Security Tip van de Week: gebruik HTTPS Everywhere
In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Simone Halink
Gebruik HTTPS Everywhere
Over het internet versturen we een schat aan gevoelige gegevens, zoals adresgegevens, bankgegevens, maar ook e-mail en chatberichten. Het is dus zaak om ervoor te zorgen dat die gegevens niet door kwaadwillenden worden onderschept. Je voorkomt dit gemakkelijk door het gebruik van een beveiligde verbinding, die je gegevens versleutelt waardoor ze onleesbaar worden voor derden. Een handige tool hiervoor is “HTTPS Everywhere”, die werd ontwikkeld door onze Amerikaanse zusterorganisatie The Electronic Frontier Foundation (EFF) en The Tor Project. Onze Security Tip van de week: investeer in je online veiligheid en installeer “HTTPS Everywhere”.
Hoe werkt HTTPS Everywhere?
HTTPS Everywhere is een plug-in voor je Firefox of Chrome browser. Voor elke site die je bezoekt controleert de plug-in of die site ook een versleutelde verbinding (HTTPS-verbinding) aanbiedt en maakt dan gebruik van die verbinding. Hierdoor komt een beveiligde verbinding tot stand die je dataverkeer op drie manieren beschermt:
- Authenticatie: de tool controleert of de verbinding tussen de browser en de server niet onderweg wordt omgeleid, bijvoorbeeld naar een server die in handen is van cybercriminelen. Als daarvan sprake lijkt, krijgt de gebruiker van de browser een waarschuwing.
- Vertrouwelijkheid: de data die tussen de browser en de server wordt uitgewisseld wordt versleuteld en is zo onleesbaar voor derden.
- Integriteit: het voorkomt dat een data tijdens verzending niet kan worden gewijzigd.
Word je door HTTPS Everywhere volledig beschermd?
Door gebruik van HTTPS Everywhere zorg je ervoor dat bij websites waar HTTPS beschikbaar is, je ook HTTPS gebruikt. Zo kan je je gevoelige gegevens zo vaak mogelijk veilig versturen. De tool kan echter geen volledige veiligheid creëren: als je een website bezoekt die niet of slechts deels in HTTPS voorziet, dan blijf je daar ook mét gebruik van de tool onbeschermd. Controleer dus altijd eerst of de tool op een site bescherming biedt voordat je gevoelige gegevens verstuurt.
Verder beschermt HTTP Everywhere alleen de inhoud van je dataverkeer. De tool verhult níet welke site je bezoekt, hoeveel tijd je daar doorbrengt, of de hoeveelheid data die je daar uploadt of downloadt. Wil je verhullen welke sites je bezoekt, dan zal je gebruik moeten maken van een anonimiseringstechniek zoals Tor.
Tot slot is het HTTPS-systeem niet waterdicht: zo hadden de inbrekers bij Diginotar, waarschijnlijk van de Iraanse overheid, valse certificaten aangemaakt om versleuteld Gmail verkeer te onderscheppen. In zo een geval is zelfs HTTPS-verkeer dus niet veilig meer. HTTPS biedt dan ook vooral beveiliging tegen minder geavanceerde aanvallers, zoals het afluisteren van je verkeer in een open Wifi-netwerk.
Investeer in online veiligheid
Het gebruik van HTTPS Everywhere is een belangrijke investering in je online veiligheid en kost maar weinig tijd en moeite. Je kan de plug-in downloaden op de website van EFF.
Investeren in online veiligheid kan ook op een andere manier: door Bits of Freedom te steunen. Voor ons is cybersecurity namelijk een belangrijk thema. Daarom presenteerden we recent samen met een groep stakeholders en veiligheidsexperts 'Het cybersecuritybeleid van de toekomst'. Dit stuk beschrijft vier uitgangspunten en acht maatregelen waaraan goed cybersecuritybeleid moet voldoen en kan in de discussie over dit onderwerp als leidraad dienen. Verder verzetten we ons tegen de hackplannen van minister Opstelten (Veiligheid & Justitie). Die plannen maken Nederland namelijk niet veiliger, maar juist ónveiliger.
Vind je ons werk belangrijk en wil je investeren in cybersecurity, dan kan dat dus ook door ons te steunen. Deze week zetten we alles op alles om in vijf dagen 750 nieuwe donateurs te werven: want dat aantal hebben we nodig om ons werk in 2013 te kunnen blijven doen. Donateur worden kan hier.
Simone Halink werkt voor Bits of Freedom waar ze op openhartige en innovatieve manier opkomt voor internetvrijheid in Nederland.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Dat de webservers van de sites die ik bezoek het een beetje zwaarder krijgen is niet mijn probleem.
Sommige mensen geloven niet in-depth maar je hebt wel een virusscanner, een nat-router, misschien ook een firewall, je gebruikt een sandbox voor je browser enz enz.
Kortom, ja, het zal niet de wereld verbeteren maar het wordt wel een beetje veiliger zonder dat je er veel voor hoeft te doen.
Goede tool van EFF en goede tip van Simone
BoF is dan natuurlijk ook een politieke lobby, en Simone Halink is opgeleid als jurist.
Leuk geprobeerd...
:D
Verder @AdVratPatat: geloof je werkelijk dat je verkeer alleen op de eerste hop afgeluisterd kan worden? Nooit gehoord van beam splitters en de NSA?
Joep
:D
Verder @AdVratPatat: geloof je werkelijk dat je verkeer alleen op de eerste hop afgeluisterd kan worden? Nooit gehoord van beam splitters en de NSA?
Man in the Middle (MitM) aanvallen komen in het wild gewoonweg vrijwel niet voor, zeker niet hier in de eerste wereld, Man in The Browser (MiTB/ MIB) daarentegen, is een groot gevaar met betrekking tot fraude bij internet-bankieren en wordt maar al te vaak (inclusief door de redactie van security.nl nota bene) door elkaar gehaald met MitM. Hier heb ik me al veel vaker aan geërgerd overigens.
HET DIRECTE GEVOLG:
Zoals je al kunt lezen in de reacties van enkele eindgebruikers hierboven, gaan zij voortaan lekker "veilig" browsen met HTTPS-everywhere, waar dat "veilig" enkel gebaseerd is op onderbuik-gevoelens of omdat een meisje met mooie ogen het geschreven heeft. Bij deze een waarschuwing dus: Internetbankieren, online betalen via pay-pal, wat-dan-ook wordt ZEKER NIET veiliger!!! Feitelijk wordt niets tijdens het browsen veiliger, hooguit kun je voortaan mogelijk met iets meer privacy je persoonlijke onzin op Twitter knallen oid. De term "veiliger" is in het geheel niet van toepassing, en moet vermeden worden bij dit soort extensies, juist om verwarring te voorkomen.
-1'tjes maal ik niet om, -10 is ook prima, maar een technisch en / of anderzijds gefundeerd weerwoord daarbij zou ik wel op prijs stellen, als ik hier iets over het hoofd zie hoor ik dat graag namelijk, tot die tijd:
Politiek lobby-gezwam van de advocaat van de duivel die onwetendheid heet, of ze het nu zo bedoeld of niet. Ronduit SCHAN-DA-LIG!
BoF moet brieven schrijven aan politici, mogelijk een WoB-je of 2 doen hier en daar, maar zich zeker niet gaan bemoeien met "security." Privacy is iets anders dan veiligheid. Na dit bericht begin ik me ook af te vragen hoeveel van die donaties opgaan aan de eigen organisatie, misschien ook daar maar eens naar gaan kijken...
@Joepf; De Chrome versie is een instabiele FF-poort, dat wordt ook zeer duidelijk omschreven op zowel de EFF site als in de Chrome Shop, de instabiliteit heeft werkelijk NIETS te maken met een bug in Chrome. Als je een bron weet die mij beter kan informeren hoor ik het graag.
:D
Verder @AdVratPatat: geloof je werkelijk dat je verkeer alleen op de eerste hop afgeluisterd kan worden? Nooit gehoord van beam splitters en de NSA?
EDITS:
Reactie zelf gemodereerd op (irrationele) emoties, ik ben echt zwaar over de zeik zie ik... :[
@Jospeh toegevoegd.
Typo's en vormfout.
En:
Als aanvulling kom ik er net wel achter dat deze extensie een duidelijke waarschuwing geeft wanneer HTTPS niet is "ingeschakeld" (ook zoiets), maar dit zou mogelijk dan wel een waardevolle aanvulling kunnen zijn, hoewel ik "veiliger" dan nog steeds een totaal misplaatste kracht-term vind.
mijn.ing.nl
dan wordt er een DNS lookup voor mijn.ing.nl gedaan (waarvan het antwoord gespoofed kan zijn) waarna een http verbinding met http://mijn.ing.nl/ wordt opgezet. De echte mijn.ing.nl (op dit moment IP adres 145.221.55.11) zal een redirect opdracht naar mijn Firefox sturen om naar https://mijn.ing.nl/ te gaan, maar een aanvaller zal dat normaal gesproken natuurlijk niet doen. De aanvaller heeft dus twee aanvalsmogelijkheden:
- DNS spoofen
- Direct op het netwerk een MITM uitvoeren.
Als het de gebruiker niet opvalt dat het slotje ontbreekt is hij de pisang.
Als ik met https everywhere ingeschakeld als URL intik:
mijn.ing.nl
dan wordt natuurlijk ook een DNS lookup gedaan. Echter, https everywhere zal Firefox (op basis van z'n rules) dwingen om meteen https://mijn.ing.nl/ te openen (net nog gecheckt met wireshark, er is dan echt geen http / poort 80 verkeer). Als het een gespoofed IP-adres is, of als er een MITM aanval plaatsvindt, zal de gebruiker een certificaat-error krijgen (en die zijn behoorlijk overtuigend in Firefox).
Kortom, bij een aanval zonder https everywhere moet het de gebruiker opvallen dat het slotje ontbreekt; met https everywhere moet de gebruiker actief door een certificaatfoutmelding heenklikken. Dat vind ik een essentieel verschil.
Kortom, bij een aanval zonder https everywhere moet het de gebruiker opvallen dat het slotje ontbreekt; met https everywhere moet de gebruiker actief door een certificaatfoutmelding heenklikken. Dat vind ik een essentieel verschil.
(Veilig internetbankieren bij de ING? Ons referentiekader verschilt aanzienlijk zo te zien ;] sarc/off)
Inhoudelijk:
Hoewel ik het in grote lijnen bepaald niet met je eens ben, heb je me wel één oog geopend.
1] DNS-spoofing en MitM als aanvalsvectoren zijn alleen van toepassing als de rest van alle beveiligingsmaatregelen al dramatisch hebben gefaald. Dat er dan vervolgens nog behoorlijk wat haken en ogen zitten aan de functionaliteit van deze extensie bij een dergelijke aanval laat ik even in het midden.
2] DNS-spoofing en MitM aanvallen komen in de praktijk niet tot nauwelijks voor. Als er geen bepaalde dreiging is, is het niet juist om een oplossing voor deze hypothetische dreiging als "veilig" te omschrijven. Zeker niet door een "expert." (SCHANDALIG!)
3] Een vals gevoel van veiligheid is IMHO 10x gevaarlijker dan welke aanvalsvector dan ook, tegen idioterie kan geen beveiliging op, maar de kans dat een eindgebruiker met een MiB aanval te maken krijgt is vele malen groter, en nogmaals, zoals je hierboven al kunt lezen, gaat de gemiddelde eindgebruiker er vrolijk van uit dat het allemaal wel "veilig" is.
Dit is niet de schuld van de eindgebruiker, maar voornamelijk het gevolg van de terminologie waarmee BoF hier weer strooit ten behoeve van het generen van de 750 beoogde donaties. (SCHANDALIG!)
ECHTER:
Wat ik me naar aanleiding van jouw reactie nu pas realiseer (en dat is schandalig van mezelf), is dat deze extensie mogelijk wel een meerwaarde kan hebben voor mensen die graag op hyper-linkjes drukken in e-mails en dergelijke. Ook hier geld dat tegen stompzinnigheid niets is opgewassen en dat deze extensie ook hier geen sluitende (en dus "veilige") oplossing voor biedt, maar dat betekent niet dat deze extensie inderdaad, met een mits hier, een maar daar, een indien zus en een mogelijk zo een aanvulling zou kunnen zijn voor deze groep gebruikers.
Het misplaatst gevoel van "veiligheid" weegt m.i. veel zwaarder dan de hypothetische verbetering.
Dit is niet "veilig", maar gevaarlijk.
But then there's Photoshop....
hier in australia krijgen mensen vanuit de overheid instructie (een soort postbus 51) over ID fraude. Ja zelfs over de gevaren van het gebruik van chips in bankpassen en paspoorten.
Dus laat BOF zich nu eens richten om het publiek bewuster te maken ipv weer met iets technisch door een niet-technicus te laten roepen.
Want we kunnen ook zeggen, ga nu eens alle email en bestanden versleutelen met bijvoorbeeld securezip of pgp
kortom de mens factor en de bewustmaking hierom moet omhoog.
Zie: https://addons.mozilla.org/nl/firefox/user/1937710/?src=api
Dit soort tools zijn hulpmiddelen, niet meer en niet minder. Het is beter om bewust te internetten, maar het is altijd goed dat een hulpmiddel je momenten van zwakheid kan proberen op te vangen.
Dit soort tools zijn hulpmiddelen, niet meer en niet minder. Het is beter om bewust te internetten, maar het is altijd goed dat een hulpmiddel je momenten van zwakheid kan proberen op te vangen.
"Subliminal messages" (ik krijg spontaan een alu-hoedje, lol) waar de aanvalsvector -nogmaals- absoluut geen realistische dreiging is.
Zeer kwalijke zaak, en dat madame zelf niet even langs komt surfen / reageren staat me ook niet bepaald aan...
https://www.security.nl/artikel/44262/Security_Tip_van_de_Week%3A_gebruik_HTTPS_Everywhere.html
geeft
Er is een probleem met het beveiligingscertificaat van deze website.
Het beveiligingscertificaat dat door deze website wordt gebruikt, is verleend aan een adres voor een andere website.
Problemen met beveiligingscertificaten kunnen duiden op een poging om u informatie te ontfutselen of om informatie die u naar de server verzendt, te onderscheppen.
U wordt aangeraden om deze webpagina te sluiten en niet naar deze webpagina te gaan.
Klik hier als u deze webpagina wilt sluiten.
Doorgaan naar deze website (niet aanbevolen).
Meer informatie
Als u op deze pagina bent terechtgekomen door op een koppeling te klikken, dient u het adres van de website in de adresbalk te controleren, om er zeker van te zijn dat dit het verwachte adres is.
Als u naar een website met een adres zoals https://example.com wilt gaan, kunt u proberen om 'www' aan het adres toe te voegen. Bijvoorbeeld: https://www.example.com.
Raadpleeg voor meer informatie het onderwerp 'Certificaatfouten' in Help van Internet Explorer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
