Computerbeveiliging - Hoe je bad guys buiten de deur houdt

nos: duizenden https sites onveilig

02-06-2018, 21:08 door Bitwiper, 25 reacties
Laatst bijgewerkt: 02-06-2018, 21:19
NOS in https://nos.nl/artikel/2234720-duizenden-sites-met-groen-slotje-onveilig.html: Duizenden websites beschikken over een werkend groen slotje en dus het predicaat 'veilig', terwijl ze dat niet zijn.
Wat een rommelige paniekzaaierij.

Ik leg het nog maar eens uit: een slotje heeft NIETS met de veiligheid van een WEBSITE te maken!

Wat dan wel, mits het op de juiste plaats staat (geen "favicon" is, d.w.z. het icoontje van de pagina of site in de buurt van de URL balk, zoals de schakels van een ketting met rode achtergond op deze site) en de url met https:// begint:

A) Je weet dan redelijk zeker dat jouw webbrowser verbinding heeft met een server met de domeinnaam (op deze site is dat www.security.nl) tussen https:// en de eerstvolgende / (slash). De server heeft zich daarmee geauthenticeerd;

B) Je weet bovendien redelijk zeker dat die verbinding versleuteld is en alleen jouw webbrowser en die server de sleutel voor het versleutelen van de sessie kennen.

Als jij jezelf vervolgens moet identificeren met een gebruikersnaam (vergelijkbaar met de domeinnaam van de server) en jezelf moet authenticeren met bijv. een wachtwoord (vergelijkbaar met het certificaat van de server, en -onder water- een bijbehorende geheime sleutel bekend als "private key"), weet je redelijk zeker dat die gegevens naar de juiste, door jou vertrouwde, server worden gestuurd en niet door derden gekopieerd kunnen worden. Om alleen al te voorkomen dat jouw login-gegevens in verkeerde handen vallen, is alleen een versleutelde verbinding niet genoeg; je moet zeker weten dat je met de juiste server communiceert.

Het is dus ESSENTIEEL om die domeinnaam grondig te checken!

De meeste banken gebruiken EV (Extended Validation) certificaten. Dan wordt, naast de domeinnaam, ook de naam van de organisatie en het vestigingsland vermeld. Bovendien wordt bij de uitgifte van EV certificaten streng gecontroleerd of de aanvrager gerechtigd is om zo'n certificaat te kopen namens de organisatie.

Het is inderdaad een koud kunstje om "gewone" (non-EV) certificaten te kopen of zelfs gratis te krijgen voor sites met namen als 'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl' (zoals geregistreerd door de NOS) maar het zou mij zeer verbazen als het daarbij om EV certificaten ging.

Wat moet je doen en niet doen om veilig te zijn en te blijven:
1) Hou je PC / tablet / smartphone veilig en up-to-date met security updates;
2) Klik nooit op links in e-mails maar tik zelf de URL in van de site zoals jij denkt dat deze heet (phishing mails kunnen zeer overtuigend zijn);
3) Bij twijfel: Google naar de domeinnaam in combinatie met de naam van de organisatie;
4) Als er geen sprake is van een EV certificaat, vraag je dan af of dat de vorige keer ook zo was. Sites waar je belangrijke transacties op doet horen een EV certificaat te gebruiken (het is een grof schandaal dat onze overheid deze niet of nauwelijks inzet en daarnaast geen gebruik maakt van duidelijk herkenbare doneinnamen eindigend in bijv. .gov.nl);
5) Controleer ALTIJD de volledige domeinnaam, van rechts naar links! (ing.ni is totaal iets anders dan ing.nl).
6) Wees een beetje paranoïde!

Surf safe :-)
Reacties (25)
02-06-2018, 21:24 door Anoniem
Dit is werkelijk non nieuws. Al anderhalf jaar geleden op deze website:

https://www.security.nl/posting/508472/Let%27s+Encrypt+geeft+15_000+certificaten+uit+voor+PayPal-phishing

Natuurlijk is het goed om mensen duidelijk te maken dat een slotje niets over de veiligheid van de website zegt, maar de NOS begint wel een heel hoog Computeridee gehalte te krijgen en het is uiteindelijk geen nieuws. Dit is al jaren bekend.

En de NOS is er zelf ook schuldig aan, omdat ze geregeld https als "veilige website" hebben uitgelegd.

https://nos.nl/artikel/2151664-ziekenhuizen-beveiligen-hun-sites-niet-goed.html
https://nos.nl/artikel/2188492-meerderheid-zorgsites-onbeveiligd-privacy-autoriteit-dreigt-met-boetes.html
https://nos.nl/artikel/2154773-meeste-bedrijfssites-die-gevoelige-info-verwerken-onveilig.html
03-06-2018, 00:13 door Anoniem
Door Anoniem: Dit is werkelijk non nieuws. Al anderhalf jaar geleden op deze website:
Mee eens.

En de NOS is er zelf ook schuldig aan, omdat ze geregeld https als "veilige website" hebben uitgelegd.
Niet mee eens.
Er staat bij al die artikelen steeds vermeld dat de betekenis van https is dat de verbinding beveiligd is.
03-06-2018, 01:17 door Anoniem
Bericht dus met een groot FUD gehalte. Zo lusten we er nog wel een paar.

Hier een mooi voorbeeld van een site, die bij de top van de meest geblokkeerde sites zit
althans volgens de Barracuda.Central blokkeringslijsten,
te weten: https://webcookies.org/cookies/ib.adnxs.com/2996986

Vergelijk met deze scan hier: https://privacyscore.org/site/100079/
Zowel een RSA als ECC certificaat chain, wel goed geconfigureerd,
echter geen Strict Transport Security (HSTS): en SSL/TLS compression ingesteld.

Reputatie waarschuwingen gelden voor de markmonitor dot com link-https://d31qbv1cthcecs.cloudfront.net/atrk.js ,
welke link bij mij geblokkeerd wordt via uMatrix.

Zie tevens: https://sonarwhal.com/scanner/8d156db8-e10e-4e86-a971-18e6ba3e0c7c
met fouten waar het strict transport betreft, 'strict-transport-security' header niet gespecificeerd.

Content, die terugkomt:
Content that was returned by your request for the URL: https://certify.alexametrics.com/

1: < ?xml version="1.0" encoding="UTF-8"?>
2: < Error> < Code> AccessDenied< /Code> < Message> Access Denied< /Message> < RequestId> 93FD98EE4465A812< /RequestId> < HostId> Pa+EntjMEfWisn2yEPXXVQHzVY9ebZFu6u9P+sNjLeJ4zgOFkSBChFqTUrT7Za1npfN4pUPRIao=< /HostId> < /Error>

Terug komt -> ERROR: The request could not be satisfied - Netcraft scan risk rating: 7 rood uit 10 -> https://toolbar.netcraft.com/site_report?url=https%3A%2F%2Fserver-52-84-122-242.iad16.r.cloudfront.net met
Request ID: LfhnKd-rBD07VHmh91-Hn7lUxCejFRlC8mpD9yvBMl54m_oO-cDi6Q==

Ik vraag je dan ook, mijn beste Bitwiper, hoe kun je behalve voor de connectie vaststellen,
wat er op de Amazon server in Seattle op 52.84.122.242 achter deze verbinding gebeurt?

Dit kan je niet, noch ten aanzien van de privacy van de dataverwerking,
noch t.a.v. de veiligheid van deze Amazon server?

Het blijft volledig buiten beeld van de eindgebruiker of grotendeels. Waar baseer je dan je full webrep TRUST op?

Dus in zeer zekere zin heeft Google gelijk als ze zeggen groene padlock, weg ermee,
want in essentie weet je het niet en kun je het niet weten. My 2 cents,

luntrus a.k.a de scan-tijger
03-06-2018, 06:34 door karma4
Als je eerst zonder nuances grote campagnes opzet in de trend va: "groen slotje goed, geen groen slotje fout"
Dan moet je niet raar kijken dat de nuance dat je de naamskoppeling ook moet weten te controleren gaat opbreken.
Ooit zal het worden "geen groen slotje is beter"
03-06-2018, 08:15 door Anoniem
Door Bitwiper:
NOS in https://nos.nl/artikel/2234720-duizenden-sites-met-groen-slotje-onveilig.html: Duizenden websites beschikken over een werkend groen slotje en dus het predicaat 'veilig', terwijl ze dat niet zijn.
Wat een rommelige paniekzaaierij.
Zoals de security industrie dat zelf ook regelmatig doet.

Ik leg het nog maar eens uit: een slotje heeft NIETS met de veiligheid van een WEBSITE te maken!
HEEL ERG VEEL mensen weten NIET beter. En dat weten ze van "ons", techneuten, "security specialisten", en zo verder.

Je hebt technisch wel gelijk hoor, dat "beveiligde verbinding" niet hetzelfde is als "legitieme website" -- of liever, "malafide website" niet wordt tegengesproken door "beveiligde verbinding". Dus wat de NOS eigenlijk doet is appels met peren vergelijken. Waarmee ze min of meer hetzelfde punt maken: Slotje is geen garantie op veilig of legitiem.

Ik wilde zeggen "wat alles is dat dat groene slotje aangeeft", maar dat is niet waar: "EV"-certificaten pretenderen wel degelijk meer te zeggen dan alleen maar "de verbinding is echt veilig". Met andere woorden, we stuiten op iets dat PKI wel claimt maar niet waar kan maken.

Het is dus ESSENTIEEL om die domeinnaam grondig te checken!
Sterker, je moet het certificaat ook minutieus nakijken, maar wie doet dat nou? Zeker als je kijkt hoe browsers die certificaten presenteren. Echt on-lees-baar.

Dus ik zou zeggen, dit is een gevalletje GIGO, en de input... die komt van "ons".
03-06-2018, 09:03 door Anoniem
Door Bitwiper:
NOS in https://nos.nl/artikel/2234720-duizenden-sites-met-groen-slotje-onveilig.html: Duizenden websites beschikken over een werkend groen slotje en dus het predicaat 'veilig', terwijl ze dat niet zijn.
Wat een rommelige paniekzaaierij.

Ik leg het nog maar eens uit: een slotje heeft NIETS met de veiligheid van een WEBSITE te maken!
Dat is toch precies het punt dat de NOS ook maakt? Waarom ga je tegen ze tekeer alsof ze iets heel anders beweren? Daarmee ben je in mijn ogen zelf wat paniekzaaierig bezig.

De stijl van het artikel (en het item gisteren op tv erover) vind ik zelf ook wat ergerniswekkend, ze hebben onderzoek gedaan en iets "ontdekt" dat inderdaad allang bekend was. Ik had liever gezien dat ze niet hadden gedaan alsof dit hun ontdekking is, maar ondertussen is het wel belangrijk dat dit regelmatig aan een groot publiek wordt voorgeschoteld, in die zin is het dus positief dat ze er aandacht aan besteden.

Het is dus ESSENTIEEL om die domeinnaam grondig te checken!
Vind ik ook. Maar NOS maakt hiermee toch ook een punt:
De NOS nam de proef op de som en registreerde ongehinderd de domeinnamen 'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl". Die lijken sterk op de echte loginpagina's 'mijn.ing.nl' en 'bankieren.rabobank.nl' en zijn netjes voorzien van een werkend certificaat.

"Voor de consument is het verschil nauwelijks te zien", zegt ook Michel van Eeten van de TU Delft. "Dat ze het verschil tussen een puntje en streepje zien, kun je ook niet van hen verwachten. [...]
Ik ben altijd sterk geneigd om te denken: onzin, je kan toch uitleggen dat het voor computers niet om "ziet er ongeveer hetzelfde uit" gaat maar om "het moet precies kloppen en met precies bedoelen we dat een punt echt iets anders is dan een streepje". Dat ben ik geneigd te denken omdat ik dat zelf niet moeilijk om te begrijpen vind. Maar ik heb mensen meegemaakt die niet in staat zijn een datum foutloos over te schrijven, je ziet in reacties op deze website dat er nogal wat mensen zijn die een totale puinzooi van spaties, leestekens en hoofdletters maken (en van spelling en grammatica, maar daar heb ik het nu niet over). Kennelijk is het wel moeilijk voor een aantal mensen. Misschien is het dyslexie of iets dat daarop lijkt. Aan de andere kant: door dan meteen te doen alsof elke consument het moeilijk vindt vind ik op zich weer schadelijk, je moet niet het grootste onvermogen tot norm verheffen. Houd liever de mensen die het wel aankunnen scherp, dan zijn er ook meer mensen beschikbaar die de minder begaafden onder ons kunnen bijstaan.

Ik maak het citaat hierboven nog even af:
[...]Het echte probleem is dat verschillende partijen zoals banken dat slotje zijn gaan uitleggen als 'je hebt de echte site te pakken', maar dat is volslagen nonsens."
Dit is weer precies het punt waar jij je verhaal mee begon. Geen paniekzaaierij maar goed om te zeggen, toch?

Door Bitwiper:De meeste banken gebruiken EV (Extended Validation) certificaten. Dan wordt, naast de domeinnaam, ook de naam van de organisatie en het vestigingsland vermeld. Bovendien wordt bij de uitgifte van EV certificaten streng gecontroleerd of de aanvrager gerechtigd is om zo'n certificaat te kopen namens de organisatie.
En dat hadden ze inderdaad behoorlijk mogen benadrukken. Dat is iets waar mensen die punten niet van streepjes kunnen onderscheiden wél op kunnen letten.

2) Klik nooit op links in e-mails maar tik zelf de URL in van de site zoals jij denkt dat deze heet (phishing mails kunnen zeer overtuigend zijn);
Die tip wordt in het artikel ook gegeven:
Goede waterdichte tips zijn lastig te geven, zegt hoogleraar internetbeveiliging Michel van Eeten. "Het beste advies: ga nooit naar zo'n website via een link, maar tik hem met de hand in", zegt Van Eeten.
Weer geen paniekzaaierij. Ik zou trouwens aanraden om voor belangrijke websites (zoals die van je bank) bladwijzers aan te maken en die te gebruiken, da's weer eenvoudiger dan intypen.
03-06-2018, 09:05 door Anoniem
RTL doet het dan beter, die doen tenminste echt onderzoek:
https://www.rtlnieuws.nl/nederland/naaktfotos-honderden-meisjes-gedeeld-in-groot-wraakpornonetwerk,
in plaats van persbureau de open deur te spelen.
03-06-2018, 09:23 door Anoniem
joh

ik vraag me af

wie (die zich tegenwoordig security specialist noemt) heeft het handbook of applied cryptography daadwerkelijk gelezen? hoef het nog niet begrepen te hebben van mij :).
03-06-2018, 09:29 door Anoniem
Door Anoniem: HEEL ERG VEEL mensen weten NIET beter. En dat weten ze van "ons", techneuten, "security specialisten", en zo verder.
Einstein zou gezegd hebben: "Everything should be made as simple as possible, but not simpler." De fout die in de publieksvoorlichting is gemaakt (en vaak gemaakt wordt) is dat het wel simpeler is gemaakt dan mogelijk. Daar bewijs je in mijn ogen niemand een dienst mee.

Zelf heb ik altijd geweigerd om die boodschap te versimpelen tot iets dat niet meer waar is. Maar ik ben daarbij mensen tegengekomen die hardnekkig simpele boodschappen eisen, zoals "Firefox is veilig" en "slotje is veilig". Die gaan tegengas geven of haken af als je met de nuance komt dat de veiligheid alleen slaat op de verbinding naar de website. Of dat onwil of onvermogen is weet ik niet altijd te beoordelen, onwil kan uit onvermogen voortkomen. Omdat ik het op mijn beurt verdom om tegen beter weten in dan maar te zeggen dat een slotje veilig is kwam ik er niet uit altijd met die mensen, en daar waren ze natuurlijk ook niet mee geholpen.

Gelukkig kan je tegenwoordig voor belangrijke websites als banken erop wijzen dat de bedrijfsnaam naast het slotje moet staan. De browserfabrikanten zijn aan het leren hoe je dit soort dingen moet presenteren, en dat maakt de uitleg ervan ook eenvoudiger. We zijn wel opgezadeld met het rechtpraten van de verkeerde boodschappen met het verleden, en veranderingen in het verhaal leiden tot weerstand en het beeld dat de ene keer dit en de andere keer dat wordt geroepen. De werkelijkheid is weerbarstig, het is helaas volstrekt onmogelijk voor mensen die ergens wel verstand van hebben om het gebrek aan verstand ervan bij de rest van de mensheid volledig te compenseren.
03-06-2018, 09:44 door Briolet
Dat groene slotje is in mijn optiek ook een fout van de browsers.

Zelf gebruik ik Safari. Die geeft alleen een groen slotje bij een EV certificaat. Bij een gewoon certificaat is het slotje neutraal grijs.

Het probleem ligt meer bij Chrome en Firefox die voor elk certificaat een groen slotje tonen en door de kleur groen een veiligheid suggereren die er niet is. Het slot alleen betekent alleen een gecodeerde verbinding, niets meer.
03-06-2018, 10:18 door Anoniem
Als ik met mensen in discussie ga over het groene slotje, krijg ik steen vast te horen dat als het slotje groen is
je zeker weet dat deze website is te vertrouwen, en dan kan ik wel zeggen dat je alleen met enige zekerheid weet dat
deze web site is versleuteld dan gelooft mij niemand.

Ik raad mensen dan ook aan om het certificaat te controleren, en dan kijken ze je aan alsof je van een andere planeet komt
met de opmerking van hoe moet ik dat weten en dat doet toch niemand en is ook niet nodig want het slotje is groen.

Ik kan dit ook wel begrijpen want de banken en op de tv wordt altijd verteld dat je naar het groene slotje moet kijken.

Om deze reden ben ik dan toch blij dat dit nu bekent wordt gemaakt, en hoop ik maar dat ze er wat van leren.
03-06-2018, 11:03 door [Account Verwijderd] - Bijgewerkt: 03-06-2018, 11:04
Door Briolet: Dat groene slotje is in mijn optiek ook een fout van de browsers.

Zelf gebruik ik Safari. Die geeft alleen een groen slotje bij een EV certificaat. Bij een gewoon certificaat is het slotje neutraal grijs.

Het probleem ligt meer bij Chrome en Firefox die voor elk certificaat een groen slotje tonen en door de kleur groen een veiligheid suggereren die er niet is. Het slot alleen betekent alleen een gecodeerde verbinding, niets meer.

De browser Pale Moon toont ook het verschil tussen een site mèt of zonder EV-certificering.

De URL-balk van dit topic bijvoorbeeld toont helemaal links in grijs/blauwige kleur:
Symbool van een wereldbolletje en als je daar naar wijst met de muis zie je de naam van de uitgever van het certificaat, en het slotje meldt "Secure". (Liever zag ik daar staan: "encrypted connection only")

International Card Service werkt onder een EV-certificaat en daar zie ik de groene kleur links in de URL balk.
Als ik het wereldbolletje aanwijs: de naam van de certificaatverstrekker. Het slotje geeft aan "Extended Validated"
(Liever zag ik daar dan weer staan: "encrypted connection & extended validated".)

Het probleem van onduidelijkheid zit hem vooral in de voortdurende pogingen van Browser ontwikkelaars de allereenvoudigste gebruiker met weinig computerkennis een gevoel van veiligheid te geven omdat hij/zij her en der hoort: "BOE! Het internet is een gevaarlijke plaats om te vertoeven!"

Andere suggesties:

http - wit veld met de melding: "overwegend niet veilig"
https - grijs veld met de melding: "redelijk veilig door gecodeerde verbinding".
https ev - blauw veld met de melding: "zo veilig mogelijk en met gecodeerde verbinding".

En dit leest niemand meer:

Neen, géén groen kleur in mijn suggestie maar blauw. Waarom moeten wij helemaal af van de groene markering... waarom is de huidige groene markering feitelijk een extreem slechte keuze?!!

zie: https://www.accessibility.nl/kennisbank/artikelen/kleuren/kleurenblind
03-06-2018, 18:26 door Anoniem
Goed bericht toch? Je kan het niet vaak genoeg zeggen.
En dan hopen dat consumenten het op den duur begrijpen en onthouden.
NOS legt gewoon de vinger op de zere plek:
Cerificaten zijn tegenwoordig ook gratis verkrijgbaar, en je ontvangt ze in no-time:
Voor internetcriminelen loonde het vroeger niet om hun malafide sites te voorzien van certificaten, omdat dat geld en moeite kostte. Veel malafide websites worden relatief snel geblokkeerd of verwijderd en dus verdienen de criminelen die investering niet terug.
Mensen die te goeder trouw een website opzetten gratis en snel van een certificaat kunnen voorzien klinkt prima, maar tegelijk heeft het wel een hele vervelende keerzijde, namelijk dat dit criminelen aanzienlijk helpt om snel en eenvoudig malafide websites op te zetten. En het kan anoniem. Hierdoor worden het er meer, want er geen belemmering om later meer gratis certificaten op te halen.
03-06-2018, 20:23 door Anoniem
Door Anoniem: Goed bericht toch? Je kan het niet vaak genoeg zeggen.
En dan hopen dat consumenten het op den duur begrijpen en onthouden.
Tja het probleem is dat het weer complexer gemaakt is. Je kunt niet verwachten dat
iedereen zich gaat verdiepen in hoe dingen echt werken. Als er een beveiliging nodig
is dan moet je die zo ontwerpen dat die te vertrouwen is, op zijn minst tot het nivo
waarop dat nodig is voor een bepaald doel. Door een aantal domme acties is https
nu niet meer nuttig, en dat moet het publiek dus weten. Liefst met een uitleg van
de opvolger erbij. Helaas, die is er niet.


NOS legt gewoon de vinger op de zere plek:
Cerificaten zijn tegenwoordig ook gratis verkrijgbaar, en je ontvangt ze in no-time:
Voor internetcriminelen loonde het vroeger niet om hun malafide sites te voorzien van certificaten, omdat dat geld en moeite kostte. Veel malafide websites worden relatief snel geblokkeerd of verwijderd en dus verdienen de criminelen die investering niet terug.
Mensen die te goeder trouw een website opzetten gratis en snel van een certificaat kunnen voorzien klinkt prima, maar tegelijk heeft het wel een hele vervelende keerzijde, namelijk dat dit criminelen aanzienlijk helpt om snel en eenvoudig malafide websites op te zetten. En het kan anoniem. Hierdoor worden het er meer, want er geen belemmering om later meer gratis certificaten op te halen.
Precies, het uitgeven van gratis certificaten betekent (naast de drang om alles naar https
te brengen) het failliet van https. Jammer maar helaas.
03-06-2018, 22:35 door Bitwiper - Bijgewerkt: 03-06-2018, 22:48
Door Anoniem vandaag 09:29: Einstein zou gezegd hebben: "Everything should be made as simple as possible, but not simpler." De fout die in de publieksvoorlichting is gemaakt (en vaak gemaakt wordt) is dat het wel simpeler is gemaakt dan mogelijk.
Exact. Als je niet belazerd wilt worden, is het noodzakelijk dat je op z'n minst de gangbare trucs van oplichters kent en doorziet, en dat is nooit anders geweest.

De kans dat je in Nederland een bankfiliaal binnenloopt en cash geld stort op een rekening, om er later achter te komen dat het geld nooit aankwam en het bankfiliaal met medewerkers nep geweest moet zijn (vergelijkbaar met het geënsceneerde gokkantoor in de film "The Sting"), is klein - want dat valt op en daders (die fysiek aanwezig moeten zijn) kunnen vaak eenvoudig getraceerd worden - desnoods met hulp van programma's als "Opsporing verzocht".

Het voordeel van Internet is dat je jouw bankzaken en webshoppen vanuit jouw luie stoel in Lutjebroek kunt doen, maar een cybercrimineel geniet ook die luxe: hij kan jou, vanuit zijn luie stoel in Sint Petersburg, belazeren met een nepwebsite die draait op een gehuurde server in Venezuela of een gehackte server in Dallas (alle locaties zijn voorbeelden). De pakkans voor dit soort cybercriminelen is nauwelijks groter dan nul. Dat geldt zelden voor de geldezels (vaak mensen met grote schulden en/of met verstandelijke beperking) die zij inzetten, maar tegen de tijd dat die gepakt worden is jouw geld al onherroepelijk het land uit.

Het is een koud kunstje om een nepwebsite als twee druppels water op de echte te laten lijken. Dat professor van Eeten stelt dat "ze het verschil tussen een puntje en streepje zien, kun je ook niet van hen verwachten" vind ik onbegrijpelijk, want het is noodzakelijk om niet te worden belazerd. De website dig-id.nl lijkt niet meer te bestaan, maar digidee.nl bestaat wel en dig.id kun je registreren.

Mede doordat digid.nl nog steeds geen EV certificaat heeft (misdadig vind ik dat) is het NOODZAKELIJK en in het eigen belang van elke internettende Nederlander dat zij/hij grondig checkt dat, voordat zij/hij inlogt op DigiD dat:
1) De URL begint met EXACT: https://digid.nl/;
EN
2) Er op de juiste plaats in de webbrowser een slotje wordt getoond.

Als je weet hoe het moet (en jouw webbrowser het toestaat), kun je checken of de "trust-chain" van het "PKI Overheid" certificaat van digid.nl, via tussencertificaten, uiteindelijk leidt tot een "root certificaat" uitgegeven door "de Staat der Nederlanden". Maar bij webshops en banken is dat niet het geval, dus veel heb je hier niet aan.

Door Anoniem vandaag 10:18: Als ik met mensen in discussie ga over het groene slotje, krijg ik steen vast te horen dat als het slotje groen is je zeker weet dat deze website is te vertrouwen, en dan kan ik wel zeggen dat je alleen met enige zekerheid weet dat deze web site is versleuteld dan gelooft mij niemand.
Terecht, want dat slotje heeft niets te maken met het versleutelen van een website.

Wel heeft dat slotje in de eerste plaats te maken met authenticatie van de server. Je weet daardoor redelijk zeker dat jouw browser verbinding heeft met de getoonde domainname, en bent zelf niet kwetsbaar voor Man-in-the-Middle aanvallen zoals op publiek WiFi en ook niet voor "BGP hijacks" (omleidingen van internet routering) - mits je onmiddellijk stopt bij certificaatwaarschuwingen.

In de tweede plaats zal de browser alleen het slotje laten zien als de verbinding met de server (met de getoonde doneinnaam in de URL) fatsoenlijk versleuteld is. Overigens spelen het certificaat, plus de bijbehorende private key op de server, tegenwoordig geen enkele rol meer bij de versleuteling van de verbinding (het certificaat + private key dienen uitsluitend ter authenticatie van de server met de getoonde domeinnaam).

Door Anoniem vandaag 10:18: Ik raad mensen dan ook aan om het certificaat te controleren
Dat deed ik vroeger ook, maar daar ben ik (in de meeste gevallen) van teruggekomen. Moderne certificaten zijn erg complex en browsers checken voor je of er nog MD5/SHA1 hashes of RSA sleutels <= 1024 bits worden gebruikt. Als leek kun je een onterecht uitgegeven certificaat heus niet herkennen, en in DV certificaten staat nooit informatie over de organisatie. Bovendien moeten certificaten regelmatig worden vernieuwd, en daarbij kan de site-eigenaar naar een andere certificaatuitgever overstappen. Waar vind je dan dat mensen op zouden moeten letten, en hoe zouden zij daarmee nepsites moeten herkennen?

Eigenlijk zie ik maar twee redenen waarom je meer van een certificaat zou willen weten:
1) Om te kijken of het wellicht om een OV (Organisational Validation) certificaat gaat (PKI overheid certificaten zijn dat, hoewel PKI Overheid ook al een tijdje EV certs ondersteunt). De vraag is echter: wat doe je als een (niet-overheids-) site eerst een OV cert had, en nu ineens een DV cert - zoals van Let's Encrypt? Het zou dan immers om een fake site kunnen gaan!

2) Om te kijken wie de uitgever is. Als je in Turkije of China op vakantie bent en bij het inloggen op Facebook ziet dat het certificaat is uitgegeven door TurkTrust of CNNIC, dan kon het wel eens een goed idee zijn om niet in te loggen (want dan kijkt er mogelijk iemand mee als jij je wachtwoord intoetst).

Voor dat tweede punt hoef je zelden het certificaat zelf te bekijken, de meests browsers laten zien wie de uitgever is als je op het slotje klikt. M.b.t. het eerste punt: op het eerste gezicht (voordat je het certificaat bekijkt) zie je in webbrowsers geen verschil tussen een site met een DV speelgoedcertificaat en een betrouwbaarder (maar dat is zeer uitgever-afhankelijk) OV certificaat. Doordat je het verschil niet ziet en de spreiding in betrouwbaarheid zijn OV certificaten ook tot speelgoedcertificaten gedevalueerd. Daarom hoort elke zich respecterende site met risico op spoofing, een EV certificaat in te zetten. En dan zie je de naam van de organisatie plus vestigingsland in of bij de URL balk getoond worden.

Kortom: voor leken raad ik af om certificaten te bekijken. Let liever goed op de domeinnaam en wees op je hoede als een site eerst wel en nu geen EV cert heeft, of als je dat niet meer weet, of het voor de hand ligt dat een site een EV certificaat heeft (geldzaken, verzekeringen etc).
03-06-2018, 22:44 door Anoniem
@Bitwiper van 22:35

Dank, dank, dank voor je prachtige uiteenzetting. Hulde!
Ik zet er vast een gouden randje voor je omheen ;)

Grote klasse, man, en precies op maat uitgelegd, niet te simpel, niet te moeilijk, kunststuk!

luntrus
04-06-2018, 09:53 door Anoniem
Door Bitwiper:
Het is een koud kunstje om een nepwebsite als twee druppels water op de echte te laten lijken. Dat professor van Eeten stelt dat "ze het verschil tussen een puntje en streepje zien, kun je ook niet van hen verwachten" vind ik onbegrijpelijk, want het is noodzakelijk om niet te worden belazerd.
Wat die professor wel begrijpt en jij kennelijk nog steeds niet is dat het dan een verkeerd ontworpen systeem is, omdat
het er vanuit gaat dat iedereen het kan begrijpen en dat in de praktijk niet zo is.
Dat je als IT'er direct ziet wat in een URL https://sub1.sub2.sub-3.domein.tld/directory/subdirectory/script?parameters
het deel is waar je naar moet kijken dat kun je van een "gewone gebruiker" niet verwachten. Niet alleen is dit voor
een autist veel gemakkelijker te herkennen dan voor een dyslecticus, het is ook veel te gemakkelijk om er constructies
in aan te brengen die misleidend zijn. Het was een domme beslissing om domeinnamen van-rechts-naar-links te
schrijven in de westerse wereld waarin de meeste mensen van-links-naar-rechs lezen. Daardoor kun je niet zeggen
"let op hoe de URL begint" want iedereen kan een site https://digid.nl.inloggen.nu/ maken en dat is gewoon verwarrend.
Dan kun je wel steeds blijven herhalen "het is noodzakelijk dat je dit snapt" maar dat werkt gewoon niet.
Men zal opnieuw moeten kijken naar die URL en iets moeten maken waar niet zoveel rare tekens in staan en waarin
duidelijker voor iedereen te zien is wat de componenten zijn. En dan meteen van de gelegenheid gebruik maken om
het allemaal wat minder technisch te maken. Woorden als "https" en "www" moet je gewoon niet gebruiken in iets
wat mensen aan elkaar willen doorgeven, voorlezen, etc.
04-06-2018, 10:17 door Anoniem
Duizenden websites beschikken over een werkend groen slotje en dus het predicaat 'veilig', terwijl ze dat niet zijn.

Tja, het idee dat een slotje per definitie betekent dat iets veilig is, is dan ook misplaatst.
04-06-2018, 13:15 door Anoniem
Door Anoniem vandaag 10:18: Als ik met mensen in discussie ga over het groene slotje, krijg ik steen vast te horen dat als het slotje groen is je zeker weet dat deze website is te vertrouwen, en dan kan ik wel zeggen dat je alleen met enige zekerheid weet dat deze web site is versleuteld dan gelooft mij niemand.
Terecht, want dat slotje heeft niets te maken met het versleutelen van een website.
Hallo Bitwiper je schrijft dit toch ook zo ongeveer in (B) of zie ik dit verkeert, voor de rest een goed artikel.
Ik ben dan ook nieuwsgierig hoe je de uitleg van het groene slotje vindt in onder staande site.
Ik begrijp wel dat je alleen maar een beveiligde verbinding maakt met de website die je in je browser intypt, dus lng.nl is niet ing.nl hoewel ze allebij een groen slotje kunnen hebben.
https://arjanlobbezoo.nl/tag/groene-slotje/
04-06-2018, 17:26 door Anoniem
Is het nou zo moeilijk voor browserboeren om, naast "veilig" te veranderen in beveligde verbinding, gewoon een linkje te plakken naar de whois van de domeinnaam? Beetje restylen die info, dat je de registrant van de domeinnaam ziet? Uit de originele (nationale) whois database? Want als dat anoniem is weet je vaak al genoeg. En als iemand onder valse firmanaam registreert is er toch altijd het betaalspoor voor de domeinnaam.
04-06-2018, 21:43 door Anoniem
Door Anoniem:
Tja, het idee dat een slotje per definitie betekent dat iets veilig is, is dan ook misplaatst.

Beter: dat idee was er vroeger wel maar dat is de grond in geboord door initiatieven om alle sites naar https te krijgen
en gratis certificaten te gaan uitgeven met alleen domain validatie. Ooit zegde het slotje wel dat er iemand gekeken had
naar de identiteit van de site en de aanvrager van het certificaat, maar nu is dat niet meer zo.
Dat is jammer, want iets dat de bevolking met veel moeite geleerd is dat is nu niet meer geldig. En dat krijg je dan niet
zomaar meer weg uit de gedachtenwereld. Dit soort fouten moet men niet te vaak maken.
04-06-2018, 21:57 door Anoniem
Door Anoniem: Is het nou zo moeilijk voor browserboeren om, naast "veilig" te veranderen in beveligde verbinding, gewoon een linkje te plakken naar de whois van de domeinnaam? Beetje restylen die info, dat je de registrant van de domeinnaam ziet? Uit de originele (nationale) whois database? Want als dat anoniem is weet je vaak al genoeg. En als iemand onder valse firmanaam registreert is er toch altijd het betaalspoor voor de domeinnaam.
Hoe langer de uitleg hoe minder doorsnee mensen het begrijpen in geval het over techniek gaat.
Vooral medici heb ik begrepen. Die willen een knop hebben en klaar... Nee, toch niet. Die knop moet ook weg. ;)
04-06-2018, 22:43 door Bitwiper
Door Anoniem:
Door Bitwiper: Het is een koud kunstje om een nepwebsite als twee druppels water op de echte te laten lijken. Dat professor van Eeten stelt dat "ze het verschil tussen een puntje en streepje zien, kun je ook niet van hen verwachten" vind ik onbegrijpelijk, want het is noodzakelijk om niet te worden belazerd.
Wat die professor wel begrijpt en jij kennelijk nog steeds niet is dat het dan een verkeerd ontworpen systeem is, omdat het er vanuit gaat dat iedereen het kan begrijpen en dat in de praktijk niet zo is.
Aan dit, volgens jou, "verkeerd ontworpen systeem", ligt een fundamenteel probleem ten grondslag, namelijk dat je miljarden entiteiten kunt hebben die, om ze te kunnen adresseren, allemaal een unieke identiteit (naam en/of nummer om het opschrijven mogelijk te maken) moeten hebben.

Als je iemand een brief wilt sturen, zul je zijn adres moeten kennen. In elk geval in Nederland volstaat een landcode, een postcode en een huisnummer (bijv. NL1234AB56c), maar als je daar een fout in maakt snapt iedereen dat de brief niet aankomt. We vinden het nog steeds niet gek om allerlei redundante informormatie toe te voegen (voornaam/voorletters en achternaam, straat en huisnummer, PC en plaats), met als voordeel dat een aardige postbode of buurman ervoor zorgt dat de brief toch bezorgd wordt.

Bijv. in bankrekeningnummers is een controlecijfer ingebouwd dat typfouten helpt detecteren. Maar daar heb je niets aan als een oplichter jou een rekeningnummer van een geldezel voorschotelt, want net als een certificaat garandeert een correcte optelsom van zo'n nummer niet dat de eigenaar van die bankrekening betrouwbaar is. Nb. als ik een rekening moet betalen (OZB of tandarts bijv.) dubbelcheck ik altijd of het rekeningnummer van de bedoelde instantie is (het kan immers om een nepbrief gaan); paranoïde zullen sommigen zeggen - maar ik hou het op "better safe than sorry".

Domeinnamen zijn helaas niet vergevingsgezind en vriendelijke postbodes en buurmannen ontbreken op internet, maar er bestaan wel workarounds.

Een bestaand systeem om het leven van dyslecten, maar ook van slaperige, gehaaste, slechtziende, oudere, spiezieke, analfabete en geestelijk beperkte mensen een beetje tegemoet te komen, eveneens middels redundantie, zijn EV certificaten. Vooral bij sites met een hoge phisher-lokfactor kunnen deze de risico's voor bezoekers verlagen, mits die bezoeker onthoudt dat zij of hij eerder zo'n EV-certificaat gezien heeft op de betreffende site.

Een nog beter middel is het aanmaken van snelkoppelingen (ook bekend als favorieten of bookmarks) in jouw webbrowser. Als je daar moeite mee hebt (vanwege een handicap) kun je wellicht vragen of een typvaardiger iemand jou daarbij wil helpen. Voor mijn vader heb ik destijds ook een flink aantal snelkoppelingen in zijn webbrowser gezet.

Ten slotte kun je ook naar de bedoelde organisatie of site Googlen. Daarbij moet je wel heel goed opletten, want cybercriminelen maar ook "legale profiteurs" halen allerlei SEO (Search Engine Optimization) trucs uit om hun nepsites een zo hoog mogelijke "ranking" te laten krijgen. Als ik hijv. Google naar kadaster zie ik bovenaan 2 advertenties van resp. www.kadasterdata.nl en www.kadasterservice.nl. Pas daaronder staat www.kadaster.nl (de authentieke site van het Kadaster).

Kortom, heel vervelend dat je met een beperkt aantal letters, cijfers en enkele leestekens een gigantisch aantal domeinnamen kunt maken, maar ik zie geen andere oplossing (binair is ook mogelijk, maar bij een gelijk aantal mogelijke entiteiten neemt de lengte -en daarmee de kans op typfouten- wel heel erg toe).

Door Anoniem: Dat je als IT'er direct ziet wat in een URL https://sub1.sub2.sub-3.domein.tld/directory/subdirectory/script?parameters het deel is waar je naar moet kijken dat kun je van een "gewone gebruiker" niet verwachten.
Waarom niet? Lezen en schrijven, je evenwicht bewaren op een fiets, grammatica van buitenlandse talen en de stelling van Pythagoras, zijn ook dingen die de meeste mensen moeten en kunnen leren. Als je veilig wilt internetten, ontkom je er niet aan om je bepaalde vaardigheden eigen te maken. Zoals het feit dat als je domein.tld vertrouwt, je er in principe vanuit kunt gaan dat subdomeinen daarvan ook te vertrouwen zijn (er zijn uitzonderingen, maar in de meeste gevallen gaat het daarbij om een en dezelfde eigenaar).

Door Anoniem: Het was een domme beslissing om domeinnamen van-rechts-naar-links te schrijven
Eens. Ik stel voor dat we voortaan de datum als 2018-06-04 (of 20180604) schrijven. Ook is het een goed idee om altijd over Jansen Jan (achternaam voornaam) te hebben, 321 uit te spreken als diehonderd-twintig-en-een, op enveloppen bovenaan te beginnen met het land (dan woonplaats etc). en alleen te BBQ-en als het stuimig weer is, en ofwel Enschéde te zeggen ofwel Almeré...
Sorry ik schiet door, maar you get the idea ;-) Veel in deze wereld is voor verbetering vatbaar, maar ik ben wel even klaar met Don Quichotte spelen.

Door Anoniem: Daardoor kun je niet zeggen "let op hoe de URL begint" want iedereen kan een site https://digid.nl.inloggen.nu/ maken en dat is gewoon verwarrend.
Het is noodzakelijk dat je op de / achter de domeinnaam let (zoals ik hierboven duidelijk schreef). Wellicht zou het helpen als de URL balk uit 2 delen bestond, maar ik vrees dat ik daar geen invloed op heb. Het beste dat ik kan doen is oversimplificerende malloten verbeteren die mensen in de waan laten dat het niet ingewikkeld is, en, naar beste eer en geweten, uitleggen (met mijn ongetwijfeld beperkte didactische vaardigheden) hoe het wel zit.

Overigens verbaas ik mij erover hoeveel mensen op deze site beweren dat het bij https alleen maar om een veilige (versleutelde) verbinding gaat, alsof het dan niet meer uitmaakt als er een cybercrimineel aan het andere einde van de verbinding zit.

Door Anoniem: Woorden als "https" en "www" moet je gewoon niet gebruiken in iets wat mensen aan elkaar willen doorgeven, voorlezen, etc.
Wellicht moet je overwegen on deel te nemen aan het www consortium in plaats van te proberen via mij veranderingen door te voeren. Ik heb niets tegen verbeteringen van gebruikerinterfaces (integendeel), maar persoonlijk ben ik daar niet goed in (wellicht heb ik iets van autisme) en concentreer mijzelf liever op zaken waar ik wel verstand van denk te hebben.
04-06-2018, 22:55 door Bitwiper
Door Anoniem: Is het nou zo moeilijk voor browserboeren om, naast "veilig" te veranderen in beveligde verbinding, gewoon een linkje te plakken naar de whois van de domeinnaam? Beetje restylen die info, dat je de registrant van de domeinnaam ziet? Uit de originele (nationale) whois database? Want als dat anoniem is weet je vaak al genoeg. En als iemand onder valse firmanaam registreert is er toch altijd het betaalspoor voor de domeinnaam.
Verbindingen met whois servers zijn standaard unauthenticated en niet versleuteld. Een MITM (Man in the Middle), bijv. iemand met een PineApple in een publiek WiFi netwerk (https://www.security.nl/posting/564321/Ongevraagde+demonstratie+wifi+aanval+%5Btoegestaan+%3F%5D) of een cybercrimineel die de DNS serverinstelling in jouw modem heeft veranderd, kan jou laten zien wat hij wil.

En als whois wel geauthenticeerd en versleuteld zou zijn, zou je een potentieel privacyprobleem hebben - doordat die whois provider weet wanneer jij welke site bezoekt.
04-06-2018, 23:47 door Briolet
Door Anoniem: …Daardoor kun je niet zeggen "let op hoe de URL begint" want iedereen kan een site https://digid.nl.inloggen.nu/ maken en dat is gewoon verwarrend.

Daarmee kunnen browsers wel helpen. Safari toont al een tijdje alleen het hoofddomein in de url balk en laat de subdomeinen weg. De meeste mensen kijk er toch nooit naar en zij die het wel willen weten kunnen op de url-balk klikken. Dan zie je wel de complete url. De site "digid.nl.inloggen.nu" wordt in de balk getoond als "inloggen.nu". Dat helpt al tegen url's met misleidende subdomeinen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.