image

Belgische banken verhelpen SSL-problemen

woensdag 18 februari 2015, 12:30 door Redactie, 6 reacties

Belgische banken hebben massaal de SSL-problemen die door een Belgische blogger werden ontdekt verholpen. Zo ondersteunen de banken geen oudere versies meer van het SSL-protocol. Het SSL-protocol wordt onder andere gebruikt om het verkeer tussen bezoekers en de banksite te versleutelen.

Blogger Yeri Tiete besloot de SSL-implementaties van de banken te testen via de website van SSL Labs. Het resultaat was schokkend, waarbij allerlei grote banken een onvoldoende scoorde. Zo werd bijvoorbeeld het SSL 3.0-protocol nog ondersteund. In dit protocol zijn kwetsbaarheden ontdekt die een aanvaller in bepaalde scenario's kan gebruiken om gebruikers aan te vallen.

Verholpen

De Belgische banken kwam na het bericht en de mediastorm die losbrak in actie en hebben grotendeels de gevonden problemen verholpen. Zo ging ING Belgie van een "F" naar een "A-". De Record Bank deed hetzelfde, zo blijkt uit een blogposting van Tiete. Fortuneo en Ogone scoren met een "C" het laagst, maar Ogone heeft aangegeven dat het vandaag de ondersteuning van SSL 3.0 zal stopzetten.

"We hebben vandaag beslist om de oudere SSL-versie 3 niet langer te ondersteunen en minstens TLS 1.0 te eisen. Hierdoor kan een beperkt aantal cliënten sinds vanmorgen niet meer inloggen. We nemen nu met hen contact op. Door deze aanpassing is onze score op de 'SSL Labs test' meteen verhoogd van C naar B, wat een veilige score is", zo liet Luk Lammens, woordvoerder van Bank van Breda & Co, maandag al tegenover Het Laatste Nieuws weten.

ING, Record Bank en Bank van Breda & Co benadrukken dat de veiligheid van online betalingstransacties op geen enkel moment in gevaar is geweest. "De aangehaalde gevoeligheden waren bekend", aldus een woordvoerder van Record Bank. "En de geplande aanpassingen worden versneld uitgevoerd, waardoor Record Bank nog in de loop van de dag een topniveau zal halen."

Ook de Keytrade Bank stelt dat haar website steeds veilig was. "We maken wel degelijk gebruik van het SHA-256 (SHA2) mechanisme", aldus de bank. "Sommige besturingssystemen van Apple zijn niet in staat zijn het certificaat van de uitgever te herkennen wanneer deze gebruik maakt van dat mechanisme. We bevelen al onze klanten aan om steeds de meest recente updates browsers en besturingssystemen te installeren."

Reacties (6)
18-02-2015, 13:05 door Anoniem
Is "B" echt een veilige score? Ik krijg niet echt die indruk als er ook een A+, A en A- is. Dan zou ik denken dat A- veilig is en A en A+ uitmuntend wegend vooruitstrevend.
18-02-2015, 15:46 door Anoniem
B is inderdaad niet echt een veilige score. Ik vind zelfs de eisen voor A+ te laag. Zo kan je zonder OCSP stapling en HPKP nog steeds een A+ halen.
18-02-2015, 15:59 door Anoniem
Wat een storm in een glas water zeg...
Hij heeft dus zijn 15 minutes of fame gehad, maar weet eigenlijk niet waar hij over spreekt.

De veiligheid van een HTTPS verbinding is toch iets minder simpel om te analyseren dan via dit simpel scoring systeem, alhoewel het natuurlijk wel een indicatie geeft.

Er zijn bijvoorbeeld perfect valide redenen waarom iemand geen "Forward Secrecy" wil gebruiken, bijvoorbeeld als je SSL decryption wil laten doen door een IDS/IPS systeem.

Ook is "SHA1" niet noodzakelijk onveilig, enkel de "collision resistance" is minder gegarandeerd. SHA1, en MD5, kunnen ook op manieren gebruiken worden waarbij collision resistance geen vereiste eigenschap is en voor die toepassingen is MD5 en SHA1 dus nog steeds perfect "veilig" om te gebruiken.
18-02-2015, 17:26 door Anoniem
Zullen we meteen even een rondje europa doen? Voordat er uit elk land een "onderzoeker" z'n 15 min of fame gaat halen met de SSLLabs NewsGenerator 3000™

https://labanquepostale.fr - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4 en ondersteunt geen FS - https://www.ssllabs.com/ssltest/analyze.html?d=www.labanquepostale.fr
https://societegenerale.fr - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, etc - https://www.ssllabs.com/ssltest/analyze.html?d=societegenerale.fr
https://deutschebank.de - scoort A, gebruikt SHA1 cert - https://www.ssllabs.com/ssltest/analyze.html?d=deutsche-bank.de
https://secure.bgzglobal.pl - scoort B, gebruikt SHA1 - https://www.ssllabs.com/ssltest/analyze.html?d=secure.bgzglobal.pl
https://ingbank.pl - scoort B, gebruikt SHA1 - https://www.ssllabs.com/ssltest/analyze.html?d=ingbank.pl
https://danskebank.de - scoort B, gebruikt SHA1, https://www.ssllabs.com/ssltest/analyze.html?d=danskebank.dk
https://unicredit.it - scoort C, kwetsbaar voor POODLE, gebruikt SHA1, RC4, geen FS- https://www.ssllabs.com/ssltest/analyze.html?d=unicredit.it&latest
https://bancosantander.es - scoort C, kwetsbaar voor POODLE, gebruikt SHA1, RC4, geen FS - https://www.ssllabs.com/ssltest/analyze.html?d=bancosantander.es
https://www.365online.com (bank of ireland) - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, FS - https://www.ssllabs.com/ssltest/analyze.html?d=365online.com&latest
https://lgt.li ( liechtenstein ) - scoort B, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, FS - https://www.ssllabs.com/ssltest/analyze.html?d=lgt.li
https://www.bankofluxemburgonline.com, soort A-, https://www.ssllabs.com/ssltest/analyze.html?d=www.bankofluxemburgonline.com&s=199.102.149.109


Er hebben nog meer banken wel wat te doen, dan.
18-02-2015, 18:32 door Anoniem
De website mag dan misschien veilig zijn geweest. Het verkeer van de client naar de bank was dat zeker niet. In bepaalde omgevingen wil je juist Forward Secrecy. Bij banken is dat niet perse noodzakelijk. FS is veilig als je niet aan de gegevens kunt komen door ze bij de eigenaar van de website op te vragen. Dat is bij banken zeker niet het geval.

Peter

P.S. En dan zijn bankdirecteuren nog verbaasd dat we banken niet vertrouwen.
19-02-2015, 12:16 door Anoniem
Door Anoniem: Wat een storm in een glas water zeg...
Hij heeft dus zijn 15 minutes of fame gehad, maar weet eigenlijk niet waar hij over spreekt.

De veiligheid van een HTTPS verbinding is toch iets minder simpel om te analyseren dan via dit simpel scoring systeem, alhoewel het natuurlijk wel een indicatie geeft.

Er zijn bijvoorbeeld perfect valide redenen waarom iemand geen "Forward Secrecy" wil gebruiken, bijvoorbeeld als je SSL decryption wil laten doen door een IDS/IPS systeem.

Ook is "SHA1" niet noodzakelijk onveilig, enkel de "collision resistance" is minder gegarandeerd. SHA1, en MD5, kunnen ook op manieren gebruiken worden waarbij collision resistance geen vereiste eigenschap is en voor die toepassingen is MD5 en SHA1 dus nog steeds perfect "veilig" om te gebruiken.

+1
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.