik denk dat je kans op een professionele carriere in de informatiebeveiliging nu wel verkeken is. In ieder geval bij de banken.
Pure aandacht trekkerij die nergens voor nodig is. Een pro had wel anders gehandeld.


Als het een script kiddy was zou de hele beveiliging van de Nederlandse banken wel een aanvfuiting zijn, denk je niet?

Onderschat je 'tegenstander' nooit!


21-03-2009, 00:09 door Anoniem
Door Anoniem
Ik ben het deels met je eens. Maar de rest van je verhaal, de 90% is goed praten.
Lijkt me geen goedpraten. Ken de situaties en t is daar nu eenmaal log en ook zelfs onwetend. Van de materie, van werk van elkaar. Daarin verschilt het niets met andere grote bedrijven.
Waar ze ergens snel kunnen reageren is dat wel bij de ING. Het is geen hobby club. Log mischien met innovatie, maar threats nemen zij zeer serieus lijkt mij.
Ik lees niet dat ze het niet serieus zouden nemen. Ze maken afwegingen.
Je hebt het over de regels waar ze zich aan moeten houden. Een van de die regels is snel reageren op dit soort zaken. Denk je nou echt dat ze geen teams hebben die paraat staan om dit op te vangen. Ik zou me niet verbazen dat ze intussen ook al een intern onderzoek naar Zwier zijn gestart.
Snel reageren is geen regel. Passend reageren wel. En dat hangt af van de situatie, prioriteiten, risico management. Hoe vaak denk je dat er pogingen gedaan worden om lekken te vinden en een bank er werkelijk achteraan gaat? Denk je dat ze alles controleren wat er maar langs komt? 1x raden lijkt me voldoende als je beseft dat dit soort lekken er anders niet in zouden zitten. Actie is reactie bij voldoende risico.
Leuk en aardig maar jou verhaal over wat goedkoper is ook onzin. Partijen die dit echt willen uitbuiten hebben daar ook de financien voor.
Tel de aanvallen met xss en het andere soort aanvallen en zie het zelf. Een risico is nog geen reden om het uit te buiten als iets anders aantrekkelijker is. Virussen, fake websites, fake domeinen: allemaal veel en veel populairder.
Wat betreft de oude software waar ze niet aan mogen sleutelen, hoe weet jij dat nou. Weet jij wat voor afspraken er zijn gemaakt tussen de software leverancier en de ING ?
Lijkt me geen kwestie van hoeven weten maar zeer goed mogelijke bijkomende situaties incalculeren. Banken zijn geen speciale bedrijven waar echt uitzonderingen zijn als ze producten van anderen gebruiken. Kennis over ict en veiligheid ligt vaak nog buiten de deur, in afhankelijkheid. Kwestie van vertrouwen.
23-03-2009, 08:30 door Anoniem
XSS is leuk speelgoed voor script kiddies. Eerst gedegen onderzoek naar de risico's van dit 'lek'. Daarna zal de code aangepast moeten worden en veelal door een development - test - acceptatie - productie proces moeten. In 10 dagen? Trek hier maar rustig een paar maanden voor uit!

Leuk voor Zwier dat hij hiermee publiciteit haalt, maar nog geen reden tot paniek zaaien onder de gebruikers van online banking etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.