Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Internetbankieren - Man in the Middle

12-12-2012, 10:03 door Erwtensoep, 2 reacties
Er zijn de afgelopen jaren verschillende kwetsbaarheden gevonden in SSL en TLS die gebruikt kunnen worden voor MitM aanvallen. Deze zijn echter te fixen door serverside aanpassingen te maken/te updaten en eventueel moet de betreffende software van die client(browser e.d.) ook worden geupdate. Het probleem is echter dat heel veel websites nog kwetsbaar zijn hiervoor ondanks dat sommigen al jaren bekend zijn. Ook bij internetbankieren bij de bekendere Nederlandse banken zit er nog veel fout, ondanks hun campagnes voor veilig internetbankieren voor hun klanten hebben ze blijkbaar niet al te veel aandacht voor security van hun kant.

Insecure renegotiation:
Ontdekt eind 2009, in 2010 is een nieuwe SSL/TLS standaard uitgebracht(rfc5746) waarin dit is gefixed.
http://blog.ivanristic.com/2009/11/ssl-and-tls-authentication-gap-vulnerability-discovered.html
https://community.qualys.com/blogs/securitylabs/2010/10/06/disabling-ssl-renegotiation-is-a-crutch-not-a-fix
In Firefox is her overigens mogelijk om bij sites die nog de oude standaard gebruiken, de beveiligde verbinding niet als succesvol te beschouwen en dus geen slotje weer te geven of om de verbinding helemaal niet op te zetten en een waarschuwing te geven:
https://wiki.mozilla.org/Security:Renegotiation#Control

BEAST attack:
Ontdekt in 2011, was al gefixed in TLS 1.1+, maar daar is weinig support voor, RC4 cipher suites prioriteren werkt ook.
https://community.qualys.com/blogs/securitylabs/2011/10/17/mitigating-the-beast-attack-on-tls

CRIME Attack
Ontdekt in 2012, gebruikt een kwetsbaarheid in TLS compressie, de oplossing is om TLS compressie uit te schakelen.
https://community.qualys.com/blogs/securitylabs/2012/09/14/crime-information-leakage-attack-against-ssltls

De banksites:

ABN AMRO:
Secure renegotiation: Kwetsbaar
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.abnamro.nl/nl/logon/identification.007

Aegon Bank:
Secure renegotiation: Kwetsbaar
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://mijn.aegonbank.nl/

ASN Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.asnbank.nl/onlinebankieren/secure/loginparticulier.html

Bank of Scotland:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Kwetsbaar
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://banking.bankofscotland.nl/netbankingnl/RetailLoginHome.html

Friesland Bank:
Secure renegotiation: Kwetsbaar
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://internetbankieren.frieslandbank.nl/ebank

ING Bank:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=https://mijn.ing.nl/internetbankieren/SesamLoginServlet

Rabobank:
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=https://bankieren.rabobank.nl/klanten/

SNS Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://www.snsbank.nl/mijnsns/secure/login.html

Triodos Bank:
Secure renegotiation: Veilig
BEAST: Veilig
CRIME: Veilig
TLS 1.1 Support: Ja
TLS 1.2 Support: Ja
https://www.ssllabs.com/ssltest/analyze.html?d=bankieren.triodos.nl&s=213.236.80.139

Van Lanschot:
Secure renegotiation: Kwetsbaar
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=www.vanlanschot.com&s=193.173.195.10


En dan nog even het rapport voor secure.security.nl, niet echt belangrijk op zo'n site, als je dan toch HTTPS aanbied, doe het dan goed, vooral als security site en gezien het onderwerp van deze site is het toch belangrijk het goede voorbeeld te nemen.
Secure renegotiation: Veilig
BEAST: Kwetsbaar
CRIME: Veilig
TLS 1.1 Support: Nee
TLS 1.2 Support: Nee
https://www.ssllabs.com/ssltest/analyze.html?d=https://secure.security.nl/
Reacties (2)
12-12-2012, 12:10 door AdVratPatat
Dit probleem is al jaren bekend, zoals je terecht al opmerkt, vandaar dat ik me afvraag wat je precies verwacht van ons als lezer bij dit topic. In het buitenland (vooral buiten de EU) is het helemaal triest gesteld overigens.

Feiten:
Dat je (bedoeld of niet) insinueert dat dit te "fixen" valt door wat aanpassingen hier en daar door te voeren is niet helemaal correct. Implementatie van oplossingen voor dergelijke problemen zijn een verhaal van kosten / baten.
Het vereist een complete revisie, van de grond af dus, van de gehele infrastructuur en is in de praktijk enkel haalbaar voor "nieuwe spelers op de markt," en de partijen die zich willen profileren / onderscheiden op het gebied van duurzaamheid en veiligheid.

Wel kan ik je verzekeren dat genoemde problemen, en vele-vele-vele anderen zijn opgenomen in de beleidsnota's van vrijwel alle grote financiële instellingen in Nederland, al verwacht ik niet dat dit op korte termijn daadwerkelijk effect heeft.


IMHO:
Deze kwetsbaarheden zijn (potentieel) te misbruiken door zowel malware (passief) als hackers (actief) en zal, gezien de ontwikkelingen de laatste jaren op het gebied van malware en de groei in eenvoudige verkrijgbaarheid van exploits, een enorme toename van fraude met internet-bankieren tot gevolg hebben. Op naar 2013.

EDIT:
@TS: Nogmaals, de strekking is duidelijk, maar wat verwacht je voor reacties? "Oh, dit is wel erg?"
12-12-2012, 14:46 door Erwtensoep
@AdVratPatat
Ik kwam toevallig op die site voor Firefox instelling mbt renegotiation, toen had ik een paar banksites getest om te kijken hoe het er nu voor staat. Juist omdat dit al langer bekend is was ik benieuwd om te kijken of er in de afgelopen jaren wat veranderd is, of dat het nog steeds zo erg is. Omdat ik het toch al aan het opzoeken was kostte het niet zoveel moeite omdat in een post te zetten en dit te laten zien en mogelijk worden personen bij banken via Google Alerts e.d. hiervan op de hoogte gesteld. Hopelijk wordt het dan door de desbetreffende persoon naar het management doorgespeeld en zou het mogelijk wat meer prioriteit krijgen. Verder ben ik het ook met jouw mening eens dus dacht ik dat het geen kwaad kon om dit weer even in beeld te brengen.

Van de problemen had ik wel door dat ze niet allemaal door wat aanpassingen te fixen zijn, maar ik had het idee dat sommigen niet zoveel moeite kosten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.