image

'Nederlandse banken kwetsbaar voor BEAST-aanval'

dinsdag 30 oktober 2012, 10:11 door Redactie, 12 reacties

De websites van alle bekende Nederlandse banken zijn kwetsbaar voor de BEAST- en CRIME-aanvallen, waardoor kwaadwillenden in bepaalde scenario's toegang tot de bankrekening van slachtoffers kunnen krijgen. Dat vertelt Luc Gommans tegenover Security.nl. Onderzoekers Juliano Rizzo en Thai Duong demonstreerden vorig jaar hun Browser Exploit Against SSL/TLS (BEAST) aanval.

Daarmee is het mogelijk om de sessie van gebruikers op HTTPS-sites te kapen. Voor het uitvoeren van de aanval moest de aanvaller tussen het slachtoffer en de website in zitten.

Dit jaar kwamen de onderzoekers met een nieuwe aanval, genaamd CRIME. Ook hier is het mogelijk om bij een man-in-the-middle-aanval om HTTPS-verkeer te onderscheppen.

Beveiliging
Gommans bekeek of de Nederlandse banken zich tegen deze aanvallen gewapend hebben. "Software en instellingen op de servers worden vaak niet bijgewerkt wanneer beveiligingslekken bekend gemaakt worden, en maatregelen als DNSSEC worden als overbodig beschouwd. Hierdoor is het erg makkelijk om in een internetcafé of op school andermans bankrekening te manipuleren", aldus de onderzoeker.

Hij testte in totaal 29 Nederlandse banksites. In de tests werd gecontroleerd of recente SSL/TLS aanvallen zoals BEAST en CRIME mogelijk zijn, of de website zwakke encryptiealgoritmes aanbiedt, en of DNSSEC ingeschakeld was. Geen enkele bank leverde een perfecte score af.

Inlogpagina
Volgens de onderzoeker is door de afwezigheid van DNSSEC het erg makkelijk om, op bijvoorbeeld www.rabobank.nl, de link naar de inlogpagina te vervangen door een kwaadaardige link. "Wanneer de gebruiker éénmaal vergeet het slotje in de adresbalk te controleren, kan even later geld overgeschreven worden naar het rekeningnummer van de aanvaller. Het gebruik van een Random Reader of sms-verificatie helpt hier niet tegen."

Om van de kwetsbaarheden misbruik te maken moet er sprake van een Man-in-the-Middle situatie zijn of DNS cache poisoning. "De eerste gedachte is een openbaar of gekraakt WiFi-netwerk (een netwerk met WEP bijvoorbeeld), maar er kan ook worden gedacht aan overheden of mensen die bij een provider werken", laat de onderzoeker weten.

Als voorbeeld geeft hij een provider als Ziggo of KPNn, maar ook een transit provider als Reggefiber of Atom86, of een DNS provider als OpenDNS. "Alles up-to-date houden (recente openssl versies zijn beschermd tegen BEAST bijvoorbeeld) en configuraties bijwerken (CRIME werkt alleen wanneer deflate/zlib compressie is ingeschakeld) kan al veel problemen verhelpen."

Browser
Gommans stelt dat ook consumenten actie kunnen ondernemen om de meeste aanvallen te voorkomen. "Controleer of je een moderne browser gebruikt zoals Internet Explorer 9, Chrome 22, of Firefox 16, en of deze ook van de laatste updates voorzien zijn. Windows Update is hierbij ook van belang, aangezien Internet Explorer en Chrome hierop vertrouwen voor Certificate Authorities, welke van kritisch belang zijn voor de veiligheid van alle https websites."

Daarnaast moeten internetgebruikers niet vergeten om het 'slotje' in de browser te controleren. "Bij het intypen van mijn.ing.nl wordt deze standaard over een onbeveiligde connectie geladen. Normaal wordt u doorverwezen naar een beveiligde inlogpagina, maar een aanvaller kan hier een stokje voor steken. De aanvalspagina ziet er exact hetzelfde uit, maar in de adresbalk staat opeens een pagina zonder slotje. Of er staat een slotje, maar de site is mijn.ing.nl.securlogin.tk."

Reacties (12)
30-10-2012, 10:29 door Anoniem
Leg eens uit hoe je bijvoorbeeld bij ING telebankieren een foute overschrijving kunt doen, aangenomen
dat de klant de TAN SMS leest voordat hij de TAN code intoetst?
30-10-2012, 10:29 door yobi
Man in the browser is denk ik een groter probleem (Sinowal, Zeus). Het slotje en de groene balk zijn dan gewoon aanwezig.
http://en.wikipedia.org/wiki/Man-in-the-browser
30-10-2012, 10:31 door [Account Verwijderd]
[Verwijderd]
30-10-2012, 10:58 door Acces Denied
Door Hugo: En niet alleen banken zijn kwetsbaar:
secure.security.nl: https://www.ssllabs.com/ssltest/analyze.html?d=secure.security.nl
www.pine.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.pine.nl
www.certifiedsecure.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.certifiedsecure.com
www.fox-it.com: https://www.ssllabs.com/ssltest/analyze.html?d=www.fox-it.com
www.lbvd.nl: https://www.ssllabs.com/ssltest/analyze.html?d=www.lbvd.nl

Als de security bedrijven het zelf al niet goed doen, wat kan je dan verwachten van banken. Maar aan de andere kant is het ook niet heel eenvoudig om een BEAST aanval uit te voeren.

De website van de Hiawatha webserver daarentegen:
http://www.hiawatha-webserver.org/: https://www.ssllabs.com/ssltest/analyze.html?d=www.hiawatha-webserver.org :P

Ik heb Fox-IT er al op aangesproken, Ronald Prins gaf mij als verklaring dat het toch maar een statische site was en de nieuwe website er aankwam en ze dan zouden updaten. Nieuwe site is er inmiddels maar blijkbaar niet updated...

Groet,
Goo
30-10-2012, 11:11 door Anoniem
Graag vingers; wie heeft er ooit een succesvolle BEAST-aanval uitgevoerd?

De kans dat je succes hebt met sslstrip is aanzienlijk groter.
30-10-2012, 11:31 door [Account Verwijderd]
[Verwijderd]
30-10-2012, 12:27 door Anoniem
Jammer om te zien dat er nog zoveel banken zijn met mixed content of zelfs helemaal geen SSL/TLS...

Ik zie trouwens net dat de pastebin entry is verwijderd...
30-10-2012, 12:57 door [Account Verwijderd]
[Verwijderd]
30-10-2012, 13:53 door Anoniem
Door Anoniem: Jammer om te zien dat er nog zoveel banken zijn met mixed content of zelfs helemaal geen SSL/TLS...

Dat komt omdat de onderzoeker alleen de voor hem gunstige gevallen laat zien: het was kennelijk niet interessant genoeg om de echte banking applicatiesites te testen of de resultaten waren teleurstellend om aandacht te vragen.

Oma Sien of oom Gerrit zal overigens geen enkele moeite met beast hebben, die laat je al in tal van andere problemen trappen die veel makkelijker te gebruiken zijn om klanten aan te vallen.
30-10-2012, 16:10 door Anoniem
Herupload uit Google's cache van de pastebin:

http://pastebay.net/1152419
30-10-2012, 18:19 door [Account Verwijderd]
[Verwijderd]
31-10-2012, 13:22 door Anoniem
Ik zeg FUD. Leuk, maar eens met eerdere comment: doe het maar eens. Onderzoeker claimt dat het op school of internetcafe eenvoudig is. Dan moet er eerst iemand daadwerkelijk gaan bankieren, tegenwoordig zijn zeker scholen en cafés over op switched netwerken, dus arp poisoning, dns poisoning of phishing noodzakelijk, dan de tweede factor nog (tancode, challenge/respons token). Eens dat het beter is van de banken om te beschermen tegen BEAST, maar om nu meteen te zeggen dat het een heel groot probleem is ben ik het niet mee eens.

Doet me denken aan zo'n "onderzoek" wat ongeveer ieder jaar wordt gepubliceerd dat niet alle sites met persoonsgegevens SSL hebben en dat hierdoor "gegevens op straat liggen". Uitgevoerd door: jawel een leverancier van certificaten.

Het échte probleem met internetbankieren zijn de MITB's/BITB's die via botnets ingezet worden op geinfecteerde PC's en de malware die nu nog niet gedetecteerd wordt door antivirus en dus vrolijk hun gang kunnen gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.