Oftewel, weer een hoop BS van BJ

BS van byte.nl: http://www.byte.nl/cms/byte/nieuws/algemeen-nieuws/327-ev-ssl-must-voor-belangrijke-sites.html, BJ reageert alleen maar.

Overigens zaten er wel wat details in de uitzending (van vorige week vrijdag, nu reeds op security.nl!): aanvaller kan blijkbaar een certificaat kopen voor digid.nl zonder eigenaar te zijn van dat domein, vervolgens moet hij slachtoffer (via router met default admin-admin password en nieuwe DNS) naar eigen site lokken. De browser slaat dan natuurlijk geen alarm want het certificaat klopt gewoon.

Je kan ook iemand's pinpas stelen en onder bedreiging de pincode laten vertellen. Erg he!

Ironischerwijs gebruikt Byte.nl in diens eigen webmail géén EV-certificaat.. ( https://webmail.byte.nl/prod/ ; )

Exact. Helaas zijn er nog genoeg mensen die denken dat een SSL certificaat voldoende is om een website te beveiligen.

Computer beveiliging is lastig. Er is echter een makkelijke scheiding te maken tussen onbewezen "computational" security en bewezen "information theoretic / unconditional secure" security.

De informatie systemen welke onder andere door banken gebruikt worden zijn allemaal "computational secure", dus onbewezen veilig. Met dit soort systemen zullen dus altijd dit soort problemen blijven bestaan.

Er zijn echter ook bewezen "Information-Theoretic secure" systemen welke tegen relatief lage kosten ontwikkeld en ingevoerd kunnen worden. Op bepaalde gebieden en in bepaalde landen vindt dit dus ook plaats. Een voorbeeld hiervan is te vinden op de link http:/www.wuala.com/freemovequantumexchange. Een ander voorbeeld is te vinden op http://www.swissquantum.com

Echter veel partijen welke informatie systemen ontwikkelen (met name grote amerikaanse spelers) hebben geen belang in het
ontwikkelen en invoeren van echt veilige systemen. Daarmee gaan voor de spelers op dit gebied de bestaande belangen verloren namelijk het hebben/krijgen van (steeds meer) inzicht in de gedragspatronen van mensen / organisaties en hier ook actief op kunnen inspelen / ingrijpen.

Kijkt U eens op de link http://www.swissquantum.com. Waarom vinden er zo weinig investeringen plaats door de financiele sector in dit type bewijsbaar veilige systemen. Ik denk dat een goed onderzoek op dit gebied vele ogen zullen openen. Het is een kwestie van politieke / financiele belangen, niet van onmogelijkheden waarom echt veilige systemen niet (voldoende) van de grond komen.

ja, maar perspectives hebt op somige sites zwaar nukken, vooral paypal bokt het ding zwaar.
ik heb het al uitmoeten schakelen om uberhaupt iets te moeten daar.

Hoe maak je je als provider belachelijk in de wereld van de beveiliging: door aan de bel te trekken met een probleem dat al zeer lang bekend is. Zou hun belang die veiligheid zijn? Vergeet het maar. Als de knutselaars een uitgekauwd kunstje weten te herhalen voor de televisie is er maar een doel: eigen promotie. Tel eens hoe vaak hun naam mooi op de televisie komt. Ze denken dat banken en andere bedrijven de stap gaan maken om wel veilig te worden? Dan zitten ze met hun hoofd echt in de grond. Het is namelijk niet zo dat de banken hun systemen niet grondig laten controleren en niet van het probleem afweten. Het punt is dat beveiliging een kwestie van risico management is: men neemt bewust een risico. Waarom? Niet om het geld, maar omdat de gebruikers die certificaten moeten vertrouwen en net zo makkelijk in een EV als 'gewoon' certificaat trappen. De wereld is er namelijk niet aan toe om enkel nog EV certificaten te verplichten. En dan de situatie van het EV gedeelte: EV is niets meer dan een extra procedure, waarbij je moet vertrouwen dat de uitdeler zich aan die procedure houd. Daarmee zijn we weer terug bij nul. Het probleem zijn niet de banken zoals de provider wil laten geloven, maar van vertrouwen op het hele internet. Fail voor byte.

Leuk detail, als je kijkt op https://www.verisign.com (bv met firefox) dan zie je dat ze wel EV certificaten gebruikt, maar ook RC4-MD5 als ciphers gebruiken..

Ze hebben in die uitzending niet genoeg genuanceerd dat alleen isp's certificaten kunnen kopen voor domeinen die ze niet zelf bezitten. Let wel dat er maar één louche isp in een ver land hoeft te zijn die dit doorverkoopt en SSL is voor de helft nutteloos geworden (de andere helft - encryptie - blijft onaangetast).

Om ervoor te zorgen dat het slachtoffer met jouw server verbindt als hij digid.nl intikt moet je eerst wat DNS cache poisoning uitvoeren. Maar als je een draadloos netwerk aanbiedt op een drukke plaats waar de DNS vervalst is kun je al het een en ander onderscheppen.

EV-SSL is daadwerkelijk een betere mate van bescherming. Als jouw bank dat niet biedt, controleer dan de sha-fingerprint (nee, niet md5) iedere keer als je inlogt, want die kan zelfs een isp niet vervalsen. Voor de überparanoïden onder ons: zorg ervoor dat die fingerprint via een ander medium dan het internet door de bank aan jou kenbaar wordt gemaakt. Bel de helpdesk maar eens, ik ben benieuwd of ze je vraag snappen.

Ik werk met Fx en heb o.a. de add-on SSL Blacklist http://www.codefromthe70s.org/sslblacklist.aspx geïnstalleerd. Als ik inlog op rabobank.be

https://secure1.rabobank.be/exp/authenticationNL.jsp?type=login

dan geeft SSL Blacklist de volgende melding: Certificate OK

Ook

https://bankieren.rabobank.nl/klanten?ra_mfvars=clickout|Rabobank+-+Particulieren|externalwebsite

geeft Certificate OK

Wat heeft Netwerk dan juist onderzocht vraag ik me af. :-? Het artikel spreekt over "De nieuwe gecertificeerde beveiligingsvorm is herkenbaar aan de groene adresbalk.". Met welke browser is dat dan?

Ze maakten wel een valide punt. Veel mensen staren blind op het slotje.
De oplossing is niet alleen het aanschaffen van een 'groene' certificaat maar ook de mensen zelf onderwijzen.
Zodat ze het verschil weten tussen de verschillende certificaten. Anders heeft de aanschaf van zo'n extended validated ook weinig zin.

Persoonlijk denk ik dat de groep die kwetsbaar is voor dit soort aanvallen(vaak in combinatie met trojans), heel lastig deze kennis zich laat bij brengen.
Daar valt geen certifcaat tegen op te kopen.

Die EV certificaten zijn je reinste windhandel... Voor een fors bedrag meer krijg je een zogenaamd iets hardere "garantie" dat het certificaat toebehoort aan het bedrijf of de instelling die erop staat. En een 'groene' balk (milieuvriendelijk?). Maar hoe weet je dat VeriSign of wie dan ook dat goed controleert? Niet dus :)

@ Dim:

Jawel, je moet je dan bij een notaris legitimeren...

Voor iedereen die de uitzending heeft gezien, stelde men ook nog dat men op afstand kon inloggen op routers, en dan gegevens kon omleiden naar een andere website.

Voor zover ik weet staat deze optie van remote beheer op afstand uit in de alle routers. Deze optie kan natuurlijk worden aangezet
als men dat wenst, maar ik vraag me af of ze routers zijn die deze optie standaart aan hebben staan.

Wie weet een aantal routers waar deze optie standaard aan staat ???


Thanks

Het is allemaal weer behoorlijk overtrokken inderdaad. Want hoe vind de aanval plaats? Daarvoor moet ook een DNS hijack uitvoeren o.i.d., iets wat natuurlijjk al langer een probleem is en waar wel oplossingen voor zijn inmiddels (DNSSEC).

Het uitgangspunt van televisieprogramma Netwerk, was een router waarvan het standaard wachtwoord nooit was aangepast en waarvan aldus de DNS te manipuleren was, vervolgens kon met dan d.m.v. een frauduleus certificaat de eindgebruiker 'voor de gek houden'.
De enige foutieve conclusie van televisieprogramma Netwerk was dat er een ISP voor nodig zou zijn, zo'n frauduleus certificaat te verkrijgen, dit kan echter iedereen gewoon online doen.

Het gaat erom dat je als klant moet kunnen vertrouwen dat het certificaat is aangevraagd door een partij die dit juridisch gezien mag doen. Bij reguliere certificaten is de validatie van de aanvrager (te) summier. Bij EV certificaten is dit proces veel zwaarder. Ook de partijen die het certificaat mogen afgeven moeten voldoen aan criteria. SSL is naast vertrouwelijkheid ook van belang voor identificatie. Als je vertrouwelijk communiceert met een criminele groep, terwijl je veronderstelt dit met een legitieme bank te doen, heb je niets aan die vertrouwelijke communicatie....

Ik heb het gehad met Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen. Deze man is helemaal aan het hyperventileren over alles wat maar fout is. Ik denk dat hij totaal geen benul heeft van het concept kosten-baten-risico's.

Hij was ook al zo hyper aan het doen met de OV chipkaart enkel met als doel om zijn eigen security opleiding te promoten....onder het motto "wie schrijft die blijft".

Hij is compleet los van deze wereld en denkt enkel vanuit zijn universiteits glazen stolpje... Deze man zorgt enkel voor ruis op de lijn.

Tssssssssssssssss.... Redactie ?!
Een beetje 'censuur' kan geen kwaad, zeker bij dit soort, aan smaad grenzende, anonieme reacties, zonder enkele toegevoegde waarde.... , toch ?!

Wij worden zoet gehouden met gebakken lucht en inmiddels zit het IMF als derde na grootste houder op tonnen van het echte spul.

Right. Alsof een site met een EV certificaat beschermt tegen DNS poisoning.
Want de DNS poison is hetgeen wat de crux is van het verhaal.

En de zinsnede dat "hackers in staat zijn dergelijke sites te kraken"....hiermee wordt geimpliceerd dat een site zonder
EV certificaat zondermeer te 'kraken' is. Dit is gewoon pertinent onjuist.

Ik sluit me aan bij de mensen die dit een publiciteitsactie vinden.

Het was weliswaar een enorm knullige documentaire, met enorm ongelukkige woord keuzes, maar dat krijg je altijd als nitwitz een wetenschappelijk/technisch onderwerp 'bespreken'.
Het is natuurlijk voorzien van een spectaculaire titel maar dit geldt voor iedere SSL-site.
Het is m.i. zeker GEEN publiciteitsactie (voor wat/wie?) en nogmaals; de enige foutieve conclusie van televisieprogramma Netwerk was dat er een ISP voor nodig zou zijn, zo'n frauduleus certificaat te verkrijgen.

Door stellingen in de nemen dat door de afwezigheid van een EV-SSL certificaat "banken onvoldoende beveiligd zijn" en dat "dergelijke sites te kraken" zijn proberen de auteurs een schrikeffect te bewerkstelligen wat berust op een foutieve interpretatie van het probleem. De niet subtiele hint dat Byte zelf wél een EV-SSL certificaat heeft en de ruchtbaarheid die er door Byte aan wordt gegeven, terwijl het ECHTE probleem - namelijk DNS poisoning - in mindere mate besproken wordt doet mij omslaan naar dat het de auteurs voornamelijk om exposure te doen is. Het is dus niet een site of bank die 'gekraakt' wordt maar de adresgegevens die omgeleid worden wat tot het geschetste probleem leidt.

Dat een EV certificaat hiertegen (dus DNS poisoning) zou beschermen is dus ook onjuist. Een EV certificaat gekoppeld aan een visuele representatie in browsers kan gebruikers wel assisteren een oordeel te vormen over de juistheid van de identiteit van het bedrijf. Wat dát is het doel van een EV-SSL certificaat: aanvullende zekerheid geven dat de juridische entiteit die een website bestuurt, geindentificeerd is. Wat certificaten betreft wordt onder de streep gewoon een beroep gedaan op het intellect van de gebruikers. Hoeveel mensen klikken niet op OK als bijvoorbeeld een certificaat verlopen is?

Het is inderdaad een knullige documentaire. Misschien is het geen bewuste 'publiciteitsstunt', maar zijn ze gewoon onbewust onbekwaam.

Ze maken wel een klein puntje dat een EV certificaat beter gecontroleerd wordt. Maarja, dit was in 2007 al bekend, misschien zelfs al wel veeel eerder.

Sinds wanneer is het verboden om je meningsuiting te geven?
Er staat toch echt:" Ik denk.."
Moet je dan meteen gaan ingrijpen omdat iemand die een gesprek met de beste man heeft gehad daar een visie van heeft opgetrokken?
ALARM! Beetje censuur!
'Tis potverdikkie China niet!