image

'Thuiswinkel websites onveilig wegens missen SSL'

vrijdag 2 april 2010, 09:57 door Redactie, 25 reacties

SSL-aanbieder Networking4all, door sommige media als internetbeveiliger omschreven, heeft een onderzoek uitgevoerd waarin het zegt dat het niet hebben van een SSL-certificaat gelijkstaat aan een onveilige webwinkel. De afgelopen jaren kwam het bedrijf regelmatig in de media met berichtjes over websites die een SSL-certificaat missen, bijvoorbeeld in het geval van overheidssites en webwinkels.

Door het niet aanbieden van een HTTPS-verbinding zouden webwinkels zelfs zo lek als een mandje zijn. Zowel een onderzoeker als betalingsverwerker Currence bekritiseerden de onderzoeken.

Keurmerk
Dat neemt niet weg dat SSL-certificaten verplicht zijn voor het Thuiswinkel.org keurmerk. Tot 1 april hadden leden de tijd om het benodigde certificaat aan te schaffen en die datum is nu verstreken. Networking4all komt vandaag dan ook met het persbericht: "Groot deel leden Thuiswinkel.org nog steeds niet afdoende beveiligd." Het gaat onder andere om marktplaats.nl, speurders.nl, halfords.nl, pietklerkx.nl en 123luisterboek.nl.

Volgens de SSL-aanbieder kunnen aanvallers op deze websites "zonder veel moeite gegevens van consumenten 'afluisteren'." Dat kan weer leiden tot gerichte diefstal of identiteitsfraude.

“Het is erg positief dat het aantal leden die persoonsgegevens over een beveiligde verbinding stuurt is gestegen. Het is echter wel teleurstellend dat uit een steekproef blijkt dat meer dan veertig webwinkels dit niet doet, ondanks de goedkeuring van Thuiswinkel.org. Wanneer de certificering goed was uitgevoerd had je als consument echt waarde aan het thuiswinkel waarborg kunnen hechten. Nu kun je dat in twijfel trekken", aldus technisch directeur Paul van Brouwershaven.

Reacties (25)
02-04-2010, 10:07 door Preddie
Networking4all zijn DE n00bs op het gebied van beveiliging, ze blaten maar raak en vervolgens prutsen ze maar wat aan.

De thuiswinkel websites zijn niet onveilig door het ontbreken van SSL, de verbinding met de gebruiker is minder beveiligd door het ontbreken van SSL. maar dat zegt niks over te website. Eigenlijk nog belachelijk voor woorden dat deze organisatie serieus genomen wordt in de beveiligingswereld..... bleh ..,

een aantal maanden geleden waren ze ook al aan het blaten over dit onderwerp alleen toen waren het andere websites, net alsof dit een hot issue is, maar eigenlijk gewoon weinig voorstelt.

http://www.security.nl/artikel/30498/1/%22Overheidssites_onveilig_door_ontbreken_HTTPS%22.html

Een andere maar doorslaggevende factor dat deze berichtgeving nog ongeloofwaardiger maakt is het feit dat Networking4all zelf leverancier is van SSL-certificaten en mensen op deze manier angst probeert aan te praten bij partijen die geen gebruik maken van SSL-certificaten.

Zoals ze bij Tros Radar zeggen, een koude douch voor Networking4all :P
02-04-2010, 10:08 door Anoniem
Verontrustend is dat onder de 736 websites die wel zijn goedgekeurd zich minimaal veertig sites bevinden die persoonsgegevens niet over een beveiligde verbinding sturen, wat wel wordt geëist door Thuiswinkel.org om deze certificering te verkrijgen.
02-04-2010, 10:14 door Anoniem
Nou ja, een SSL certificaat is niet voor niets een wettelijke verplichting lijkt me. Dan vind ik het persoonlijk wel kwalijk dat een site als Marktplaats daar niet voor zorgt. Dat het onderzocht is door Networking4all doet daar weinig aan af.
02-04-2010, 10:17 door [Account Verwijderd]
[Verwijderd]
02-04-2010, 10:27 door Anoniem
Ik vind het goed dat er eindelijk eens een bedrijf is welke gewoon durft te zeggen waar het op staat. Deze winkels voldoen niet aan de wettelijk verplichting en veel sturen gewoon je wachtwoord over een onbeveiligde verbinding. Thuiswinkel stelt het toch niet voor niets verplicht, ik wil als consument gewoon kunnen vertrouwen op het thuiswinkellogo, waar is het anders voor bedoeld?
02-04-2010, 10:35 door Anoniem
Zullen we mensen ook maar meteen angst aan gaan jagen door te vermelden dat provider e-mail onveilig is omdat alles over plain POP gaat (zonder SSL/TLS)? Of dat bij Hotmail alleen het inloggen secure is, het versturen van e-mail helemaal niet? Of de beveiliging van het MSN protocol? Als kers op de taart kunnen we ook nog aanhalen dat SSL eigenlijk helemaal niet tegen afluisteren beveiligd wanneer de CA's niet te vertrouwen zijn (http://security.nl/artikel/32871/1/SSL_niet_bestand_tegen_afluisteren_overheid.html).

Heel goed dat hier aandacht aan wordt besteedt, vertel dan alleen wel het _hele_ verhaal. Die kerel van Networking4all was net op BNR... het leek wel een aflevering van Sesamstraat...
02-04-2010, 10:57 door 2718912
Door Redactie: Zowel een onderzoeker als betalingsverwerker Currence bekritiseerden de onderzoeken.
Bob Goulooze van Currence reageerde op het feit dat Networking4all zegt dat hier een mogelijke verantwoordelijkheid voor iDeal ligt en niet op het feit dat het een wettelijke verplichting is of het onderzoek niet zou kloppen zoals de redactie van security.nl hier doet vermoeden.

Bron:Thttp://www.thuiswinkel.org/Consumenten/nieuws_publicaties.aspx?id=15072&nieuwsjaar=2009&subnavid=1Volgens Goulooze van beheerder Currence wordt iDeal, dat geen verantwoordelijkheid draagt voor veiligheid van webshops, ten onrechte in het verdomhoekje geplaatst.
Die onderzoeker die de redactie noemt heeft het over de SGC vermelding in site check van Networking4all en zegt ook niet dat websites niet beveiligd horen te zijn met SSL.

Een met SSL beveiligde verbinding hoort gewoon bij een goed beveiligde website!
02-04-2010, 11:00 door 2718912
Door Anoniem: Zullen we mensen ook maar meteen angst aan gaan jagen door te vermelden dat provider e-mail onveilig is omdat alles over plain POP gaat (zonder SSL/TLS)? Of dat bij Hotmail alleen het inloggen secure is, het versturen van e-mail helemaal niet? Of de beveiliging van het MSN protocol?
Lijkt me een goed idee!

Als kers op de taart kunnen we ook nog aanhalen dat SSL eigenlijk helemaal niet tegen afluisteren beveiligd wanneer de CA's niet te vertrouwen zijn
Klopt, maar zie jij een betere grootschalige oplossing?
02-04-2010, 11:27 door Anoniem
Currrence moet is een keer naar zich zelf kijken.
Want met automatische incasso en eenmalige (digitale) machtiging is nog van alles mis! Kassa had daar al aandacht aan bestaat en Currrence heeft er voor zover ik weet niets aan gedaan...

Als de incasso onrechtmatig was krijg je het geld terug en de ontvangende partij naar ze geld fluiten!
De oplichter is inmiddels pleite, de bank moet kosten maken om alles terug te draaien, en de zogenaamde betaler is ze geld voor onbepaalde tijd kwijt.


Networking4all is wel erg op dreef wat betreft hun SSL marketing, gezien zij de grootste SSL aanbieder van Nederland zijn zie ik niet in waarom ze zich hier zo mee bezig houden, dan krijg je vanzelf klachten critici en al.

Het is inderdaad mogelijk om de verbinding af te luisteren, hebben zij een keer bij Nova laten zien. Maar de kans dat dit gericht gebeurd is erg klein. Niet te min moeten webwinkels zich gewoon aan de wet houden. Maar dan is het de overheid met het CBP die verzuimd om niet harder op te treden (ze hebben toch geld nodig? deel dan is een keer boetes uit!).

Het MSN protocol is redelijk veilig, alleen het inloggen zelf verloopt via SSL.
Berichten zelf worden gewoon plain verstuurd (voor zover ik weet).
02-04-2010, 11:38 door Anoniem
Dus eigenlijk zeggen ze dat het hele internet afgetapt wordt en je dus niets meer kunt versturen zonder afgeluisterd te worden.

Dan is mail dus ook niet safe en zul je dus ook alles moeten versleutelen.
Stel dat je een contact formulier invult (op ssl) hoe gaan ze dan nog met je comuniceren over je klacht.
email - pop/smtp kan afgeluisterd worden (net als niet ssl verkeer)
telefoon - dat kan getapt worden.
brief - kan onderschept worden.

Dus maar iemand langssturen.

basis vraag is dus eigenlijk. hoe groot is de kans dat gemiddeld netwerk verkeer onderschept wordt?
Zij zeggen dus dat dat heel groot is / onveilig dus moet je SSL gebruiken.
02-04-2010, 12:35 door 2718912
Door Anoniem: basis vraag is dus eigenlijk. hoe groot is de kans dat gemiddeld netwerk verkeer onderschept wordt?
Ik denk dat elke kans een teveel is, zeker omdat de kosten voor ssl relatief laag zijn is er geen reden om een risico te lopen.
02-04-2010, 13:26 door Anoniem
Bijzonder dat een bedrijf dat zelf SSL certificaten verkoopt met zo'n onderzoek komt en inhoudelijk niet aangeeft wat er mis is.
Bovendien aangeeft op haar site dat het een partner is van Thuiswinkel.org en dat Thuiswinkel.org op Nu.nl de resultaten van het onderzoek feitelijk tegenspreekt.

Het is een ordinaire publiciteits stunt, niks waarschuwen voor het grote gevaar.
Ze willen zich in de kijker spelen, als ik een bedrijf was die beveiliging nodig had, weet ik in ieder geval bij wie ik niet moet zijn.
02-04-2010, 13:57 door Anoniem
Hierbij nog even wat meer informatie over de credibility van Networking4all:

http://ambtenaar.blog.nl/werk/2009/08/04/networking4all-houdt-iedereen-voor-de-gek

Het zou beter zijn als ze hun eigen site eens zouden testen ;-)

http://www.cs.ru.nl/E.Verheul/SSLTEST.htm
02-04-2010, 14:14 door 2718912
Door Anoniem: http://ambtenaar.blog.nl/werk/2009/08/04/networking4all-houdt-iedereen-voor-de-gek
Net of dit bericht iets zegt? Hier wordt alleen commentaar gegeven maar wordt niets weerlegt, ik denk dat iemand bij ambtenaar.blog.nl zich vooral aangesproken voelt.

Door Anoniem: Het zou beter zijn als ze hun eigen site eens zouden testen ;-)

http://www.cs.ru.nl/E.Verheul/SSLTEST.htm
Tja, slordig.. maar iets is beter dan niets toch?
02-04-2010, 14:40 door Anoniem
Klopt, maar zie jij een betere grootschalige oplossing?
Nop. Probleem is niet zozeer de versleuteling (sites moeten dit wel toevoegen) maar de authenticatie van de 'andere kant'. Je kunt niet heel makkelijk zien of je tegen de echte, of een phisingsite aan praat (de DNS kan immers ook gespoofed of gepoised zijn).
02-04-2010, 16:17 door Anoniem
Hee 2718912, we hebben toch geen connecties hé.. aangezien we 7 minuten na dit bericht een account aanmaken. Een beetje verdacht.....http://security.nl/profiel/bekijken/2718912
02-04-2010, 16:47 door Preddie
Door 2718912:
Door Anoniem: http://ambtenaar.blog.nl/werk/2009/08/04/networking4all-houdt-iedereen-voor-de-gek
Net of dit bericht iets zegt? Hier wordt alleen commentaar gegeven maar wordt niets weerlegt, ik denk dat iemand bij ambtenaar.blog.nl zich vooral aangesproken voelt.

Door Anoniem: Het zou beter zijn als ze hun eigen site eens zouden testen ;-)

http://www.cs.ru.nl/E.Verheul/SSLTEST.htm
Tja, slordig.. maar iets is beter dan niets toch?

Feit is wel dat meneer van het ambtenaar.blog.nl wel gelijk heeft.

Dit : http://www.cs.ru.nl/E.Verheul/SSLTEST.htm

is 1 van de meerdere testen die uitwijzen dat Networking4all zelf de zaakjes al niet op orde heeft. Het zaakje stinkt en ik zou partijen die twijfelen aan een SSL implementatie dan ook een organisatie als Networking4all proberen te vermijden. De manier waarop zij onderzoek uitvoeren en de media proberen te halen laten blijken dat zij beveiliging niet serieus nemen maar meer zien als marketing product ...... zoals ik eerder al zij het niveau waarop Networking4all opereert is bedroevend laag!!
02-04-2010, 16:57 door 2718912
Door Predjuh: is 1 van de meerdere testen die uitwijzen dat Networking4all zelf de zaakjes al niet op orde heeft.
Zeggen ze dit dan?

Door Predjuh: De manier waarop zij onderzoek uitvoeren en de media proberen te halen laten blijken dat zij beveiliging niet serieus nemen maar meer zien als marketing product ...... zoals ik eerder al zij het niveau waarop Networking4all opereert is bedroevend laag!!
Daar ben ik het niet mee eens, maar iedereen zo zijn persoonlijke mening natuurlijk. Networking4all brengt het probleem onder de aandacht en daar is niet iedereen blij mee.
02-04-2010, 19:20 door Anoniem
Door Predjuh:

Feit is wel dat meneer van het ambtenaar.blog.nl wel gelijk heeft.

Dit : http://www.cs.ru.nl/E.Verheul/SSLTEST.htm

dit zijn feiten, dus dit artikel van dhr. verheul had een veel grotere nieuwswaarde -
[hint]
Eigenlijk verdient het integrale plaatsing op dit platform [/hint]
02-04-2010, 19:57 door sjonniev
"Networking4all zijn DE n00bs op het gebied van beveiliging, ze blaten maar raak en vervolgens prutsen ze maar wat aan."

Zo zijn er een hoop begonnen, ik kan me een hoop support calls herinneren van een bepaalde CSP in Nederland, over wat in feite de basics waren van PKI en cryptographische tokens. Sinds een paar jaar snappen ze het zelf. Wellicht leert men bij Networking4all er ook wat bij.
02-04-2010, 21:56 door Anoniem
Networking4all zegt dat doordat niet meteen alles ssl encrypted is er zonder veel moeite afgeluisterd kan worden, en daardoor dus oa. identiteitsdiefstal kan plaatsvinden.
Het feit dat 90% van de nederlanders hun email ophaalt bij hun provider via unencrypted pop3 en dus over en weer usernames en passwords over het internet vliegen is niet 100x makkelijker te onderscheppen....
Bevolking bang maken om er zelf rijker van te worden, meer is deze actie van Networking4all niet....
03-04-2010, 08:26 door Anoniem
Kan iemand mij vertellen hoe vaak MitM-attacks gebruikt worden om persoonlijke informatie te achterhalen? SSL lost een probleem op dat we veelal niet hebben. Ik geef liever mijn creditcardnummer aan een site waarvan ik weet dat de /opslag/ veilig is in plaats van een site waar alleen de /transmissie/ veilig is.
03-04-2010, 10:57 door Anoniem
Leuk onderzoekje van de prof, ook leuk om te zien dat hij nog steeds IE6 gebruikt :) dat komt de veiligheid natuurlijk ook niet ten goede.

De beste eigenschap van een beveiliger is je eigen fouten toegeven en oplossen - Sebastiaan Stok.
03-04-2010, 17:10 door [Account Verwijderd]
[Verwijderd]
04-04-2010, 12:13 door Anoniem
De klanten moeten onbeveiligde thuiswinkels gewoon mijden, en alleen per acceptgiro, met iDeal of met een echte creditcard (geen debitcard) betalen. De klanten kunnen een webwinkel maken of breken. Wat niet wegneemt dat een waarschuwing op zijn tijd wel goed is. Dat e-mail nauwelijks beveiligd is, is niet zo erg. E-mail is alleen voor alledaagse dingetjes, die niet geheim hoeven blijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.