image

Security Tip van de Week: gebruik privénavigatie voor internetbankieren

donderdag 19 september 2013, 15:39 door Luc Gommans, 21 reacties
Laatst bijgewerkt: 24-09-2013, 11:50

Zoals de meeste bezoekers van deze site zullen weten kent internetten allerlei risico's. Internetbankieren is wel de bekendste: het is makkelijker voor de gebruiker, maar er doet zich allerlei spyware en phishing de ronde die op de inloggegevens uit is. Daarnaast zijn er allerlei bedrijven die, hoewel legaal, bewust inbreuk maken op onze privacy om geld te verdienen aan advertenties.

Elke zoveel tijd wordt er ook weer een kwetsbaarheid gevonden in HTTPS. De meesten zijn te patchen zoals BEAST en CRIME, maar de meest recente genaamd BREACH is niet zomaar te verhelpen. Op dit moment is de enige bekende fix het uitschakelen van compressie op server-niveau, iets wat veel websites vele malen trager zou maken. Dit zal in veel gevallen niet acceptabel zijn voor een relatief klein risico, waardoor men besluit de site niet te patchen en deze kwetsbaar blijft.

Toch kunnen we hier iets tegen doen. De CRIME en BREACH aanvallen zijn met één simpele handeling te elimineren: privénavigatiemodus (ook wel incognito-modus).

Hoe helpt privénavigatie tegen https-aanvallen?

Om BREACH als voorbeeld te nemen: dit werkt door javascript in de browser te injecteren. Dit is niet mogelijk bij https, maar wel bij http. Als in één van de tabs nu.nl of een andere non-https website open staat, kan deze worden misbruikt om de exploit uit te voeren. De javascript die geïnjecteerd wordt stuurt vele verzoeken naar de aan te vallen https website. Omdat het vanuit de browser gebeurt worden cookies en dergelijke meegestuurd. Niet zichtbaar voor de aanvaller, maar wel voor de https website, die u daardoor herkent, weet dat u ingelogd bent, en dus eventuele privégegevens laat zien.

Door de compressie (die nagenoeg elke website gebruikt) kan de aanvaller byte voor byte "geheimen" raden. Bijvoorbeeld als het geheim het e-mailadres "ceo@example.org" is, dan zal de response van de site korter zijn wanneer de aanvaller de string "ceo@exa" test dan wanneer hij "abc@exa" test. Door dit verschil zijn stukken van de pagina te achterhalen. Denk naast e-mailadressen ook aan wachtwoorden, csrf-tokens, of zelfs de inhoud van een e-mail kan woord voor woord geraden worden.

Door privénavigatie te gebruiken voor websites die dit soort privégegevens bevatten kan de aanval onmogelijk gemaakt worden. Zorg dan wel dat in de privénavigatiemodus geen enkele tab met een http-website open staat!

Ook add-ons en extensies kunnen de nodige risico's opleveren. Hier wordt niet vaak over bericht maar er zijn meer dan genoeg extensies die data lekken door http te gebruiken, bijvoorbeeld voor updates. In Chrome is het mogelijk om extensies selectief uit te schakelen specifiek voor privénavigatiemodus, dus niet-essentiële extensies kunnen uitgeschakeld worden. Hierdoor kunnen dergelijke lekken in add-ons/extensies niet misbruikt worden en het risico op datalekken wordt ook kleiner.

Privacyvoordelen van privénavigatiemodus

Naast wat extra beveiliging heeft het ook voordelen voor onze privacy. Opgeslagen cookies en andere gegevens (zoals javascript's localstorage) uit de gewone browsersessie worden niet gebruikt bij privénavigatie. Het nadeel is dat u op elke site opnieuw moet inloggen omdat websites u niet meer herkennen, maar van de andere kant kunnen Google's Analytics scripts en andere advertentiebedrijven u dan ook niet zomaar meer herkennen.

Wat veel mensen niet weten is dat naast cookies, localstorage, browser profiling, uw IP-adres en user agent string, er nog een manier is om gebruikers uniek te herkennen: door middel van caching. Bij het laden van afbeeldingen wordt meestal een ETag mee teruggestuurd naar de browser. De volgende keer dat de afbeelding moet worden geladen, zal de browser deze ETag mee terugsturen naar de website. De website vergelijkt vervolgens de ontvangen ETag met de huidige ETag voor dat bestand, en als ze overeenkomen hoeft enkel een "HTTP 304 Not Modified" teruggestuurd te worden. Dit scheelt heel veel dataverkeer.

Het nadeel, zoals de oplettende lezer misschien al heeft opgemerkt, is dat dit gedrag erg veel lijkt op cookies. Bij cookies stuurt de website ook gegevens naar de browser, die later weer teruggestuurd worden naar de server. En dit is inderdaad ook het probleem: een site kan een ETag simpelweg een unieke waarde geven per gebruiker, en daarmee gebruikers later weer herkennen.

Dit is ook geen toekomstmuziek, de techniek is al meer dan 10 jaar bekend en is jaren geleden al gebruikt door onder meer Hulu.com en Spotify. Maar ook deze manier van tracking wordt gestopt door privénavigatiemodus: de browser zal geen ETags (of if-modified-since, een etag-alternatief) meesturen met afbeeldingen of andere gecachte resources.

Privénavigatie gebruiken

Het is aan te raden om privénavigatie te gebruiken elke keer dat u niet gevolgd wilt worden (zoekopdrachten zeggen bijvoorbeeld veel over uw medische conditie) of wat extra beveiliging wenst (zoals bij internetbankieren). Het beveiligingsvoordeel is vooral groot op openbare netwerken zoals in de trein of op vakantie, daar is de kans op Man in the Middle aanvallen vele malen groter dan thuis. Echter kan het nooit kwaad, ook thuis is het aan te raden.

Het makkelijkste is om de sneltoets te gebruiken: In Firefox en Internet Explorer is deze ctrl+shift+P, in Google Chrome is deze ctrl+shift+N. U krijgt dan een nieuw browservenster. Typ vervolgens de site in met https:// ervoor, bijvoorbeeld https://mijn.ing.nl. Als dit niet handmatig intypt wordt kunnen er nog altijd verschillende aanvalstechnieken worden gebruikt zoals sslstrip of dns spoofing. Een bookmark of favoriet kan ook worden gebruikt, dat is nog makkelijker en verzekert ook dat HTTPS gebruikt wordt.

Let vervolgens na het laden van de pagina op twee dingen: Het domein en het slotje. Afhankelijk van uw browser staat links of rechts van de adresbalk een slotje. Een andere locatie (zoals in de pagina zelf) zegt niks, het slotje moet echt naast de adresbalk staan! Het domein waar u bent is in de meeste browsers dik gedrukt in de adresbalk zodat het makkelijker te herkennen is. Het domein wordt ook altijd gevolgd door een slash (/), nooit een ander teken.

Nadat u klaar bent kunt u het beste uitloggen en dan de privénavigatie sluiten (sluit simpelweg dat venster, evt. met ctrl+W). Als u nog iets anders wilt doen, bijvoorbeeld nog een andere rekening checken, sluit dan toch eerste de privénavigatiemodus en open deze daarna weer. Zeker met de sneltoetsen is het nauwelijks moeite terwijl het verzekert dat eventuele restanten van cookies of cache weg zijn.

Meer informatie

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Heb jij ook een goede security tip voor de lezers van Security.NL? Mail de redactie en maak kans op een exclusief Security.NL T-shirt!

Reacties (21)
19-09-2013, 16:26 door Anoniem
Sterk geschreven, zeer informatief en een heldere kijk op zaken;
Bedankt voor je bijdrage Luc, dit is een van de betere achtergrond-artikelen die ik ben tegengekomen op security.nl!
19-09-2013, 16:34 door Anoniem
Dit is een goede tip. Bedankt.
19-09-2013, 16:52 door jdevreij
CTL+SHIFT+n werkt ook met Opera.
19-09-2013, 17:17 door [Account Verwijderd]
[Verwijderd]
20-09-2013, 00:48 door Studentje
Als er een man in de browser-aanval wordt uitgevoerd kan de aanvaller toch sowieso de cookies kopiëren? Dat deze cookies worden verwijderd als de privénavigatie-sessie wordt gesloten is leuk en aardig maar dan is het kwaad toch al geschied? Ik onderken de andere voordelen van privénavigatie maar ik zie niet in hoe dit kan beschermen tegen trojans die mijn bankrekening willen plunderen.
20-09-2013, 09:55 door [Account Verwijderd]
Beste Luc Gommans,

Bedankt ! ! !. Uitstekend geschreven artikel en zeker nuttig voor velen.
Een Security tip met een goud randje !, TOPPIE.
20-09-2013, 10:33 door Mozes.Kriebel
Mooi artikel. Waarom niet altijd privénavigatie aan?
20-09-2013, 11:41 door Luc Gommans - Bijgewerkt: 20-09-2013, 12:37
Door Studentje: Als er een man in de browser-aanval wordt uitgevoerd kan de aanvaller toch sowieso de cookies kopiëren? Dat deze cookies worden verwijderd als de privénavigatie-sessie wordt gesloten is leuk en aardig maar dan is het kwaad toch al geschied? Ik onderken de andere voordelen van privénavigatie maar ik zie niet in hoe dit kan beschermen tegen trojans die mijn bankrekening willen plunderen.

Privénavigatiemodus helpt inderdaad niet tegen de meeste malware die al op de computer aanwezig is en in de browser draait, of met administrator rechten kan draaien. Echter in Chrome's incognito mode kun je ook add-ons en extensies uitschakelen, en standaard staan ze al allemaal uit. Het helpt dan dus wel tegen kwaadaardige extensies.

Door Mozes.Kriebel: Mooi artikel. Waarom niet altijd privénavigatie aan?

Dat doet een deel van het voordeel teniet, onder andere ben je niet meer beschermd tegen https-aanvallen wanneer je één http tab opent in dezelfde incognito-sessie. Alle tabs zitten namelijk in dezelfde "cookie scope". Cookies (en dergelijke) worden wel verwijderd wanneer je de incognito-sessie sluit, maar tijdens gebruik is het een normale browser. Je kunt dus het beste de incognitomodus voor één (https-)site tegelijk gebruiken, zoals ook in het laatste deel van het artikel wordt genoemd.

Nog een nadeel is dat je dan altijd op alle sites opnieuw moet inloggen. Bij minder belangrijke sites is het soms wel handig om gewoon ingelogd te blijven. Je wachtwoord encrypted opslaan (firefox hoofdwachtwoord; keepass; 1password) kan ook, maar het is weer een extra stap en die wachtwoorddatabase een single point of failure.
20-09-2013, 13:26 door Anoniem
" Het is aan te raden om privénavigatie te gebruiken elke keer dat u niet gevolgd wilt worden "

Ik gebruik Firefox en wil sowieso niet gevolgd worden. Voorzover ik cookies bij uitzondering heb toegestaan en deze niet reeds door een cookiemonster en BetterPrivacy automatisch zijn opgevreten na het verlaten van een tab ...leeg ik regelmatig - zeker voor en na bankieren - in een klik: mijn geschiedenis, downloads, webformulieren, cookies, LSO’s en zelfs mijn cache.

Uiteraard staan bij bankieren geen andere tabs open, en al zou een tab open staan, dan blokkeert NoScript toch alle javascripts op die pagina ?

Verder heb ik met AdblockEdge ook geen last van (risicovolle malware ) advertenties en blokkeer ik met Ghostery categorisch alle trackers/analyseerders/etc.

Nu is mijn vraag . Is er dan nog een reden waarom ik toch beter Privénavegatie gebruik bij telebankieren ?

Indien enkel vanwege mogelijk uitgaand http verkeer naar domeinen die met mijn add-ons te maken hebben. Dat gebeurt dagelijks voor een check op updates. Maar er wordt dan toch geen info verzonden over mijn surfgedrag ? Wat voor privedata kan worden gelekt en aan wie ? Dat heeft toch niets met (eventueel gelijktijdig) telebankieren te maken ?
20-09-2013, 16:00 door jetstreak
Goh had ik zelf nog niet bedacht. Goede tip, Dank daarvoor.Ik bankier sowieso onder een apart desktop account dus meteen instellen dat de browser altijd start in privénavigatie mode.
20-09-2013, 21:00 door Anoniem
Door Anoniem: " Het is aan te raden om privénavigatie te gebruiken elke keer dat u niet gevolgd wilt worden "

Ik gebruik Firefox en wil sowieso niet gevolgd worden. Voorzover ik cookies bij uitzondering heb toegestaan en deze niet reeds door een cookiemonster en BetterPrivacy automatisch zijn opgevreten na het verlaten van een tab ...leeg ik regelmatig - zeker voor en na bankieren - in een klik: mijn geschiedenis, downloads, webformulieren, cookies, LSO’s en zelfs mijn cache.

Uiteraard staan bij bankieren geen andere tabs open, en al zou een tab open staan, dan blokkeert NoScript toch alle javascripts op die pagina ?

Verder heb ik met AdblockEdge ook geen last van (risicovolle malware ) advertenties en blokkeer ik met Ghostery categorisch alle trackers/analyseerders/etc.

Nu is mijn vraag . Is er dan nog een reden waarom ik toch beter Privénavegatie gebruik bij telebankieren ?

Na zoveel maatregelen om tracking tegen te gaan zie ik inderdaad geen direct voordeel meer van privénavigatiemodus. Als alles (incl. cache) echt regelmatig geleegd wordt, bijvoorbeeld elke paar uur, en scripts niet te vaak worden toegestaan (sommige mensen klikken nogal snel op noscript's optie 'scripts tijdelijk toestaan'), dan zou het ongeveer hetzelfde effect moeten hebben of zelfs nog beter werken. De recente https-exploits vertrouwen in ieder geval op javascript in http tabs.
21-09-2013, 11:33 door [Account Verwijderd]
Goede tip! Het is een beter alternatief voor wat ik nu doe: Wanneer ik op mijn Mac wil bankieren, log ik in als Guest. Ben ik klaar met bankieren, log ik direct weer uit als Guest. Maar met privenavigatie kan ik dus besparen op tijd (geen in/outloggen) en geheugen (voor de Guest account).
21-09-2013, 16:12 door Anoniem
Een nadeel(tje) is wel dat trackers weer gewoon werken in het geval van b.v. ABNAMRO. Ghostery stopt in dat geval Adobe Test & Target en Omniture niet meer.
23-09-2013, 12:10 door Anoniem
Leuk artikel, makkelijk toe te passen voor gebruikers die niet veel kennis van computers hebben.

Zelf gebruik ik een andere, veiligere methode voor internetbankieren. Heeft wel wat meer voeten in de aarde, maar je went er snel genoeg aan: Gebruik een VM met een live bootable Linux distro, zonder HDD. Boot de VM met Linux vanaf iso en gebruik vervolgens de VM alleen voor de website van je bank. Na het bankieren, sluit de VM zonder wijzigingen op te slaan. (power off)
Daarmee zorg je dat een eventuele infectie zich niet blijvend kan installeren in het OS. Een goede live distro hiervoor is Knoppix, omdat daarin standaard Firefox + Noscript meegeleverd is.
23-09-2013, 22:39 door Patio
Dykwater schreef: Maar met privenavigatie kan ik dus besparen op tijd (geen in/outloggen) en geheugen (voor de Guest account). Eenmaal aangemaakt (ik heb dat nooit gedaan, zelfs root heeft geen aanmeldmogelijkheid - je kunt vrujwel alles met sudo en je hoofdaccount * - neemt de gast al ruimte in of je er gebruik van maakt of niet. In het laatste geval: gewoon wissen, zonder pardon. Heb je al (fictieve/virtuele) "accounts" aangemaakt in de map "Shared". Heel handig, o.a. voor databases.

* Ik heb mezelf eigenaar gemaakt van veelgebruikte en nogal eens bij te werken shellscripts (eventueel de map waar ze in staan, maar dat houdt een extra risico in)

Zeer nuttige tip overigens! Dank voor 't delen. Daar komen we verder mee.
24-09-2013, 12:38 door Anoniem
Ik gebruik IE al jaren InPrivate en wel op deze manier:

Rechtsklikken op tabblad en nieuwe snelkoppeling maken.

Geef de locatie van het item deze in het geval van inprivate:


"C:\Program Files\Internet Explorer\iexplore.exe" -private

Wil je die gelijk naar één of andere browser laten gaan voeg die dan toe aan de bewuste regel, zie voorbeeld:

"C:\Program Files\Internet Explorer\iexplore.exe" -private http://www.google.be
25-09-2013, 09:37 door Anoniem
Ik gebruik voor gevoelige informatie zoals internetbankieren de browser van bit defender safe pay is onderdeel van de betaalde versie virusscanner, dit is een zelf ontwikkelde browser die geen gebruik maakt van scripts etc etc etc. Aardig veilig volgens mij. Hoe denken jullie als experts erover????
26-09-2013, 18:19 door Luc Gommans
Door Anoniem: Ik gebruik voor gevoelige informatie zoals internetbankieren de browser van bit defender safe pay is onderdeel van de betaalde versie virusscanner, dit is een zelf ontwikkelde browser die geen gebruik maakt van scripts etc etc etc. Aardig veilig volgens mij. Hoe denken jullie als experts erover????
Allereerst: Ik ken de browser niet, dus ik kan er niet al te veel over zeggen. Zo'n browser is waarschijnlijk op iets anders gebaseerd zoals Webkit of Trident, dus waarschijnlijk is het kwetsbaar voor veelal dezelfde lekken als een normale browser. Dat het geen scripts uitvoert is wel een groot voordeel, maar dat kan NoScript ook. Het enige échte voordeel van zo'n browser is denk ik dat niemand erop focust. Iets met heel weinig gebruikers krijgt ook vrij weinig aandacht van malware-boeren. En als het geen plugins en add-ons ondersteunt, kan malware zich er ook moeilijker in nestelen, zeker als de browser eigen proxy-instellingen gebruikt (in plaats van die van het systeem). Maar de kleine hoeveelheid gebruikers is ook een nadeel omdat het daardoor ook veel minder getest wordt.

Het is dus een afweging. Ik denk dat het wel oké is om te gebruiken wanneer je niet gericht aangevallen wordt, maar of het echt zo veel veiliger is... dat kan ik zo niet zeggen. Als je wilt verdedigen tegen persoonlijk gerichte aanvallen (als je een belangrijk persoon bent of bij een belangrijk bedrijf werkt) zou ik de browser echter niet gebruiken, dan heb je kans dat de hackers zich er wel in gaan verdiepen en allerlei onbekende lekken vinden.
30-09-2013, 11:04 door Anoniem
Beste Luc,

Bedankt voor je informatie!
02-10-2013, 14:06 door Anoniem
Leuk, al dit gepraat over hoe veilig te kunnen internetbankieren, terwijl de overheid routinematig mensen dwingt om via onveilige machines in te loggen: https://www.security.nl/posting/365172/Juridische+vraag%3A+moet+ik+op+gemeente-pc+internetbankieren%3F
07-10-2013, 09:23 door Anoniem
"Let vervolgens na het laden van de pagina op twee dingen: Het domein en het slotje."

Als je niet van je privé PC gebruik maakt, let dan ook op de inhoud van het slotje. Ik heb al meegemaakt dat een HTTPS sessie werd decrypt op de proxy (malware? ) en bij het controleren van het slotje bleek dat er een afwijkend certificaat was...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.