image

BN niet bekend met XSS-aanvallen op internetbankieren

dinsdag 3 februari 2015, 13:19 door Redactie, 7 reacties

Onlangs ontdekte een Nederlandse onderzoeker dat de websites van tien banken kwetsbaar voor Cross Site Scripting (XSS) waren, maar voor zover de Betaalvereniging Nederland kan zien zijn dit soort kwetsbaarheden nog nooit in Nederland gebruikt voor het uitvoeren van aanvallen op internetbankieren.

Dat blijkt uit antwoord van minister Dijsselbloem van Financiën op Kamervragen van PvdA-Kamerleden Nijboer en Oosenbrug. De onderzoeker die het probleem ontdekte stelde dat de gevonden XSS-kwetsbaarheid voor phishingaanvallen gebruikt had kunnen worden. Hierbij had een aanvaller het slachtoffer wel eerst naar een kwaadaardige website moeten lokken, bijvoorbeeld door een e-mail te versturen.

Volgens Dijsselbloem (pdf) testen de banken zelf op beveiligingslekken en zorgen ze dat hun systemen regelmatig worden geüpdatet. Toch zijn dergelijke beveiligingsproblemen nooit helemaal uit te sluiten, aldus de minister. Hij merkt verder op dat het probleem van cross site scripting vaker is geconstateerd en eerder is aangepakt door de banken. De Betaalvereniging Nederland heeft de minister laten weten dat het niet bekend is met aanvallen waarin gebruik werd gemaakt van het inmiddels verholpen XSS-lek of vergelijkbare lekken.

Reacties (7)
03-02-2015, 13:28 door Erik van Straten
Hoe het in http://seclists.org/fulldisclosure/2015/Feb/0 gepubliceerde 0Day Same Origin Policy lek (dat gisteren nog wel werkte maar nu niet meer - wellicht door aanpassingen van Javascript bij Cloudmark en/of dailymail.co.uk), precies werkt, weet ik niet.

Maar tot er meer over bekend is lijkt het mij verstandig om niet met MSIE te internetbankieren (als ik me niet vergis staan er nog wat meer lekken in open).
03-02-2015, 14:38 door Anoniem
NoScript

Addon for Mozilla browsers
https://en.wikipedia.org/wiki/NoScript


That's why NoScript features unique and very effective Anti-XSS protection functionality, which prevents untrusted sites from injecting JavaScript code into a trusted web page via reflective XSS and makes NoScript's whitelist bullet-proof.
https://noscript.net/faq#qa4_1

Internetbankieren is zelfs mogelijk met hoog ingestelde NoScript bescherm-settings, sommige scripts van het bankdomein zal je soms moeten toestaan, wat niet betekent dat alle beschermende maatregelen van NoScript niet meer werken.
Die bescherming blijft recht overeind, afhankelijk van wat je hebt geactiveerd.

Probeer het zelf maar eens met Firefox of een andere mozilla based browser.
03-02-2015, 15:20 door Anoniem
Zeggen ze hier nu "we hebben zulke types aanval nog nooit gezien dus het kan geen probleem zijn"? Impliceert dat dan ook dat de testen die de banken uitvoeren niet op zulke aanvallen testen "want nog nooit gezien"?

Vijftig smaken sufheid, denk ik dan.
03-02-2015, 16:11 door Anoniem
Daarvoor huur je toch pentesters in o.0 beetje goedkoop van die banken.
Gelukkig zijn er bijna geen sql injections meer mogenlijk zijn.
03-02-2015, 18:13 door Anoniem
Door Anoniem: Zeggen ze hier nu "we hebben zulke types aanval nog nooit gezien dus het kan geen probleem zijn"? Impliceert dat dan ook dat de testen die de banken uitvoeren niet op zulke aanvallen testen "want nog nooit gezien"?
Onderzoeken naar applicatiebeveiliging staan compleet los van fraudebestrijding. Bij het eerste huurt een bank een marktpartij in om de webapplicatie/apps etc onafhankelijk te testen. Dat zijn meestal geen amateuristische onderzoeken.
Onderzoek naar fraude omvat oa dat de banken zo goed mogelijk op de hoogte proberen te blijven van aanvallen op hun systemen en hun klanten.

Als je graag wil geloven dat iets impliceert, zorg er dan op zijn minst voor dat je een goede onderbouwing hebt. Of zoek je graag overal wat achter waar je aluminium hoedje naar staat?
03-02-2015, 18:22 door Anoniem
Door Anoniem: Zeggen ze hier nu "we hebben zulke types aanval nog nooit gezien dus het kan geen probleem zijn"? Impliceert dat dan ook dat de testen die de banken uitvoeren niet op zulke aanvallen testen "want nog nooit gezien"?

Vijftig smaken sufheid, denk ik dan.
Tsja, de klant betaalt de schade toch? Neem het ze eens kwalijk dan...
04-02-2015, 12:17 door Anoniem
Door Anoniem:
Door Anoniem: Zeggen ze hier nu "we hebben zulke types aanval nog nooit gezien dus het kan geen probleem zijn"? Impliceert dat dan ook dat de testen die de banken uitvoeren niet op zulke aanvallen testen "want nog nooit gezien"?
Onderzoeken naar applicatiebeveiliging staan compleet los van fraudebestrijding.
Ah, dat beantwoordt vrij aardig de vraag: De aangenomen veiligheid ligt in de zienswijze van de bank. Zo te zien.

Bij het eerste huurt een bank een marktpartij in om de webapplicatie/apps etc onafhankelijk te testen. Dat zijn meestal geen amateuristische onderzoeken.
Waarom zijn dat "meestal" geen amateuristische onderzoeken, hoe zie je dat en wanneer dus wel? In het bijzonder, is het criterium wat de bank hanteert voor het onderscheid anders dan hoeveel zo'n onderzoek kost?

Onderzoek naar fraude omvat oa dat de banken zo goed mogelijk op de hoogte proberen te blijven van aanvallen op hun systemen en hun klanten.
Kennis die dus kennelijk, afgaande op wat jij hier zegt, niet teruggekoppeld wordt met het beveiligen van de apps zelf. Want beide zaken "staan kompleet los van" elkaar.

Als je graag wil geloven dat iets impliceert, zorg er dan op zijn minst voor dat je een goede onderbouwing hebt. Of zoek je graag overal wat achter waar je aluminium hoedje naar staat?
Als je geloofwaardig wil overkomen met dit soort kritieken, (hier: tegenover een vraag of die geziene mogelijke implicatie klopt) helpt het wellicht als jouw vehikel niet van slechts door jou aangenomen implicaties aanelkaar hangt.

Daarnaast is de gecontroleerde toepassing van spreekwoordelijke aluhoedjes* een noodzakelijk gereedschap van de beveiliger, ook wel genoemd "professionele paranoia".

Maargoed, die ontkoppeling bestaat dus wel maar komt voort uit partieele aanbesteding waardoor de afstand tussen de verschillende stukjes kennis en kunde groter is dan ik dacht te zien.

* Echte aluhoedjes trekken juist overheids-gedachtencontrole-stralen aan, zoals een MIT-onderzoek een tijdje terug aantoonde. Zie "On the Effectiveness of Aluminium Foil Helmets: An Empirical Study".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.