Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Nieuwe opzet van Aegon bank, maar met welke opzet?
06-12-2018, 12:55 door Anoniem, 17 reacties
Eigenlijk betreft het een spaarbank, en dankzij de bankvergunning met het bekende depositogarantiestelsel.
Ze staan er namelijk tussen in dit overzicht:
https://www.spaarrekeningen.nl/spaarinformatie/spaarbanken-nederlandse-bankvergunningen.aspx
Maar nu hebben ze de applicatie gewijzigd, en als ik uit het oogpunt van security kijk, valt er iets op.
De oude applicatie werkte hoofdzakelijk via www.aegon.nl en online.aegon.nl.
Alweer geruime tijd netjes encrypted met TLS1.2.
De vernieuwing zit in het gebruik van api.aegon.nl, en zo te zien de noodzaak om zooi van derde partijen op te halen.
Maar wat denk je: api.aegon.nl ondersteunt alleen deze hele sterke FS- encryptie-ciphers (AES-256 gebaseerd):
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 2048 bits FS
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 2048 bits FS
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH x25519 (eq. 3072 bits RSA) FS
api.aegon.nl heeft maken met het tonen van je conto en mogelijk ook met het verwerken van transacties.
Nou, zou iemand kunnen zeggen, fantastisch, die sterke ciphers! Ik wil dat mijn spaarbank de sterkste encryptie gebruikt.
Klote zegt een ander, zo sterk is helemaal niet nodig, en nou moet ik een nieuwe computer of smartphone kopen.
(want Androïd 6.0 en eerder kan dit niet aan)
En ik zeg: maar het inloggen gaat dus via www.aegon.nl., en die ondersteunt deze ciphers:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
Dus het inloggen mag wel m.b.v. iets minder sterke ciphers, maar het tonen en verwerken van je bankgegevens niet?
Dat heeft toch geen enkele zin. Het blijft net zo gemakkelijk (of liever gezegd: moeilijk) om te kraken als voorheen.
Want wie de inlogcredentials bemachtigt (dit kan ook via fishing!) kan met zijn machine bij het hele account,
ongeacht de encryptiemethode van api.aegon.nl. De kraker moet alleen geen oudere spullen gebruiken.
Verder is TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS
absoluut ook een voldoende sterk cipher zonder problemen, dat bovendien de compatibiliteit ten goede komt.
Ik zie verder ook geen bank die TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) niet ondersteunt,
zelfs Aegon-dochter Knab (met api.knab.nl) ondersteunt dit cipher!
En dan vraag ik me af waar men bij Aegon bank mee bezig is.
Je zou ze bijna verdenken van het opzettelijk bemoeilijken van de toegang tot spaargeld van sommige klanten die een nog wat ouder apparaat hebben.
Ze staan er namelijk tussen in dit overzicht:
https://www.spaarrekeningen.nl/spaarinformatie/spaarbanken-nederlandse-bankvergunningen.aspx
Maar nu hebben ze de applicatie gewijzigd, en als ik uit het oogpunt van security kijk, valt er iets op.
De oude applicatie werkte hoofdzakelijk via www.aegon.nl en online.aegon.nl.
Alweer geruime tijd netjes encrypted met TLS1.2.
De vernieuwing zit in het gebruik van api.aegon.nl, en zo te zien de noodzaak om zooi van derde partijen op te halen.
Maar wat denk je: api.aegon.nl ondersteunt alleen deze hele sterke FS- encryptie-ciphers (AES-256 gebaseerd):
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 2048 bits FS
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 2048 bits FS
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH x25519 (eq. 3072 bits RSA) FS
api.aegon.nl heeft maken met het tonen van je conto en mogelijk ook met het verwerken van transacties.
Nou, zou iemand kunnen zeggen, fantastisch, die sterke ciphers! Ik wil dat mijn spaarbank de sterkste encryptie gebruikt.
Klote zegt een ander, zo sterk is helemaal niet nodig, en nou moet ik een nieuwe computer of smartphone kopen.
(want Androïd 6.0 en eerder kan dit niet aan)
En ik zeg: maar het inloggen gaat dus via www.aegon.nl., en die ondersteunt deze ciphers:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
Dus het inloggen mag wel m.b.v. iets minder sterke ciphers, maar het tonen en verwerken van je bankgegevens niet?
Dat heeft toch geen enkele zin. Het blijft net zo gemakkelijk (of liever gezegd: moeilijk) om te kraken als voorheen.
Want wie de inlogcredentials bemachtigt (dit kan ook via fishing!) kan met zijn machine bij het hele account,
ongeacht de encryptiemethode van api.aegon.nl. De kraker moet alleen geen oudere spullen gebruiken.
Verder is TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS
absoluut ook een voldoende sterk cipher zonder problemen, dat bovendien de compatibiliteit ten goede komt.
Ik zie verder ook geen bank die TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) niet ondersteunt,
zelfs Aegon-dochter Knab (met api.knab.nl) ondersteunt dit cipher!
En dan vraag ik me af waar men bij Aegon bank mee bezig is.
Je zou ze bijna verdenken van het opzettelijk bemoeilijken van de toegang tot spaargeld van sommige klanten die een nog wat ouder apparaat hebben.
Reacties (17)
Je zou ze bijna verdenken van het opzettelijk bemoeilijken van de toegang tot spaargeld van sommige klanten die een nog wat ouder apparaat hebben.
LOL paranoia geblaat.
Mooi toch van Aegon? Banken zijn ook niet mijn beste vrienden maar ze kunnen wel eisen dat je up to date software gebruikt en dat je met je tijd mee moet gaan om die reden.
Als je geen geld hebt om een smartphone te kopen met Android 6 of hoger kun je altijd nog gewoon een oudere pc van een Linux Desktop distro voorzien dan ben je toch up to date, smartphone is niet per se nodig. Overigens verkoopt Nokia scherp geprijsde smartphones met up to date Android versies, ook de budget modellen.
Als je geen geld hebt om een smartphone te kopen met Android 6 of hoger kun je altijd nog gewoon een oudere pc van een Linux Desktop distro voorzien dan ben je toch up to date, smartphone is niet per se nodig. Overigens verkoopt Nokia scherp geprijsde smartphones met up to date Android versies, ook de budget modellen.
Door linux4: Mooi toch van Aegon? Banken zijn ook niet mijn beste vrienden maar ze kunnen wel eisen dat je up to date software gebruikt en dat je met je tijd mee moet gaan om die reden.
Als je geen geld hebt om een smartphone te kopen met Android 6 of hoger kun je altijd nog gewoon een oudere pc van een Linux Desktop distro voorzien dan ben je toch up to date, smartphone is niet per se nodig. Overigens verkoopt Nokia scherp geprijsde smartphones met up to date Android versies, ook de budget modellen.
De vraag is hoe nodig dit is, aangezien andere banken en zelfs KNAB (onder het hoedje van Aegon!) het ook goed vind met wat minder nieuw. Daarbij zeg je niks over het inloggen dat nog steeds wél met wat oudere devices mogelijk is, net zoals bij andere banken gebruikelijk is. Maar dan loopt het opeens spaak als ze na een paar keer verder klikken api.aegon.nl willen benaderen, waarbij niet gemakkelijk te zien is wat er precies mis gaat. (zeker niet voor een leek)Als je geen geld hebt om een smartphone te kopen met Android 6 of hoger kun je altijd nog gewoon een oudere pc van een Linux Desktop distro voorzien dan ben je toch up to date, smartphone is niet per se nodig. Overigens verkoopt Nokia scherp geprijsde smartphones met up to date Android versies, ook de budget modellen.
Komend jaar gaan banken en payment-providers sowieso volledig over op TLS1.2 (al dan niet met 1.3).
Dan werken Windows XP, Vista, Android 4.4 en lager ook niet meer met internet bankieren en ideal.
Dan werken Windows XP, Vista, Android 4.4 en lager ook niet meer met internet bankieren en ideal.
Update je apparaten of flikker ze weg, gebruik ze zeker niet meer voor gevoellige data.
Door [Account Verwijderd]: Komend jaar gaan banken en payment-providers sowieso volledig over op TLS1.2 (al dan niet met 1.3).
Dan werken Windows XP, Vista, Android 4.4 en lager ook niet meer met internet bankieren en ideal.
Dan werken Windows XP, Vista, Android 4.4 en lager ook niet meer met internet bankieren en ideal.
Je kunt gewoon niet eeuwig met Android 4 blijven werken. XP en Vista zijn al tijden End of Life.
Door Topic Starter:
Nou, zou iemand kunnen zeggen, fantastisch, die sterke ciphers! Ik wil dat mijn spaarbank de sterkste encryptie gebruikt.
Klote zegt een ander, zo sterk is helemaal niet nodig, en nou moet ik een nieuwe computer of smartphone kopen.
(want Androïd 6.0 en eerder kan dit niet aan)
Nou, zou iemand kunnen zeggen, fantastisch, die sterke ciphers! Ik wil dat mijn spaarbank de sterkste encryptie gebruikt.
Klote zegt een ander, zo sterk is helemaal niet nodig, en nou moet ik een nieuwe computer of smartphone kopen.
(want Androïd 6.0 en eerder kan dit niet aan)
Kijk eens naar deze tabel
https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
TLS 1.2 heeft ruime support onder browsers, zie ook kopje Android 5.0–5.0.2 .
Door [Account Verwijderd]: Komend jaar gaan banken en payment-providers sowieso volledig over op TLS1.2 (al dan niet met 1.3).
Dan werken Windows XP, Vista, Android 4.4 en lager ook niet meer met internet bankieren en ideal.
Waar haalt ge dit nu weer vandaan? Ik zie bovendien geen relatie met het topic.Dan werken Windows XP, Vista, Android 4.4 en lager ook niet meer met internet bankieren en ideal.
Immers ook TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) dat ik graag ondersteund zou willen zien op subdomein api.aegon.nl is een cipher dat ondersteund wordt in TLS1.2,
en het is zelfs nog steeds acceptabel en supported igv TLS1.3.
Door Anoniem:
Kijk eens naar deze tabel
https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
TLS 1.2 heeft ruime support onder browsers, zie ook kopje Android 5.0–5.0.2 .
Door Topic Starter:
Nou, zou iemand kunnen zeggen, fantastisch, die sterke ciphers! Ik wil dat mijn spaarbank de sterkste encryptie gebruikt.
Klote zegt een ander, zo sterk is helemaal niet nodig, en nou moet ik een nieuwe computer of smartphone kopen.
(want Androïd 6.0 en eerder kan dit niet aan)
Nou, zou iemand kunnen zeggen, fantastisch, die sterke ciphers! Ik wil dat mijn spaarbank de sterkste encryptie gebruikt.
Klote zegt een ander, zo sterk is helemaal niet nodig, en nou moet ik een nieuwe computer of smartphone kopen.
(want Androïd 6.0 en eerder kan dit niet aan)
Kijk eens naar deze tabel
https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
TLS 1.2 heeft ruime support onder browsers, zie ook kopje Android 5.0–5.0.2 .
Veel mensen begrijpen kennelijk nog steeds het probleem niet.
Er is geen enkel probleem met TLS 1.2, maar met de voor de server gekozen ciphers bij TLS1.2, namelijk voor het subdomein api.aegon.nl. (https://en.wikipedia.org/wiki/Cipher)
Een cipher bepaalt mede de sterkte van de encryptie. Zo zijn 256 bit ciphers meestal sterker dan 128 bit ciphers,
en dat is wel zeker als het om dezelfde encryptie gaat.
Zo is TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) dus veel sterker dan TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)
Echter Aegon staat de zwakkere TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 o.a. wél toe bij het inloggen, maar vereist opeens TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 voor het produceren van het bankoverzicht??? (en dit subdomein is waarschijnlijk ook betrokken bij transacties)
En dat slaat nergens op.
Waarom niet? Omdat de sterkte van de beveiliging in de zwakste schakel zit, en de zwakste schakel ten aanzien van ciphers, is nog altijd TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 bij het inloggen!
Bovendien zoek je je lam waar het aan ligt dat je nou net die pagina niet op je beeld krijgt.
Daarbij komt dat het zwakkere cipher TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 nog heel gangbaar is.
(het wordt voor alle banken toegestaan, behalve... bij Aegon en dan alleen in api.aegon.nl)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 blijft bovendien een acceptabel supported cipher met TLS1.3!
Het is dus blijkbaar onnodig om dit cipher niet toe te staan.
En dan is dus het enige wat Aegon doet, onnodig de compatibiliteit met devices die al wat ouder zijn
en ook bijzondere apparaten die alleen TLS1.2 met de AES128_GCM variant kennen.
Om weer bij hun spaarcentjes te komen zullen klanten die dit treft dus moeten ploeteren om het weer recht te breien
of nieuwe hardware moeten kopen speciaal voor buitenbeen Aegon.
Want in veel gevallen zal het er op neer komen dat het vereiste cipher totaal niet door hun apparaat wordt ondersteund, (hoewel het TLS1.2 ondersteunt, maar daar heb je in zo'n geval dus niets aan).
Terwijl nota bene dit ontbrekende cipher bij de andere Nederlandse banken wél wordt geaccepteerd.
Een andere mogelijheid is het formulier aanvragen om je hele tegoed over te laten maken naar de tegenrekening.
(hoewel ik stilletjes hoop dat ze het bij Aegon nog voor die tijd zullen oplossen. (heel snel dus......) )
Conclusie: het is een configuratiefout bij Aegon, namelijk de gebrekkige toewijzing van ciphers in het subdomein api.aegon.nl.
En dan vraag ik me af waar men bij Aegon bank mee bezig is.
Stel ze de vraag eens.
Stel ze de vraag eens.
"Daarbij komt dat het zwakkere cipher TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 nog heel gangbaar is.
(het wordt voor alle banken toegestaan, behalve... bij Aegon en dan alleen in api.aegon.nl)"
1 zal de eerste zijn bij betere beveiliging. In dit geval is dit de aegon
(het wordt voor alle banken toegestaan, behalve... bij Aegon en dan alleen in api.aegon.nl)"
1 zal de eerste zijn bij betere beveiliging. In dit geval is dit de aegon
07-12-2018, 11:14 door
Tha Cleaner
Door Anoniem:
Echter Aegon staat de zwakkere TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 o.a. wél toe bij het inloggen, maar vereist opeens TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 voor het produceren van het bankoverzicht??? (en dit subdomein is waarschijnlijk ook betrokken bij transacties)
En dat slaat nergens op.
Waarom niet? Omdat de sterkte van de beveiliging in de zwakste schakel zit, en de zwakste schakel ten aanzien van ciphers, is nog altijd TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 bij het inloggen!
Dat is jouw mening, zonder dat jij enige kennis van de omgeving hebt. Echter Aegon staat de zwakkere TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 o.a. wél toe bij het inloggen, maar vereist opeens TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 voor het produceren van het bankoverzicht??? (en dit subdomein is waarschijnlijk ook betrokken bij transacties)
En dat slaat nergens op.
Waarom niet? Omdat de sterkte van de beveiliging in de zwakste schakel zit, en de zwakste schakel ten aanzien van ciphers, is nog altijd TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 bij het inloggen!
Wat als Aegon nu eens een nieuwe API omgeving aan het maken is, namelijk api.aegon.nl, waarbij de security meteen aan een bepaalde security standaard moet voldoen?
En daarna migreert men alle diensten stapsgewijs naar de nieuwe API. Dat betekend dat de applicatie nieuwe en oude api's gebruikt. Nu is het wel in eens logisch en staat het wel ergens in eens op.
Bovendien zoek je je lam waar het aan ligt dat je nou net die pagina niet op je beeld krijgt.
Al eens contact opgenomen met AEGON? Ze bijten namelijk niet. En dat is een stuk beter dan "zeuren" op het Internet dat ze alles fout doen.Als je deze informatie nu eens door speelt naar AEGON, dan kunnen ze er ook iets mee. Nu ben je gewoon anoniem aan het klagen dat ze het allemaal verkeerd doen, en het verkeerd zien. Terwijl je ook maar geen enkel idee hebt over de hoe, wat en waarom.
Conclusie: het is een configuratiefout bij Aegon, namelijk de gebrekkige toewijzing van ciphers in het subdomein api.aegon.nl.
Conclusie is dat je eigenlijk geen idee hebt, waarom deze configuratie zo geconfigureerd is en dat je allemaal aannames doet zonder de redenen te weten.De enige juist conclusies zou moeten zijn:
* TS doet aannames zonder de achtergrond te weten, en denkt het daarom beter te weten.
* Er worden verschillende API's / services gebruikt, waarin verschikkende ciphers configuraties actief zijn, die op jouw toestel een probleem geven.
* TS heeft gedetailleerde technische informatie waar het probleem voor zijn issue in zit.
* TS klaagt liever anoniem op een forum over, maar moet eigenlijk gewoon even contact opnemen met AEGON en zijn bevindingen daar melden.
Door Anoniem: En dan vraag ik me af waar men bij Aegon bank mee bezig is.
Stel ze de vraag eens.
Stel ze de vraag eens.
Dit was ook het eerste wat ik dacht. Blijkbaar heb je een randgeval waar ze wellicht niet van weten, wat is er dan makkelijker dan ze even via twitter, facebook, whatsapp, telefoon, fax of desnoods mail te vragen waarom ze je niet hebben geïnformeerd en/of het wellicht per ongeluk was?
Door Anoniem: "Daarbij komt dat het zwakkere cipher TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 nog heel gangbaar is.
(het wordt voor alle banken toegestaan, behalve... bij Aegon en dan alleen in api.aegon.nl)"
1 zal de eerste zijn bij betere beveiliging. In dit geval is dit de aegon
(het wordt voor alle banken toegestaan, behalve... bij Aegon en dan alleen in api.aegon.nl)"
1 zal de eerste zijn bij betere beveiliging. In dit geval is dit de aegon
Er is voldoende tegenin te brengen waarom dit nodig zou zijn.
Lees de actuele stand van zaken: https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices
"FF citere":
Use the following suite configuration, designed for both RSA and ECDSA keys, as your starting point:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
Het kan dus gewoon veilig worden gebruikt, het hoeft niet per sé TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 te zijn.
Ook TLS1.3 blijft nog TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ondersteunen.
Het hoeft voorlopig dus niet te worden vervangen, en dan zal men er rekening mee moeten houden dat men niet onnodig
de compatibiliteit met clients vermindert die er gebruik van moeten maken.
Daarbij heb ik uitgelegd dat het een schijnveiligheid is als het al zo was dat het toch vanuit veiligheidsoogpunt zou zijn gebeurd.
Door Tha Cleaner:
Wat als Aegon nu eens een nieuwe API omgeving aan het maken is, namelijk api.aegon.nl, waarbij de security meteen aan een bepaalde security standaard moet voldoen?
En daarna migreert men alle diensten stapsgewijs naar de nieuwe API. Dat betekend dat de applicatie nieuwe en oude api's gebruikt. Nu is het wel in eens logisch en staat het wel ergens in eens op.
Zou kunnen, maar dat is dan wel hun eigenbedachte security standaard.Door Anoniem:
Echter Aegon staat de zwakkere TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 o.a. wél toe bij het inloggen, maar vereist opeens TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 voor het produceren van het bankoverzicht??? (en dit subdomein is waarschijnlijk ook betrokken bij transacties)
En dat slaat nergens op.
Waarom niet? Omdat de sterkte van de beveiliging in de zwakste schakel zit, en de zwakste schakel ten aanzien van ciphers, is nog altijd TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 bij het inloggen!
Dat is jouw mening, zonder dat jij enige kennis van de omgeving hebt. Echter Aegon staat de zwakkere TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 o.a. wél toe bij het inloggen, maar vereist opeens TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 voor het produceren van het bankoverzicht??? (en dit subdomein is waarschijnlijk ook betrokken bij transacties)
En dat slaat nergens op.
Waarom niet? Omdat de sterkte van de beveiliging in de zwakste schakel zit, en de zwakste schakel ten aanzien van ciphers, is nog altijd TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 bij het inloggen!
Wat als Aegon nu eens een nieuwe API omgeving aan het maken is, namelijk api.aegon.nl, waarbij de security meteen aan een bepaalde security standaard moet voldoen?
En daarna migreert men alle diensten stapsgewijs naar de nieuwe API. Dat betekend dat de applicatie nieuwe en oude api's gebruikt. Nu is het wel in eens logisch en staat het wel ergens in eens op.
Bovendien zoek je je lam waar het aan ligt dat je nou net die pagina niet op je beeld krijgt.
Al eens contact opgenomen met AEGON? Ze bijten namelijk niet. En dat is een stuk beter dan "zeuren" op het Internet dat ze alles fout doen.api.aegon.nl en nog twee domeinen werden voorheen nooit gebruikt, en dit blijkt per 1 dec. jl. dus gewijzigd.
Aegon meldde alleen na inloggen iets zoals dat ze wat hadden gewijzigd, maar niet precies wat, en ook niet wat daarvan de consequentie voor sommige klanten zou kunnen zijn. Dat noem ik "slordig" in geval van een bank.
Bovendien moet je als je kan tegenwoordig zelf nagaan hoe het zit, anders maken ze je wat wijs.
(Destijds "blind" meegedaan aan de geldverdriedubbelaar etc.? Die mensen hebben het geweten)
Als je deze informatie nu eens door speelt naar AEGON, dan kunnen ze er ook iets mee. Nu ben je gewoon anoniem aan het klagen dat ze het allemaal verkeerd doen, en het verkeerd zien. Terwijl je ook maar geen enkel idee hebt over de hoe, wat en waarom.
Ik heb zelf al uitgevonden hoe en wat, maar niet waarom en ik verwacht niet dat ze me dat "eventjes" aan de telefoon zullen vertellen na een half uur wachten van meer mensen met klachten. Ik heb de vrijheid om het eerst "in de groep" te gooien, en meteen anderen technisch te informeren waaronder misschien sommige lezers die hetzelfde probleem hebben en dat graag zouden willen weten, erop googlen oid. en dan dit vinden.Trouwens: lezen ze bij de Aegon ICT afdeling niet eens security.nl dan?...
Conclusie: het is een configuratiegebrek bij Aegon, namelijk gebrekkige toewijzing van ciphers in het subdomein api.aegon.nl.
Conclusie is dat je eigenlijk geen idee hebt, waarom deze configuratie zo geconfigureerd is en dat je allemaal aannames doet zonder de redenen te weten.Wat ik niet 100% zeker weet is hoe dit er in is geslopen en of dat toch nog een geldige reden kan hebben,
maar dat is niet het eeste wat ik waarschijnlijk vind. Uit technische standaarden maak ik niet op dat dit op korte termijn
zou "moeten".
De enige juist conclusies zou moeten zijn:
* TS doet aannames zonder de achtergrond te weten, en denkt het daarom beter te weten.
Nee, ik constateer na onderzoek de technische waarheid zoals ik heb uitgelegd, en op basis van de standaard is dit nu niet nodig en binnenkort ook niet. Onderzoek je zelf wel iets voordat je het roept? Begrijp je politiek? Een draai geven aan feitelijkheden zodat het van meerdere kanten in je eigen straatje past?* TS doet aannames zonder de achtergrond te weten, en denkt het daarom beter te weten.
Iemand zal maar eens veel haast hebben met "even terugboeken" van Aegon spaarrekening naar de eigen rekening.
* Er worden verschillende API's / services gebruikt, waarin verschikkende ciphers configuraties actief zijn, die op jouw toestel een probleem geven.
Dat is jouw aanname.* TS heeft gedetailleerde technische informatie waar het probleem voor zijn issue in zit.
Yes!* TS klaagt liever anoniem op een forum over, maar moet eigenlijk gewoon even contact opnemen met AEGON en zijn bevindingen daar melden.
Ik baal er wel van ja, en dat lees je wel tussen de regels door. Vind je 't gek?Maar de bedoeling is ten eerste aanduiden dat daar iets aan de hand is en wat,
en ten tweede dat gedwongen overdreven security niet nodig en niet handig is als je een publieke dienstverlener bent zoals een bank. Of waarschuw anders ruim van tevoren wat voor sommigen de gevolgen kunnen zijn zodat klanten zich op tijd kunnen voorbereiden.
Maar bovenal: laten bedrijven zich a.u.b. aan de standaarden houden.
Ze kunnen bijv. ook TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 configureren als meest geprefereerde cipher zodat apparatuur dat daar klaar voor is er alvast gebruik van maakt.
Maar het is echt niet nodig om TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 dan helemaal weg te laten, want het is niet onveilig gebleken. En apparatuur dat hier nog mee werkt kan het dan niet aan, en daar worden klanten niet blij van.
Als je deze informatie nu eens door speelt naar AEGON, dan kunnen ze er ook iets mee.
Komt waarschijnlijk terecht bij mensen die zo min mogelijk geld willen uitgeven voor reparatie, al helemaal niet om hun vergissing toe te geven en waarschijnlijk gaan roepen dat je aan het aan het hacken was, en bla bla, dus stout (ook al slaat dat nergens op).Trouwens: lezen ze bij de Aegon ICT afdeling niet eens security.nl dan?...
Tuurlijk zijn daar enkele lieden die dat doen en nu weer hoofdschuddend denken van: Ik zei het ze nog, maar ze luisterden niet, toen ze bij een review van de documentatie die ene regel vonden, die in de cipher spec verdwenen was bij waarschijnlijk een onhandig copy/paste actie. Maar ja dat dure adviesbureau zal wel weten wat ze doen, was de reactie. 06-12-2018, 22:35 door Anoniem (ts neem ik aan):
Een andere mogelijheid is het formulier aanvragen om je hele tegoed over te laten maken naar de tegenrekening.
Een andere mogelijheid is het formulier aanvragen om je hele tegoed over te laten maken naar de tegenrekening.
Werkelijk? Ik lees op de site van Aegon het volgende:
Wilt u uw spaar- of depositorekening opzeggen?
U kunt dit snel en eenvoudig regelen via Mijn Aegon.
U gaat naar Aegon Sparen in Mijn Aegon.
Op het tabblad 'Rekeninggegevens' vindt u de mogelijkheid tot opheffen.
U kunt dit snel en eenvoudig regelen via Mijn Aegon.
U gaat naar Aegon Sparen in Mijn Aegon.
Op het tabblad 'Rekeninggegevens' vindt u de mogelijkheid tot opheffen.
Maar als ik het goed begrijp komt nu dit 'tabblad rekeninggegevens' niet meer te voorschijn?
Dan kan het lastig worden. Misschien toch maar een nieuw state-of-the-art beveiligd apparaat aanschaffen?
Moet er toch een keer van komen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
