De websites van alle bekende Nederlandse banken zijn kwetsbaar voor de BEAST- en CRIME-aanvallen, waardoor kwaadwillenden in bepaalde scenario's toegang tot de bankrekening van slachtoffers kunnen krijgen. Dat vertelt Luc Gommans tegenover Security.nl. Onderzoekers Juliano Rizzo en Thai Duong demonstreerden vorig jaar hun Browser Exploit Against SSL/TLS (BEAST) aanval.

Daarmee is het mogelijk om de sessie van gebruikers op HTTPS-sites te kapen. Voor het uitvoeren van de aanval moest de aanvaller tussen het slachtoffer en de website in zitten.

Dit jaar kwamen de onderzoekers met een nieuwe aanval, genaamd CRIME. Ook hier is het mogelijk om bij een man-in-the-middle-aanval om HTTPS-verkeer te onderscheppen.

Beveiliging
Gommans bekeek of de Nederlandse banken zich tegen deze aanvallen gewapend hebben. "Software en instellingen op de servers worden vaak niet bijgewerkt wanneer beveiligingslekken bekend gemaakt worden, en maatregelen als DNSSEC worden als overbodig beschouwd. Hierdoor is het erg makkelijk om in een internetcafé of op school andermans bankrekening te manipuleren", aldus de onderzoeker.

Hij testte in totaal 29 Nederlandse banksites. In de tests werd gecontroleerd of recente SSL/TLS aanvallen zoals BEAST en CRIME mogelijk zijn, of de website zwakke encryptiealgoritmes aanbiedt, en of DNSSEC ingeschakeld was. Geen enkele bank leverde een perfecte score af.

Inlogpagina
Volgens de onderzoeker is door de afwezigheid van DNSSEC het erg makkelijk om, op bijvoorbeeld www.rabobank.nl, de link naar de inlogpagina te vervangen door een kwaadaardige link. "Wanneer de gebruiker éénmaal vergeet het slotje in de adresbalk te controleren, kan even later geld overgeschreven worden naar het rekeningnummer van de aanvaller. Het gebruik van een Random Reader of sms-verificatie helpt hier niet tegen."

Om van de kwetsbaarheden misbruik te maken moet er sprake van een Man-in-the-Middle situatie zijn of DNS cache poisoning. "De eerste gedachte is een openbaar of gekraakt WiFi-netwerk (een netwerk met WEP bijvoorbeeld), maar er kan ook worden gedacht aan overheden of mensen die bij een provider werken", laat de onderzoeker weten.

Als voorbeeld geeft hij een provider als Ziggo of KPNn, maar ook een transit provider als Reggefiber of Atom86, of een DNS provider als OpenDNS. "Alles up-to-date houden (recente openssl versies zijn beschermd tegen BEAST bijvoorbeeld) en configuraties bijwerken (CRIME werkt alleen wanneer deflate/zlib compressie is ingeschakeld) kan al veel problemen verhelpen."

Browser
Gommans stelt dat ook consumenten actie kunnen ondernemen om de meeste aanvallen te voorkomen. "Controleer of je een moderne browser gebruikt zoals Internet Explorer 9, Chrome 22, of Firefox 16, en of deze ook van de laatste updates voorzien zijn. Windows Update is hierbij ook van belang, aangezien Internet Explorer en Chrome hierop vertrouwen voor Certificate Authorities, welke van kritisch belang zijn voor de veiligheid van alle https websites."

Daarnaast moeten internetgebruikers niet vergeten om het 'slotje' in de browser te controleren. "Bij het intypen van mijn.ing.nl wordt deze standaard over een onbeveiligde connectie geladen. Normaal wordt u doorverwezen naar een beveiligde inlogpagina, maar een aanvaller kan hier een stokje voor steken. De aanvalspagina ziet er exact hetzelfde uit, maar in de adresbalk staat opeens een pagina zonder slotje. Of er staat een slotje, maar de site is mijn.ing.nl.securlogin.tk."