image

Security Tip van de Week: gebruik HTTPS Everywhere

maandag 10 december 2012, 11:04 door Simone Halink, 22 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Simone Halink

Gebruik HTTPS Everywhere
Over het internet versturen we een schat aan gevoelige gegevens, zoals adresgegevens, bankgegevens, maar ook e-mail en chatberichten. Het is dus zaak om ervoor te zorgen dat die gegevens niet door kwaadwillenden worden onderschept. Je voorkomt dit gemakkelijk door het gebruik van een beveiligde verbinding, die je gegevens versleutelt waardoor ze onleesbaar worden voor derden. Een handige tool hiervoor is “HTTPS Everywhere”, die werd ontwikkeld door onze Amerikaanse zusterorganisatie The Electronic Frontier Foundation (EFF) en The Tor Project. Onze Security Tip van de week: investeer in je online veiligheid en installeer “HTTPS Everywhere”.

Hoe werkt HTTPS Everywhere?
HTTPS Everywhere is een plug-in voor je Firefox of Chrome browser. Voor elke site die je bezoekt controleert de plug-in of die site ook een versleutelde verbinding (HTTPS-verbinding) aanbiedt en maakt dan gebruik van die verbinding. Hierdoor komt een beveiligde verbinding tot stand die je dataverkeer op drie manieren beschermt:

  • Authenticatie: de tool controleert of de verbinding tussen de browser en de server niet onderweg wordt omgeleid, bijvoorbeeld naar een server die in handen is van cybercriminelen. Als daarvan sprake lijkt, krijgt de gebruiker van de browser een waarschuwing.
  • Vertrouwelijkheid: de data die tussen de browser en de server wordt uitgewisseld wordt versleuteld en is zo onleesbaar voor derden.
  • Integriteit: het voorkomt dat een data tijdens verzending niet kan worden gewijzigd.

Word je door HTTPS Everywhere volledig beschermd?
Door gebruik van HTTPS Everywhere zorg je ervoor dat bij websites waar HTTPS beschikbaar is, je ook HTTPS gebruikt. Zo kan je je gevoelige gegevens zo vaak mogelijk veilig versturen. De tool kan echter geen volledige veiligheid creëren: als je een website bezoekt die niet of slechts deels in HTTPS voorziet, dan blijf je daar ook mét gebruik van de tool onbeschermd. Controleer dus altijd eerst of de tool op een site bescherming biedt voordat je gevoelige gegevens verstuurt.

Verder beschermt HTTP Everywhere alleen de inhoud van je dataverkeer. De tool verhult níet welke site je bezoekt, hoeveel tijd je daar doorbrengt, of de hoeveelheid data die je daar uploadt of downloadt. Wil je verhullen welke sites je bezoekt, dan zal je gebruik moeten maken van een anonimiseringstechniek zoals Tor.

Tot slot is het HTTPS-systeem niet waterdicht: zo hadden de inbrekers bij Diginotar, waarschijnlijk van de Iraanse overheid, valse certificaten aangemaakt om versleuteld Gmail verkeer te onderscheppen. In zo een geval is zelfs HTTPS-verkeer dus niet veilig meer. HTTPS biedt dan ook vooral beveiliging tegen minder geavanceerde aanvallers, zoals het afluisteren van je verkeer in een open Wifi-netwerk.

Investeer in online veiligheid
Het gebruik van HTTPS Everywhere is een belangrijke investering in je online veiligheid en kost maar weinig tijd en moeite. Je kan de plug-in downloaden op de website van EFF.

Investeren in online veiligheid kan ook op een andere manier: door Bits of Freedom te steunen. Voor ons is cybersecurity namelijk een belangrijk thema. Daarom presenteerden we recent samen met een groep stakeholders en veiligheidsexperts 'Het cybersecuritybeleid van de toekomst'. Dit stuk beschrijft vier uitgangspunten en acht maatregelen waaraan goed cybersecuritybeleid moet voldoen en kan in de discussie over dit onderwerp als leidraad dienen. Verder verzetten we ons tegen de hackplannen van minister Opstelten (Veiligheid & Justitie). Die plannen maken Nederland namelijk niet veiliger, maar juist ónveiliger.

Vind je ons werk belangrijk en wil je investeren in cybersecurity, dan kan dat dus ook door ons te steunen. Deze week zetten we alles op alles om in vijf dagen 750 nieuwe donateurs te werven: want dat aantal hebben we nodig om ons werk in 2013 te kunnen blijven doen. Donateur worden kan hier.

Simone Halink werkt voor Bits of Freedom waar ze op openhartige en innovatieve manier opkomt voor internetvrijheid in Nederland.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (22)
10-12-2012, 11:32 door [Account Verwijderd]
[Verwijderd]
10-12-2012, 13:51 door Anoniem
Een mooie meid werkzaam in de IT wereld? WOW!
10-12-2012, 14:05 door Anoniem
Dat lekken bijna nooit op deze manier gebeuren (hoe weet je dat eigenlijk?) doet er niets aan af dat deze tool tot vandaag ontbrak aan mijn browser.
Dat de webservers van de sites die ik bezoek het een beetje zwaarder krijgen is niet mijn probleem.
Sommige mensen geloven niet in-depth maar je hebt wel een virusscanner, een nat-router, misschien ook een firewall, je gebruikt een sandbox voor je browser enz enz.
Kortom, ja, het zal niet de wereld verbeteren maar het wordt wel een beetje veiliger zonder dat je er veel voor hoeft te doen.

Goede tool van EFF en goede tip van Simone
10-12-2012, 15:18 door AdVratPatat
Dit heeft enkel een mogelijk nut in de praktijk mits je draadloos bent en de rest van je beveiliging, inclusief de wijze waarop je omgaat met je eigen privacy natuurlijk, werkelijk al dramatisch faalt. Daarnaast vind ik het rechten-beleid van deze extensie (o.a. de mogelijkheid om cookies aan te passen) helemaal niet stroken...

BoF is dan natuurlijk ook een politieke lobby, en Simone Halink is opgeleid als jurist.
Leuk geprobeerd...
10-12-2012, 16:27 door Mil0
Integriteit: het voorkomt dat een data tijdens verzending niet kan worden gewijzigd.

:D

Verder @AdVratPatat: geloof je werkelijk dat je verkeer alleen op de eerste hop afgeluisterd kan worden? Nooit gehoord van beam splitters en de NSA?
10-12-2012, 17:08 door Joepf
Hoewel ik gezien heb dat het voor Chrome nog een ALPHA versie, is, nog geen release, en dat het komt door een bug in Chrome zelf, hoop ik toch dat het de moeite waard zal blijken te zijn. Ik heb het gedownload en geïnstalleerd. Als het goede resultaten geeft, en geen grote problemen veroorzaakt, dan houd ik de plug-in, en surf ik veilig over Internet. Als het sites ontoegankelijk blijkt te maken, die ik wel nodig heb, dan zet ik het snel weer uit, totdat er een echte release komt.
Joep
10-12-2012, 18:45 door Anoniem
Door Mil0:
Integriteit: het voorkomt dat een data tijdens verzending niet kan worden gewijzigd.

:D

Verder @AdVratPatat: geloof je werkelijk dat je verkeer alleen op de eerste hop afgeluisterd kan worden? Nooit gehoord van beam splitters en de NSA?
Denk je dan echt dat deze extensie je gaat helpen?
10-12-2012, 19:26 door AdVratPatat
@Iedereen die zich veiliger denkt te voelen met deze extensie:
Man in the Middle (MitM) aanvallen komen in het wild gewoonweg vrijwel niet voor, zeker niet hier in de eerste wereld, Man in The Browser (MiTB/ MIB) daarentegen, is een groot gevaar met betrekking tot fraude bij internet-bankieren en wordt maar al te vaak (inclusief door de redactie van security.nl nota bene) door elkaar gehaald met MitM. Hier heb ik me al veel vaker aan geërgerd overigens.

HET DIRECTE GEVOLG:
Zoals je al kunt lezen in de reacties van enkele eindgebruikers hierboven, gaan zij voortaan lekker "veilig" browsen met HTTPS-everywhere, waar dat "veilig" enkel gebaseerd is op onderbuik-gevoelens of omdat een meisje met mooie ogen het geschreven heeft. Bij deze een waarschuwing dus: Internetbankieren, online betalen via pay-pal, wat-dan-ook wordt ZEKER NIET veiliger!!! Feitelijk wordt niets tijdens het browsen veiliger, hooguit kun je voortaan mogelijk met iets meer privacy je persoonlijke onzin op Twitter knallen oid. De term "veiliger" is in het geheel niet van toepassing, en moet vermeden worden bij dit soort extensies, juist om verwarring te voorkomen.

-1'tjes maal ik niet om, -10 is ook prima, maar een technisch en / of anderzijds gefundeerd weerwoord daarbij zou ik wel op prijs stellen, als ik hier iets over het hoofd zie hoor ik dat graag namelijk, tot die tijd:

Politiek lobby-gezwam van de advocaat van de duivel die onwetendheid heet, of ze het nu zo bedoeld of niet. Ronduit SCHAN-DA-LIG!

BoF moet brieven schrijven aan politici, mogelijk een WoB-je of 2 doen hier en daar, maar zich zeker niet gaan bemoeien met "security." Privacy is iets anders dan veiligheid. Na dit bericht begin ik me ook af te vragen hoeveel van die donaties opgaan aan de eigen organisatie, misschien ook daar maar eens naar gaan kijken...


@Joepf; De Chrome versie is een instabiele FF-poort, dat wordt ook zeer duidelijk omschreven op zowel de EFF site als in de Chrome Shop, de instabiliteit heeft werkelijk NIETS te maken met een bug in Chrome. Als je een bron weet die mij beter kan informeren hoor ik het graag.

Door Mil0:
Integriteit: het voorkomt dat een data tijdens verzending niet kan worden gewijzigd.

:D

Verder @AdVratPatat: geloof je werkelijk dat je verkeer alleen op de eerste hop afgeluisterd kan worden? Nooit gehoord van beam splitters en de NSA?
Grappig dat je nou net dat stompzinnige stukje tekst moet quoten, zonde van de een data. Ook tegen de overheid gaat deze extensie je niet verder helpen dan "een veilig gevoel," maar dat is in jouw geval al wel handig lijkt me.


EDITS:
Reactie zelf gemodereerd op (irrationele) emoties, ik ben echt zwaar over de zeik zie ik... :[
@Jospeh toegevoegd.
Typo's en vormfout.


En:
Als aanvulling kom ik er net wel achter dat deze extensie een duidelijke waarschuwing geeft wanneer HTTPS niet is "ingeschakeld" (ook zoiets), maar dit zou mogelijk dan wel een waardevolle aanvulling kunnen zijn, hoewel ik "veiliger" dan nog steeds een totaal misplaatste kracht-term vind.
11-12-2012, 01:47 door Erik van Straten
Prima tip Simone!

Door AdVratPatat: Bij deze een waarschuwing dus: Internetbankieren, online betalen via pay-pal, wat-dan-ook wordt ZEKER NIET veiliger!!!
Dat is onjuist. Als ik, zonder https everywhere, als URL intik:

mijn.ing.nl

dan wordt er een DNS lookup voor mijn.ing.nl gedaan (waarvan het antwoord gespoofed kan zijn) waarna een http verbinding met http://mijn.ing.nl/ wordt opgezet. De echte mijn.ing.nl (op dit moment IP adres 145.221.55.11) zal een redirect opdracht naar mijn Firefox sturen om naar https://mijn.ing.nl/ te gaan, maar een aanvaller zal dat normaal gesproken natuurlijk niet doen. De aanvaller heeft dus twee aanvalsmogelijkheden:
- DNS spoofen
- Direct op het netwerk een MITM uitvoeren.
Als het de gebruiker niet opvalt dat het slotje ontbreekt is hij de pisang.

Als ik met https everywhere ingeschakeld als URL intik:

mijn.ing.nl

dan wordt natuurlijk ook een DNS lookup gedaan. Echter, https everywhere zal Firefox (op basis van z'n rules) dwingen om meteen https://mijn.ing.nl/ te openen (net nog gecheckt met wireshark, er is dan echt geen http / poort 80 verkeer). Als het een gespoofed IP-adres is, of als er een MITM aanval plaatsvindt, zal de gebruiker een certificaat-error krijgen (en die zijn behoorlijk overtuigend in Firefox).

Kortom, bij een aanval zonder https everywhere moet het de gebruiker opvallen dat het slotje ontbreekt; met https everywhere moet de gebruiker actief door een certificaatfoutmelding heenklikken. Dat vind ik een essentieel verschil.
11-12-2012, 11:20 door AdVratPatat
Door Erik van Straten: Echter, https everywhere zal Firefox (op basis van z'n rules) dwingen om meteen https://mijn.ing.nl/ te openen (net nog gecheckt met wireshark, er is dan echt geen http / poort 80 verkeer). Als het een gespoofed IP-adres is, of als er een MITM aanval plaatsvindt, zal de gebruiker een certificaat-error krijgen (en die zijn behoorlijk overtuigend in Firefox).

Kortom, bij een aanval zonder https everywhere moet het de gebruiker opvallen dat het slotje ontbreekt; met https everywhere moet de gebruiker actief door een certificaatfoutmelding heenklikken. Dat vind ik een essentieel verschil.
Oprecht bedankt voor je reactie Erik,
(Veilig internetbankieren bij de ING? Ons referentiekader verschilt aanzienlijk zo te zien ;] sarc/off)

Inhoudelijk:
Hoewel ik het in grote lijnen bepaald niet met je eens ben, heb je me wel één oog geopend.
1] DNS-spoofing en MitM als aanvalsvectoren zijn alleen van toepassing als de rest van alle beveiligingsmaatregelen al dramatisch hebben gefaald. Dat er dan vervolgens nog behoorlijk wat haken en ogen zitten aan de functionaliteit van deze extensie bij een dergelijke aanval laat ik even in het midden.
2] DNS-spoofing en MitM aanvallen komen in de praktijk niet tot nauwelijks voor. Als er geen bepaalde dreiging is, is het niet juist om een oplossing voor deze hypothetische dreiging als "veilig" te omschrijven. Zeker niet door een "expert." (SCHANDALIG!)
3] Een vals gevoel van veiligheid is IMHO 10x gevaarlijker dan welke aanvalsvector dan ook, tegen idioterie kan geen beveiliging op, maar de kans dat een eindgebruiker met een MiB aanval te maken krijgt is vele malen groter, en nogmaals, zoals je hierboven al kunt lezen, gaat de gemiddelde eindgebruiker er vrolijk van uit dat het allemaal wel "veilig" is.
Dit is niet de schuld van de eindgebruiker, maar voornamelijk het gevolg van de terminologie waarmee BoF hier weer strooit ten behoeve van het generen van de 750 beoogde donaties. (SCHANDALIG!)


ECHTER:
Wat ik me naar aanleiding van jouw reactie nu pas realiseer (en dat is schandalig van mezelf), is dat deze extensie mogelijk wel een meerwaarde kan hebben voor mensen die graag op hyper-linkjes drukken in e-mails en dergelijke. Ook hier geld dat tegen stompzinnigheid niets is opgewassen en dat deze extensie ook hier geen sluitende (en dus "veilige") oplossing voor biedt, maar dat betekent niet dat deze extensie inderdaad, met een mits hier, een maar daar, een indien zus en een mogelijk zo een aanvulling zou kunnen zijn voor deze groep gebruikers.

Het misplaatst gevoel van "veiligheid" weegt m.i. veel zwaarder dan de hypothetische verbetering.
Dit is niet "veilig", maar gevaarlijk.
11-12-2012, 11:54 door Anoniem
Ik heb deze plugin een tijdje gehad, maar het veranderde de layout van tweakers.net helemaal :S
11-12-2012, 12:40 door Anoniem
DNT plus dan ook gebruiken.
11-12-2012, 15:46 door sabofx
Door Anoniem: Een mooie meid werkzaam in de IT wereld? WOW!

But then there's Photoshop....
11-12-2012, 23:32 door Anoniem
tja leuk stukje en leuke technologie maar dit is niet de oplossing.

hier in australia krijgen mensen vanuit de overheid instructie (een soort postbus 51) over ID fraude. Ja zelfs over de gevaren van het gebruik van chips in bankpassen en paspoorten.

Dus laat BOF zich nu eens richten om het publiek bewuster te maken ipv weer met iets technisch door een niet-technicus te laten roepen.

Want we kunnen ook zeggen, ga nu eens alle email en bestanden versleutelen met bijvoorbeeld securezip of pgp

kortom de mens factor en de bewustmaking hierom moet omhoog.
12-12-2012, 00:53 door Anoniem
Gebruik hierbij ook de add-on 'Perspectives', hierbij wordt de key van het certificaat vergeleken met verschillende network notaries op het internet die waarschuwt bij een mismatch!

Zie: https://addons.mozilla.org/nl/firefox/user/1937710/?src=api
12-12-2012, 08:59 door Rasalom
Door AdVratPatat: Een vals gevoel van veiligheid is IMHO 10x gevaarlijker dan welke aanvalsvector dan ook
Opzich ben ik dat met je eens, maar over de andere kant is niet beveiligen minstens zo gevaarlijk. Het voelt een beetje als zeggen: "Ik neem geen sloten op de deuren, want een inbreker komt toch wel binnen als hij dat wil. Sloten verschaffen een vals gevoel van veiligheid."

Dit soort tools zijn hulpmiddelen, niet meer en niet minder. Het is beter om bewust te internetten, maar het is altijd goed dat een hulpmiddel je momenten van zwakheid kan proberen op te vangen.
12-12-2012, 10:45 door Rasalom
Door Anoniem: Een mooie meid werkzaam in de IT wereld? WOW!
Ze is advocaat bij Bits of Freedom, dus werkzaam in de ICT wereld is heel relatief. Verder een vrij stereotype reactie, vind je niet ook?
12-12-2012, 11:38 door AdVratPatat
Door Rasalom:
Door AdVratPatat: Een vals gevoel van veiligheid is IMHO 10x gevaarlijker dan welke aanvalsvector dan ook
Opzich ben ik dat met je eens, maar over de andere kant is niet beveiligen minstens zo gevaarlijk. Het voelt een beetje als zeggen: "Ik neem geen sloten op de deuren, want een inbreker komt toch wel binnen als hij dat wil. Sloten verschaffen een vals gevoel van veiligheid."

Dit soort tools zijn hulpmiddelen, niet meer en niet minder. Het is beter om bewust te internetten, maar het is altijd goed dat een hulpmiddel je momenten van zwakheid kan proberen op te vangen.
Mijn probleem dat er 16(!!!) keer de term "veilig" in het artikel verstopt zit.
"Subliminal messages" (ik krijg spontaan een alu-hoedje, lol) waar de aanvalsvector -nogmaals- absoluut geen realistische dreiging is.

Zeer kwalijke zaak, en dat madame zelf niet even langs komt surfen / reageren staat me ook niet bepaald aan...
13-12-2012, 10:45 door Anoniem
LOL

https://www.security.nl/artikel/44262/Security_Tip_van_de_Week%3A_gebruik_HTTPS_Everywhere.html


geeft

Er is een probleem met het beveiligingscertificaat van deze website.


Het beveiligingscertificaat dat door deze website wordt gebruikt, is verleend aan een adres voor een andere website.

Problemen met beveiligingscertificaten kunnen duiden op een poging om u informatie te ontfutselen of om informatie die u naar de server verzendt, te onderscheppen.
U wordt aangeraden om deze webpagina te sluiten en niet naar deze webpagina te gaan.
Klik hier als u deze webpagina wilt sluiten.
Doorgaan naar deze website (niet aanbevolen).
Meer informatie


Als u op deze pagina bent terechtgekomen door op een koppeling te klikken, dient u het adres van de website in de adresbalk te controleren, om er zeker van te zijn dat dit het verwachte adres is.
Als u naar een website met een adres zoals https://example.com wilt gaan, kunt u proberen om 'www' aan het adres toe te voegen. Bijvoorbeeld: https://www.example.com.

Raadpleeg voor meer informatie het onderwerp 'Certificaatfouten' in Help van Internet Explorer.
13-12-2012, 16:20 door Anoniem
Inderdaad leuk om overal HTTPS voor te gebruiken, ben benieuwd wat er allemaal breekt...
18-12-2012, 09:08 door Rasalom
Er is een probleem met het beveiligingscertificaat van deze website.
Dat is niet de schuld van HTTPS Everywhere natuurlijk. Dat is gewoon dommigheid van Security.nl.
18-12-2012, 09:10 door Rasalom
Mijn probleem dat er 16(!!!) keer de term "veilig" in het artikel verstopt zit.
Ik had ze niet geteld. :-) Subliminal messages zal ik waarschijnlijk niet zo gevoelig voor zijn, want ik heb het sowieso al met een korrel zout genomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.