Op 24-05-2014 werd door VARA Kassa aandacht besteed aan een MITm aanval op https (SSL/TLS) verbindingen.
In de uitzending werd aandacht besteedt aan security maatregelen die klanten konden nemen met internetbankieren.
Eén daarvan was te kiezen voor het internetbankieren met een browser die HSTS ondersteunt zodat de hele verbinding versleuteld zou zijn. Banken zouden dit implementeren of hadden dat al gedaan (?).
Op 27-05-2014, een selectie van 12 banken bekeken die internetbankieren aanbieden en een controle gedaan op geïmplementeerde toepassing van de HSTS header op de website. *
Maar 'liefst' 7 banken van de 12 hadden HSTS functie niet op de website geïmplementeerd, in ieder geval niet op te maken uit de 'Response Header'.
Vandaag 4 juni, 11 dagen na de 'spraakmakende' uitzending is dat resultaat nog steeds hetzelfde.
Dat Nederlanders zich volgens onderzoek weinig zorgen maken over de veiligheid van het internetbankieren is op zich al verbazend nieuws.
Maar als je zelf niets snapt van techniek geloof je maar dat de bank zegt dat het veilig is, heel voorstelbare uitkomst dan.
Veel verbazender vind ik het dat ook een meerderheid (?) van banken die internetbankieren aanbieden, zelfs na de Kassa uitzending, niet de moeite hebben genomen het internetbankieren met de simpele (?) HSTS maatregel wat veiliger te maken.
Nog verbazender vind ik het, ik zit nog overeind hoor, dat ook hier, de plek bij uitstek als het gaat om security tumult over internetbankieren, je verder niemand hoort over deze achterblijvende security handelswijze van banken.
Hoe komt dat?
Heeft betrokkenheid zo'n korte spanningsboog? Nieuws uit het oog, nieuws uit het hart? Lege bankrekening en dus geen interessante constatering? Bankhouder bij een bank die het wel op orde heeft dus verder 'niet interessant'? Zijn alleen nieuw aangekaarte zaken in de media interessant maar erop terugkomen of zaken ook worden waargemaakt niet?
(zomertijd kwamkwammertijd?)
Heel apart.
*
https://www.security.nl/posting/389177#posting389627