Omgekeerd veilig? (dus onveilig)In Stukjes
[X] Deel 2In deel 1 heb ik geconstateerd dat voornamelijk gebruik zal worden gemaakt van waternet.nl.
Gebruikt gemaakt zal worden van het onveilige domein op waternet.nl (75.101.166.3).
Maar zelfs als men nog gebruik, zou maken va het zogenaamd veilige domein met ander ip adres www.waternet.nl (199.83.134.94), lijkt het nog steeds niet veilig.
Want hoewel er verschil is in de boordelingen van SSL labs die deze site alleen beoordeelt op de SSL verbinding, kijkt Mozilla met haar nieuwe tool naar veel meer verschillende zaken en blijft de website als geheel, ongeachte het ip adres op de laagste score neerzetten.
Score F.
Hoe onveilig en hackbaar is deze website onder verschillende domeinen en ip adressen?
De resultaten van Mozilla Observatory en ook nieuwsberichten geven er indicaties voor, het lijkt erop dat dat zich van MitM aan vallen tot XSS injecties tot misbruik van een CVE strekt.
Een overzicht wederom van geconstateerde onveiligheden.
Aan jou de beoordeling of de site hierop te hacken valt (nog meer persoonsgegevens op straat?).
https://observatory.mozilla.org/analyze.html?host=waternet.nlhttps://observatory.mozilla.org/analyze.html?host=www.waternet.nla) Content Security Policy : Content Security Policy (CSP) header not implemented
Recent kwam in het nieuws dat het Wouter van Dongen was gelukt op basis van ontbreken van een juiste CSS implementatie een XSS aanval uit te voeren en een Extra Fake Inlogveld te creëren.
Zou dat op 1 van deze twee domeinen ook kunnen?
En aangezien het SSL certificaat toch niet bij het domein hoeft te horen … "O, dat kan je negeren, doet ie altijd bij deze website, niets aan de hand"
https://tweakers.net/nieuws/115029/onderzoeker-vindt-opnieuw-xss-kwetsbaarheden-bij-drie-nederlandse-banken.htmlb) Cookies : Session cookie set without using the Secure flag or set over http
c) HTTP Strict Transport Security : HTTP Strict Transport Security (HSTS) header cannot be set for sites not available over https .
Nou deed het certificaat er toch al niet toe op waternet.nl.
Wanneer je op een openbare wifi zit, wie doet dat niet regelmatig is een MitM nog meer voorstelbaar zonder HSTS implementatie.
d) Redirection : Redirects to https eventually, but initial redirection is to another http URL
Wie kan deze mysterieuze tussentijdse redirect verklaren?
Met wie communiceer je nou eigenlijk allemaal over de lijn?
e) Subresource Integrity : Subresource Integrity (SRI) not implemented, but all external scripts are loaded over https
f) X-Content-Type-Options : X-Content-Type-Options header not implemented
g) X-Frame-Options : X-Frame-Options (XFO) header not implemented
h)[/b] X-XSS-Protection : X-XSS-Protection header not implemented
SSL Labshttps://www.ssllabs.com/ssltest/analyze.html?d=waternet.nli) waternet.nl (75.101.166.3)
Certificate name mismatch
Click here to ignore the mismatch and proceed with the tests
Common names www.tamtam.nl MISMATCH
Alternative names www.tamtam.nl tamtam.nlHier kan je om twee redenen niet lichtzinnig over doen.
Als eerder gesteld toetsen de meeste mensen tegenwoordig geen www. meer in de urlbar en zulle dus hoogstwaarschijnlijker op dit domein uitkomen.
Als het certificaat niet bij het domein hoort (want hoort bij tamtam.nl) ondergraaf je het hele idee van certificaten bij bijbehorende domeinen.
Daarnaast als je een ander commercieel bedrijf toestaat haar certificaat op een overheidsdomein te gebruiken, in hoeverre heb je als overheid dan eigenlijk controle over je eigen communicatie?
Communiceer je dan geheel met de overheid of slechts half, dus ook een half niet en dus ook een 'half' (on)veilig?
j) CVE niet gepatcht.
Hoewel het een kleine 6 heeft is het toch een CVE gat dat niet is gepatcht.
OpenSSL Padding Oracle vuln.
(CVE-2016-2107) Yes INSECURE (more info)Het hoort niet open te staan!
k) Geen HSTS zegt ook SSL Labs!
HSTS Preloading Not in: Chrome Edge Firefox IE Tor Welk marktaandeel hebben deze browser bijelkaar?
Inderdaad, een hele grote meerderheid!
VRAAG
Hoe hackbaar is het digitale domein van Waternet met al deze openstaande onveiligheden bijelkaar?
Hoe kwetsbaar zijn dus de gegevens van klanten die daar op inloggen?..