Security Tip van de Week: gebruik privénavigatie voor internetbankieren
Zoals de meeste bezoekers van deze site zullen weten kent internetten allerlei risico's. Internetbankieren is wel de bekendste: het is makkelijker voor de gebruiker, maar er doet zich allerlei spyware en phishing de ronde die op de inloggegevens uit is. Daarnaast zijn er allerlei bedrijven die, hoewel legaal, bewust inbreuk maken op onze privacy om geld te verdienen aan advertenties.
Elke zoveel tijd wordt er ook weer een kwetsbaarheid gevonden in HTTPS. De meesten zijn te patchen zoals BEAST en CRIME, maar de meest recente genaamd BREACH is niet zomaar te verhelpen. Op dit moment is de enige bekende fix het uitschakelen van compressie op server-niveau, iets wat veel websites vele malen trager zou maken. Dit zal in veel gevallen niet acceptabel zijn voor een relatief klein risico, waardoor men besluit de site niet te patchen en deze kwetsbaar blijft.
Toch kunnen we hier iets tegen doen. De CRIME en BREACH aanvallen zijn met één simpele handeling te elimineren: privénavigatiemodus (ook wel incognito-modus).
Hoe helpt privénavigatie tegen https-aanvallen?
Om BREACH als voorbeeld te nemen: dit werkt door javascript in de browser te injecteren. Dit is niet mogelijk bij https, maar wel bij http. Als in één van de tabs nu.nl of een andere non-https website open staat, kan deze worden misbruikt om de exploit uit te voeren. De javascript die geïnjecteerd wordt stuurt vele verzoeken naar de aan te vallen https website. Omdat het vanuit de browser gebeurt worden cookies en dergelijke meegestuurd. Niet zichtbaar voor de aanvaller, maar wel voor de https website, die u daardoor herkent, weet dat u ingelogd bent, en dus eventuele privégegevens laat zien.
Door de compressie (die nagenoeg elke website gebruikt) kan de aanvaller byte voor byte "geheimen" raden. Bijvoorbeeld als het geheim het e-mailadres "ceo@example.org" is, dan zal de response van de site korter zijn wanneer de aanvaller de string "ceo@exa" test dan wanneer hij "abc@exa" test. Door dit verschil zijn stukken van de pagina te achterhalen. Denk naast e-mailadressen ook aan wachtwoorden, csrf-tokens, of zelfs de inhoud van een e-mail kan woord voor woord geraden worden.
Door privénavigatie te gebruiken voor websites die dit soort privégegevens bevatten kan de aanval onmogelijk gemaakt worden. Zorg dan wel dat in de privénavigatiemodus geen enkele tab met een http-website open staat!
Ook add-ons en extensies kunnen de nodige risico's opleveren. Hier wordt niet vaak over bericht maar er zijn meer dan genoeg extensies die data lekken door http te gebruiken, bijvoorbeeld voor updates. In Chrome is het mogelijk om extensies selectief uit te schakelen specifiek voor privénavigatiemodus, dus niet-essentiële extensies kunnen uitgeschakeld worden. Hierdoor kunnen dergelijke lekken in add-ons/extensies niet misbruikt worden en het risico op datalekken wordt ook kleiner.
Privacyvoordelen van privénavigatiemodus
Naast wat extra beveiliging heeft het ook voordelen voor onze privacy. Opgeslagen cookies en andere gegevens (zoals javascript's localstorage) uit de gewone browsersessie worden niet gebruikt bij privénavigatie. Het nadeel is dat u op elke site opnieuw moet inloggen omdat websites u niet meer herkennen, maar van de andere kant kunnen Google's Analytics scripts en andere advertentiebedrijven u dan ook niet zomaar meer herkennen.
Wat veel mensen niet weten is dat naast cookies, localstorage, browser profiling, uw IP-adres en user agent string, er nog een manier is om gebruikers uniek te herkennen: door middel van caching. Bij het laden van afbeeldingen wordt meestal een ETag mee teruggestuurd naar de browser. De volgende keer dat de afbeelding moet worden geladen, zal de browser deze ETag mee terugsturen naar de website. De website vergelijkt vervolgens de ontvangen ETag met de huidige ETag voor dat bestand, en als ze overeenkomen hoeft enkel een "HTTP 304 Not Modified" teruggestuurd te worden. Dit scheelt heel veel dataverkeer.
Het nadeel, zoals de oplettende lezer misschien al heeft opgemerkt, is dat dit gedrag erg veel lijkt op cookies. Bij cookies stuurt de website ook gegevens naar de browser, die later weer teruggestuurd worden naar de server. En dit is inderdaad ook het probleem: een site kan een ETag simpelweg een unieke waarde geven per gebruiker, en daarmee gebruikers later weer herkennen.
Dit is ook geen toekomstmuziek, de techniek is al meer dan 10 jaar bekend en is jaren geleden al gebruikt door onder meer Hulu.com en Spotify. Maar ook deze manier van tracking wordt gestopt door privénavigatiemodus: de browser zal geen ETags (of if-modified-since, een etag-alternatief) meesturen met afbeeldingen of andere gecachte resources.
Privénavigatie gebruiken
Het is aan te raden om privénavigatie te gebruiken elke keer dat u niet gevolgd wilt worden (zoekopdrachten zeggen bijvoorbeeld veel over uw medische conditie) of wat extra beveiliging wenst (zoals bij internetbankieren). Het beveiligingsvoordeel is vooral groot op openbare netwerken zoals in de trein of op vakantie, daar is de kans op Man in the Middle aanvallen vele malen groter dan thuis. Echter kan het nooit kwaad, ook thuis is het aan te raden.
Het makkelijkste is om de sneltoets te gebruiken: In Firefox en Internet Explorer is deze ctrl+shift+P, in Google Chrome is deze ctrl+shift+N. U krijgt dan een nieuw browservenster. Typ vervolgens de site in met https:// ervoor, bijvoorbeeld https://mijn.ing.nl. Als dit niet handmatig intypt wordt kunnen er nog altijd verschillende aanvalstechnieken worden gebruikt zoals sslstrip of dns spoofing. Een bookmark of favoriet kan ook worden gebruikt, dat is nog makkelijker en verzekert ook dat HTTPS gebruikt wordt.
Let vervolgens na het laden van de pagina op twee dingen: Het domein en het slotje. Afhankelijk van uw browser staat links of rechts van de adresbalk een slotje. Een andere locatie (zoals in de pagina zelf) zegt niks, het slotje moet echt naast de adresbalk staan! Het domein waar u bent is in de meeste browsers dik gedrukt in de adresbalk zodat het makkelijker te herkennen is. Het domein wordt ook altijd gevolgd door een slash (/), nooit een ander teken.
Nadat u klaar bent kunt u het beste uitloggen en dan de privénavigatie sluiten (sluit simpelweg dat venster, evt. met ctrl+W). Als u nog iets anders wilt doen, bijvoorbeeld nog een andere rekening checken, sluit dan toch eerste de privénavigatiemodus en open deze daarna weer. Zeker met de sneltoetsen is het nauwelijks moeite terwijl het verzekert dat eventuele restanten van cookies of cache weg zijn.
Meer informatie
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Heb jij ook een goede security tip voor de lezers van Security.NL? Mail de redactie en maak kans op een exclusief Security.NL T-shirt!
Bedankt voor je bijdrage Luc, dit is een van de betere achtergrond-artikelen die ik ben tegengekomen op security.nl!
Bedankt ! ! !. Uitstekend geschreven artikel en zeker nuttig voor velen.
Een Security tip met een goud randje !, TOPPIE.
Privénavigatiemodus helpt inderdaad niet tegen de meeste malware die al op de computer aanwezig is en in de browser draait, of met administrator rechten kan draaien. Echter in Chrome's incognito mode kun je ook add-ons en extensies uitschakelen, en standaard staan ze al allemaal uit. Het helpt dan dus wel tegen kwaadaardige extensies.
Dat doet een deel van het voordeel teniet, onder andere ben je niet meer beschermd tegen https-aanvallen wanneer je één http tab opent in dezelfde incognito-sessie. Alle tabs zitten namelijk in dezelfde "cookie scope". Cookies (en dergelijke) worden wel verwijderd wanneer je de incognito-sessie sluit, maar tijdens gebruik is het een normale browser. Je kunt dus het beste de incognitomodus voor één (https-)site tegelijk gebruiken, zoals ook in het laatste deel van het artikel wordt genoemd.
Nog een nadeel is dat je dan altijd op alle sites opnieuw moet inloggen. Bij minder belangrijke sites is het soms wel handig om gewoon ingelogd te blijven. Je wachtwoord encrypted opslaan (firefox hoofdwachtwoord; keepass; 1password) kan ook, maar het is weer een extra stap en die wachtwoorddatabase een single point of failure.
Ik gebruik Firefox en wil sowieso niet gevolgd worden. Voorzover ik cookies bij uitzondering heb toegestaan en deze niet reeds door een cookiemonster en BetterPrivacy automatisch zijn opgevreten na het verlaten van een tab ...leeg ik regelmatig - zeker voor en na bankieren - in een klik: mijn geschiedenis, downloads, webformulieren, cookies, LSO’s en zelfs mijn cache.
Uiteraard staan bij bankieren geen andere tabs open, en al zou een tab open staan, dan blokkeert NoScript toch alle javascripts op die pagina ?
Verder heb ik met AdblockEdge ook geen last van (risicovolle malware ) advertenties en blokkeer ik met Ghostery categorisch alle trackers/analyseerders/etc.
Nu is mijn vraag . Is er dan nog een reden waarom ik toch beter Privénavegatie gebruik bij telebankieren ?
Indien enkel vanwege mogelijk uitgaand http verkeer naar domeinen die met mijn add-ons te maken hebben. Dat gebeurt dagelijks voor een check op updates. Maar er wordt dan toch geen info verzonden over mijn surfgedrag ? Wat voor privedata kan worden gelekt en aan wie ? Dat heeft toch niets met (eventueel gelijktijdig) telebankieren te maken ?
Ik gebruik Firefox en wil sowieso niet gevolgd worden. Voorzover ik cookies bij uitzondering heb toegestaan en deze niet reeds door een cookiemonster en BetterPrivacy automatisch zijn opgevreten na het verlaten van een tab ...leeg ik regelmatig - zeker voor en na bankieren - in een klik: mijn geschiedenis, downloads, webformulieren, cookies, LSO’s en zelfs mijn cache.
Uiteraard staan bij bankieren geen andere tabs open, en al zou een tab open staan, dan blokkeert NoScript toch alle javascripts op die pagina ?
Verder heb ik met AdblockEdge ook geen last van (risicovolle malware ) advertenties en blokkeer ik met Ghostery categorisch alle trackers/analyseerders/etc.
Nu is mijn vraag . Is er dan nog een reden waarom ik toch beter Privénavegatie gebruik bij telebankieren ?
Na zoveel maatregelen om tracking tegen te gaan zie ik inderdaad geen direct voordeel meer van privénavigatiemodus. Als alles (incl. cache) echt regelmatig geleegd wordt, bijvoorbeeld elke paar uur, en scripts niet te vaak worden toegestaan (sommige mensen klikken nogal snel op noscript's optie 'scripts tijdelijk toestaan'), dan zou het ongeveer hetzelfde effect moeten hebben of zelfs nog beter werken. De recente https-exploits vertrouwen in ieder geval op javascript in http tabs.
Zelf gebruik ik een andere, veiligere methode voor internetbankieren. Heeft wel wat meer voeten in de aarde, maar je went er snel genoeg aan: Gebruik een VM met een live bootable Linux distro, zonder HDD. Boot de VM met Linux vanaf iso en gebruik vervolgens de VM alleen voor de website van je bank. Na het bankieren, sluit de VM zonder wijzigingen op te slaan. (power off)
Daarmee zorg je dat een eventuele infectie zich niet blijvend kan installeren in het OS. Een goede live distro hiervoor is Knoppix, omdat daarin standaard Firefox + Noscript meegeleverd is.
* Ik heb mezelf eigenaar gemaakt van veelgebruikte en nogal eens bij te werken shellscripts (eventueel de map waar ze in staan, maar dat houdt een extra risico in)
Zeer nuttige tip overigens! Dank voor 't delen. Daar komen we verder mee.
Rechtsklikken op tabblad en nieuwe snelkoppeling maken.
Geef de locatie van het item deze in het geval van inprivate:
"C:\Program Files\Internet Explorer\iexplore.exe" -private
Wil je die gelijk naar één of andere browser laten gaan voeg die dan toe aan de bewuste regel, zie voorbeeld:
"C:\Program Files\Internet Explorer\iexplore.exe" -private http://www.google.be
Het is dus een afweging. Ik denk dat het wel oké is om te gebruiken wanneer je niet gericht aangevallen wordt, maar of het echt zo veel veiliger is... dat kan ik zo niet zeggen. Als je wilt verdedigen tegen persoonlijk gerichte aanvallen (als je een belangrijk persoon bent of bij een belangrijk bedrijf werkt) zou ik de browser echter niet gebruiken, dan heb je kans dat de hackers zich er wel in gaan verdiepen en allerlei onbekende lekken vinden.
Als je niet van je privé PC gebruik maakt, let dan ook op de inhoud van het slotje. Ik heb al meegemaakt dat een HTTPS sessie werd decrypt op de proxy (malware? ) en bij het controleren van het slotje bleek dat er een afwijkend certificaat was...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
