Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
HTTPS ING onveilig?
24-10-2011, 12:11 door Anoniem, 8 reacties
Ik wilde een paar dagen geleden inloggen op de website van ING (Ja, met Opera net na het bericht dat deze lek is "http://security.nl/artikel/38865/1/Opera_zero-day_lek_rijp_voor_grootschalig_misbruik.html". Ik ben een van die 5 gebruikers al sinds versie 1 ;-).
Het viel me toen op dat Opera aangaf dat de https-inlogpagina een gewone webpagina was en niet "secure" zoals hij dat normaal doet. Andere https-inlogpagina's van bv. webmail gaf hij wel als secure aan.
Niet ingelogd uiteraard en een andere pc gepakt waar het wel goed op ging met verschillende browsers (O, IE & FF). De volgende dag nog een keer geprobeerd waarbij hij eerst nog insecure was, na een paar keer van de pagina weg te zijn gegaan, caches geleegd, Bleachbit eroverheen, was hij weer secure.
Iemand enig idee?
Ik had geen fishing mailtjes ontvangen (alsof ik daar uberhaupt op zou klikken), heb altijd de laatste updates en niet allleen voor Windows, ook browsers, Flash, PDF e.d. zijn altijd van de laatste versie, daar zorgt Ninite weer voor bij elke inlog. Ik heb nog geen uitgebreide malware scan gedaan, wel met ERD Commander bootCD de autoruns bekeken maar daar stond niets verdachts in.
Het viel me toen op dat Opera aangaf dat de https-inlogpagina een gewone webpagina was en niet "secure" zoals hij dat normaal doet. Andere https-inlogpagina's van bv. webmail gaf hij wel als secure aan.
Niet ingelogd uiteraard en een andere pc gepakt waar het wel goed op ging met verschillende browsers (O, IE & FF). De volgende dag nog een keer geprobeerd waarbij hij eerst nog insecure was, na een paar keer van de pagina weg te zijn gegaan, caches geleegd, Bleachbit eroverheen, was hij weer secure.
Iemand enig idee?
Ik had geen fishing mailtjes ontvangen (alsof ik daar uberhaupt op zou klikken), heb altijd de laatste updates en niet allleen voor Windows, ook browsers, Flash, PDF e.d. zijn altijd van de laatste versie, daar zorgt Ninite weer voor bij elke inlog. Ik heb nog geen uitgebreide malware scan gedaan, wel met ERD Commander bootCD de autoruns bekeken maar daar stond niets verdachts in.
Reacties (8)
24-10-2011, 12:26 door
SirDice
24-10-2011, 12:58 door
[Account Verwijderd]
[Verwijderd]
@SirDice
Heb het hele weekend gewacht tot het geplaatst werd maar heb hem niet gezien, vandaar de 2e plaatsing.
@Peter V
Inmiddels geeft Opera ook wel weer aan dat hij 'Trusted' is maar afgelopen woensdag dus niet en dat verontrustte mij.
Heb het hele weekend gewacht tot het geplaatst werd maar heb hem niet gezien, vandaar de 2e plaatsing.
@Peter V
Inmiddels geeft Opera ook wel weer aan dat hij 'Trusted' is maar afgelopen woensdag dus niet en dat verontrustte mij.
24-10-2011, 14:09 door
Spiff has left the building
@ topic-starter,
Is het topic http://www.security.nl/artikel/38918/1/Secure_security.nl_Onveilige_verbinding.html mogelijk ook van jou?
Daarin wordt een vergelijkbaar issue vermeld betreffend Opera en https://secure.security.nl/
Is dat eveneens een topic van jou, dan is niet uit te sluiten dat er iets mis is (of was) met je Opera-browser.
Is het topic http://www.security.nl/artikel/38918/1/Secure_security.nl_Onveilige_verbinding.html mogelijk ook van jou?
Daarin wordt een vergelijkbaar issue vermeld betreffend Opera en https://secure.security.nl/
Is dat eveneens een topic van jou, dan is niet uit te sluiten dat er iets mis is (of was) met je Opera-browser.
24-10-2011, 21:37 door
Erik van Straten
Door Anoniem: Het viel me toen op dat Opera aangaf dat de https-inlogpagina een gewone webpagina was en niet "secure" zoals hij dat normaal doet.
Het is me niet helemaal duidelijk wat je bedoelt. Even los van slotjes, begon de uiteindelijke URL met http of https?Als ik met m'n webbrowser naar http://mijn.ing.nl/ ga (dit geldt ook voor http://mijn.ing.nl/internetbankieren/ en http://mijn.ing.nl/internetbankieren/SesamLoginServlet), krijgt m'n webbrowser de volgende http header regels als antwoord:
HTTP/1.0 302 Found
Location: https://mijn.ing.nl/internetbankieren/
Connection: Keep-Alive
Content-Length: 0
Als je dit met e-mail zou mogen vergelijken zou het om een leeg mailtje gaan; echter die headerregels zijn voor jouw webbrowser aanleiding om te redirecten naar de opgegeven "Location". In elk geval levert mijn.ing.nl geen HTML content via http. Door een fout van ING zou dat tijdelijk wel gebeurd kunnen zijn, maar dat ligt niet erg voor de hand. Eigenlijk moet je ervan uitgaan dat er sprake was van een MITM aanval als je een http URL zag.Location: https://mijn.ing.nl/internetbankieren/
Connection: Keep-Alive
Content-Length: 0
De andere mogelijkheid is dat er wel degelijk sprake was van een https verbinding met mijn.ing.nl, maar dat er voor Opera een reden was om het slotje niet te tonen. De reden daarvoor zou kunnen zijn dat Opera zo geconfigureerd is, dat als de check op het intrekken van het certificaat niet lukt, het slotje niet getoond wordt. Dat zou ook kunnen gelden voor de https verbinding met de Omniture sites retailINGnl.112.2o7.net en/of retailING.112.2o7.net die jouw webbrowser in opdracht van mijn.ing.nl opzet. Als het afgelopen donderdagochtend was en je bij xs4all zit: toen waren er, omstreeks 10:00, ernstige netwerkstoringen waardoor ik veel sites in NL niet kon bereiken, en andere wel; op dat moment heb ik ook OCSP fouten gezien.
Overgens zie ik zojuist dat er, bij het openen van https://mijn.ing.nl/, ook (kort) via https contact wordt gemaakt met mon.retail.ing.nl (145.221.54.6) en bankieren.mijn.ing.nl (145.221.54.5). Met de eerdergenoemde 2o7.net sites maakt mijn eigen PC overigens geen verbinding meer sinds ik het volgende in m'n hosts file heb opgenomen:
127.0.0.1 retailING.112.2o7.net
127.0.0.1 retailINGnl.112.2o7.net
Ik kan in elk geval niet uitsluiten dat je te maken hebt gehad met een -tijdelijke- aanval, ofwel MITM, ofwel DNS (kan ook bij jouw ISP zijn gebeurd), ofwel XSS (dan moet je wel tegelijkertijd een kwaadaardige website open hebben gehad) ofwel een security probleem op jouw PC.127.0.0.1 retailINGnl.112.2o7.net
@Spiff
Ik ben niet de topic-starter van het andere topic maar hij is wel vergelijkbaar, had dit topic ook nog niet gezien.
@Erik van Straten
De url gaf wel aan dat het https was, met de snelkiezer van Opera ga ik rechtstreeks naar "https://mijn.ing.nl/internetbankieren/SesamLoginServlet.
Via Hostman (http://www.abelhadigital.com/hostsman) wordt het MVPS host-bestand (http://winhelp2002.mvps.org/hosts.htm) af en toe geupdate en deze blokkeert heel 2o7.net zo te zien.
Ook worden cookies alleen geaccepteerd van de website die ik bezoek vanuit de browser.
Een ISP-probleem (Orange) sluit ik uit want via een andere pc ging het wel goed, meest waarschijnlijke zou nog een XSS-aanval kunnen zijn geweest, ik had meerdere websites open in Opera. Maar misschien was het wel gewoon een controle op het certificaat wat niet lukte.
Ik ben niet de topic-starter van het andere topic maar hij is wel vergelijkbaar, had dit topic ook nog niet gezien.
@Erik van Straten
De url gaf wel aan dat het https was, met de snelkiezer van Opera ga ik rechtstreeks naar "https://mijn.ing.nl/internetbankieren/SesamLoginServlet.
Via Hostman (http://www.abelhadigital.com/hostsman) wordt het MVPS host-bestand (http://winhelp2002.mvps.org/hosts.htm) af en toe geupdate en deze blokkeert heel 2o7.net zo te zien.
Ook worden cookies alleen geaccepteerd van de website die ik bezoek vanuit de browser.
Een ISP-probleem (Orange) sluit ik uit want via een andere pc ging het wel goed, meest waarschijnlijke zou nog een XSS-aanval kunnen zijn geweest, ik had meerdere websites open in Opera. Maar misschien was het wel gewoon een controle op het certificaat wat niet lukte.
25-10-2011, 10:32 door
0101
De andere mogelijkheid is dat er wel degelijk sprake was van een https verbinding met mijn.ing.nl, maar dat er voor Opera een reden was om het slotje niet te tonen. De reden daarvoor zou kunnen zijn dat Opera zo geconfigureerd is, dat als de check op het intrekken van het certificaat niet lukt, het slotje niet getoond wordt. Dat zou ook kunnen gelden voor de https verbinding met de Omniture sites retailINGnl.112.2o7.net en/of retailING.112.2o7.net die jouw webbrowser in opdracht van mijn.ing.nl opzet. Als het afgelopen donderdagochtend was en je bij xs4all zit: toen waren er, omstreeks 10:00, ernstige netwerkstoringen waardoor ik veel sites in NL niet kon bereiken, en andere wel; op dat moment heb ik ook OCSP fouten gezien.
De reden is inderdaad de stricte certificaatcontrole bij Opera. Opera zal, in tegenstelling tot andere browsers, wanneer onveilige "TLS-heronderhandeling" wordt ontdekt of wanneer TLS-heronderhandeling (ik citeer de SSL-info dialoog van Firefox) niet wordt ondersteund een verbinding als onveilig aanmerken.
Zie: https://secure.security.nl/artikel/31369/Ernstig_lek_in_SSL-protocol_ontdekt.html
Zoals je op https://www.ssllabs.com/ssldb/analyze.html?d=mijn.ing.nl kunt zien ondersteunt Mijn ING heronderhandeling (renegotation) inderdaad niet. Dit is geen bedreiging; dat is alleen het geval wanneer onveilige renegotation wordt ondersteund; dit verschil kan een browser bij het opzetten van de connectie alleen niet detecteren en daarom wordt de verbinding weergegeven als insecure.
Edit: Zie ook hier: http://blog.ivanristic.com/2010/10/disabling-ssl-renegotiation-is-a-crutch-not-a-fix.html
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
