Belgische banken verhelpen SSL-problemen
Belgische banken hebben massaal de SSL-problemen die door een Belgische blogger werden ontdekt verholpen. Zo ondersteunen de banken geen oudere versies meer van het SSL-protocol. Het SSL-protocol wordt onder andere gebruikt om het verkeer tussen bezoekers en de banksite te versleutelen.
Blogger Yeri Tiete besloot de SSL-implementaties van de banken te testen via de website van SSL Labs. Het resultaat was schokkend, waarbij allerlei grote banken een onvoldoende scoorde. Zo werd bijvoorbeeld het SSL 3.0-protocol nog ondersteund. In dit protocol zijn kwetsbaarheden ontdekt die een aanvaller in bepaalde scenario's kan gebruiken om gebruikers aan te vallen.
Verholpen
De Belgische banken kwam na het bericht en de mediastorm die losbrak in actie en hebben grotendeels de gevonden problemen verholpen. Zo ging ING Belgie van een "F" naar een "A-". De Record Bank deed hetzelfde, zo blijkt uit een blogposting van Tiete. Fortuneo en Ogone scoren met een "C" het laagst, maar Ogone heeft aangegeven dat het vandaag de ondersteuning van SSL 3.0 zal stopzetten.
"We hebben vandaag beslist om de oudere SSL-versie 3 niet langer te ondersteunen en minstens TLS 1.0 te eisen. Hierdoor kan een beperkt aantal cliënten sinds vanmorgen niet meer inloggen. We nemen nu met hen contact op. Door deze aanpassing is onze score op de 'SSL Labs test' meteen verhoogd van C naar B, wat een veilige score is", zo liet Luk Lammens, woordvoerder van Bank van Breda & Co, maandag al tegenover Het Laatste Nieuws weten.
ING, Record Bank en Bank van Breda & Co benadrukken dat de veiligheid van online betalingstransacties op geen enkel moment in gevaar is geweest. "De aangehaalde gevoeligheden waren bekend", aldus een woordvoerder van Record Bank. "En de geplande aanpassingen worden versneld uitgevoerd, waardoor Record Bank nog in de loop van de dag een topniveau zal halen."
Ook de Keytrade Bank stelt dat haar website steeds veilig was. "We maken wel degelijk gebruik van het SHA-256 (SHA2) mechanisme", aldus de bank. "Sommige besturingssystemen van Apple zijn niet in staat zijn het certificaat van de uitgever te herkennen wanneer deze gebruik maakt van dat mechanisme. We bevelen al onze klanten aan om steeds de meest recente updates browsers en besturingssystemen te installeren."
Hij heeft dus zijn 15 minutes of fame gehad, maar weet eigenlijk niet waar hij over spreekt.
De veiligheid van een HTTPS verbinding is toch iets minder simpel om te analyseren dan via dit simpel scoring systeem, alhoewel het natuurlijk wel een indicatie geeft.
Er zijn bijvoorbeeld perfect valide redenen waarom iemand geen "Forward Secrecy" wil gebruiken, bijvoorbeeld als je SSL decryption wil laten doen door een IDS/IPS systeem.
Ook is "SHA1" niet noodzakelijk onveilig, enkel de "collision resistance" is minder gegarandeerd. SHA1, en MD5, kunnen ook op manieren gebruiken worden waarbij collision resistance geen vereiste eigenschap is en voor die toepassingen is MD5 en SHA1 dus nog steeds perfect "veilig" om te gebruiken.
https://labanquepostale.fr - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4 en ondersteunt geen FS - https://www.ssllabs.com/ssltest/analyze.html?d=www.labanquepostale.fr
https://societegenerale.fr - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, etc - https://www.ssllabs.com/ssltest/analyze.html?d=societegenerale.fr
https://deutschebank.de - scoort A, gebruikt SHA1 cert - https://www.ssllabs.com/ssltest/analyze.html?d=deutsche-bank.de
https://secure.bgzglobal.pl - scoort B, gebruikt SHA1 - https://www.ssllabs.com/ssltest/analyze.html?d=secure.bgzglobal.pl
https://ingbank.pl - scoort B, gebruikt SHA1 - https://www.ssllabs.com/ssltest/analyze.html?d=ingbank.pl
https://danskebank.de - scoort B, gebruikt SHA1, https://www.ssllabs.com/ssltest/analyze.html?d=danskebank.dk
https://unicredit.it - scoort C, kwetsbaar voor POODLE, gebruikt SHA1, RC4, geen FS- https://www.ssllabs.com/ssltest/analyze.html?d=unicredit.it&latest
https://bancosantander.es - scoort C, kwetsbaar voor POODLE, gebruikt SHA1, RC4, geen FS - https://www.ssllabs.com/ssltest/analyze.html?d=bancosantander.es
https://www.365online.com (bank of ireland) - scoort F, kwetsbaar voor POODLE, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, FS - https://www.ssllabs.com/ssltest/analyze.html?d=365online.com&latest
https://lgt.li ( liechtenstein ) - scoort B, gebruikt SHA1, RC4, ondersteunt geen TLS 1.2, FS - https://www.ssllabs.com/ssltest/analyze.html?d=lgt.li
https://www.bankofluxemburgonline.com, soort A-, https://www.ssllabs.com/ssltest/analyze.html?d=www.bankofluxemburgonline.com&s=199.102.149.109
Er hebben nog meer banken wel wat te doen, dan.
Peter
P.S. En dan zijn bankdirecteuren nog verbaasd dat we banken niet vertrouwen.
Hij heeft dus zijn 15 minutes of fame gehad, maar weet eigenlijk niet waar hij over spreekt.
De veiligheid van een HTTPS verbinding is toch iets minder simpel om te analyseren dan via dit simpel scoring systeem, alhoewel het natuurlijk wel een indicatie geeft.
Er zijn bijvoorbeeld perfect valide redenen waarom iemand geen "Forward Secrecy" wil gebruiken, bijvoorbeeld als je SSL decryption wil laten doen door een IDS/IPS systeem.
Ook is "SHA1" niet noodzakelijk onveilig, enkel de "collision resistance" is minder gegarandeerd. SHA1, en MD5, kunnen ook op manieren gebruiken worden waarbij collision resistance geen vereiste eigenschap is en voor die toepassingen is MD5 en SHA1 dus nog steeds perfect "veilig" om te gebruiken.
+1
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
