Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Nieuwe e.dentifier software
Op meerdere macs kregen we vandaag een melding dat er nieuwe e.dentifier software beschikbaar is. (Voor het inloggen bij de ABN-Amro). Leuk, maar dit werkte niet als je toestemming gaf.
Vervolgens op de website van de abn gekeken en daar de nieuwste versie gedownload. Toen ik de installatie instruktie doorlas, schrok ik echter:
https://www.abnamro.nl/nl/zakelijk/producten/digitaal-bankieren/e.dentifier/software-mac.html
En dan bedoel ik de eerste stap van punt 3. "De opdracht voor het negeren van een certificaat waarschuwing"
Een beetje geschiedenis. Medio 2018 was er de vorige update en daar bevatte de installer een verlopen certificaat. Ik heb dit doorgegeven aan mijn contactpersoon binnen de bank, die dit naar de goede afdeling zou doorsturen.
En wat zie ik nu? Inplaats van het opnieuw samenstellen van een pakket met correct certificaat, passen ze de instructie aan met een opdracht om een waarschuwing te negeren. Juist van een bank had ik zo iets niet verwacht. En dat loopt dus al anderhalf jaar.
De nieuwe software was overigens geziped met een algoritme dat niet in de standaard mac unzipper zit. (getest met El Capitan t/m High Sierra). Dat zal ook de reden geweest zijn dat de automatische installatie niet werkte. Ik heb nog een paar unzipers geprobeerd, die hem ook niet konden uitpakken.
Dan terug naar de terminal. Het programma 'unzip' kon hem wel gewoon uitpakken. (versie 6.0 van UnZip) En nu bleek dat deze versie van de e.dentifier software wel weer een geldig certificaat had. Blijkbaar hebben ze nieuwe software klaar gezet, zonder naar hun installatie-instructie te kijken. De certificaatwaarschuwing is er gelukkig niet meer. Geldig vanaf december 2016 t/m december 2021, dus in 2018 hadden ze dit certificaat ook al gewoon kunnen gebruiken.
Vervolgens op de website van de abn gekeken en daar de nieuwste versie gedownload. Toen ik de installatie instruktie doorlas, schrok ik echter:
https://www.abnamro.nl/nl/zakelijk/producten/digitaal-bankieren/e.dentifier/software-mac.html
En dan bedoel ik de eerste stap van punt 3. "De opdracht voor het negeren van een certificaat waarschuwing"
Een beetje geschiedenis. Medio 2018 was er de vorige update en daar bevatte de installer een verlopen certificaat. Ik heb dit doorgegeven aan mijn contactpersoon binnen de bank, die dit naar de goede afdeling zou doorsturen.
En wat zie ik nu? Inplaats van het opnieuw samenstellen van een pakket met correct certificaat, passen ze de instructie aan met een opdracht om een waarschuwing te negeren. Juist van een bank had ik zo iets niet verwacht. En dat loopt dus al anderhalf jaar.
De nieuwe software was overigens geziped met een algoritme dat niet in de standaard mac unzipper zit. (getest met El Capitan t/m High Sierra). Dat zal ook de reden geweest zijn dat de automatische installatie niet werkte. Ik heb nog een paar unzipers geprobeerd, die hem ook niet konden uitpakken.
Dan terug naar de terminal. Het programma 'unzip' kon hem wel gewoon uitpakken. (versie 6.0 van UnZip) En nu bleek dat deze versie van de e.dentifier software wel weer een geldig certificaat had. Blijkbaar hebben ze nieuwe software klaar gezet, zonder naar hun installatie-instructie te kijken. De certificaatwaarschuwing is er gelukkig niet meer. Geldig vanaf december 2016 t/m december 2021, dus in 2018 hadden ze dit certificaat ook al gewoon kunnen gebruiken.
Reacties (8)
10-12-2019, 18:01 door
Erik van Straten
Door Briolet: [...] "De opdracht voor het negeren van een certificaat waarschuwing" [...]
Heel slecht inderdaad, een bank onwaardig.Wat mij betreft moet het veel moelijker worden om certificaatwaarschuwingen te negeren, zoals bij HSTS het geval is. Er zou op z'n minst een soort penalty op moeten zitten die zo irtiteert dat men weigert en/of het onderliggende probleem aanpakt.
Misschien dat de overgrote meerderheid van systeembeheerders dan ophoudt met RDP certificaatwaarschuwingen en gewijzigde ssh fingerprints te negeren. En men in plaats daarvan de tijd neemt om het onderliggende probleem op te lossen zodat de volgende keer inloggen in elk geval zonder waarschuwingen plaatsvindt.
Wij securitymensen gaan ons niet vervelen de komende jaren...
Wow.
Ook in stap 2 moet je op een Mac al waarschuwingen negeren.
Bank onwaardig dit.
Om de humor erin te houden: op het hoofdkantoor was dit vast het antwoord toen hun security afdeling riep dat je dit nooit moet doen: https://www.youtube.com/watch?v=9IG3zqvUqJY
Ook in stap 2 moet je op een Mac al waarschuwingen negeren.
Bank onwaardig dit.
Om de humor erin te houden: op het hoofdkantoor was dit vast het antwoord toen hun security afdeling riep dat je dit nooit moet doen: https://www.youtube.com/watch?v=9IG3zqvUqJY
Door Erik van Straten:
Diezelfde bank had een jaar of 10 geleden nog een zakelijk bankieren applicatie die onder Windows alleen goed werkteDoor Briolet: [...] "De opdracht voor het negeren van een certificaat waarschuwing" [...]
Heel slecht inderdaad, een bank onwaardig.als je inglogd was als een local administrator op je werkstation. Kritiek daarop werd ook weggewuifd. Dus daar zal men
niet snel wat leren denk ik.
RDP certificaten is een ander verhaal, als die telkens opnieuw dynamisch gegenereerd worden dan vraag je er als
OS fabrikant ook wel om!
Naast dat je dus in stap 1 al andere dingen moet doen dan ze noemen (want hun ZIP pakt niet zomaar uit)
Krijg je vervolgens een niet mis te verstande fout:
'setup_430_signed.pkg' kan niet worden geopend omdat Apple het bestand niet kan controleren op kwaadaardige software.
Denk niet dat er veel klanten zijn die dit gaan doen.
Krijg je vervolgens een niet mis te verstande fout:
'setup_430_signed.pkg' kan niet worden geopend omdat Apple het bestand niet kan controleren op kwaadaardige software.
Denk niet dat er veel klanten zijn die dit gaan doen.
Ik snap dat jullie daar moeite mee hebben en terecht. Maar je kun de e-dentifier ook gebruiken, zonder hem aan de computer te koppelen. Geen problemen met al het bovenstaande, alleen wat meer werk.
Door Briolet: De nieuwe software was overigens geziped met een algoritme dat niet in de standaard mac unzipper zit. (getest met El Capitan t/m High Sierra). Dat zal ook de reden geweest zijn dat de automatische installatie niet werkte. Ik heb nog een paar unzipers geprobeerd, die hem ook niet konden uitpakken.
Het is mogelijk om ZipOS_-_Edentifier_-_Software_for_Mac_setup_430.zip te unzippen met The Unarchiver: https://apps.apple.com/nl/app/the-unarchiver/id425424353?mt=12, nadat The Unarchiver ingesteld is als standaard programma om zip-bestanden te openen.
12-12-2019, 13:51 door
Briolet
Door Rai03:Het is mogelijk om ZipOS_-_Edentifier_-_Software_for_Mac_setup_430.zip te unzippen met The Unarchiver:
Had ik nog niet geprobeerd, (Stond zelfs al op de mac) maar die kan het inderdaad ook. Te kiezen via 'open met…". Alleen erg dat je als bank zo slordig omgaat met het grondig testen van software voor zulk gevoelige software als het valideren van betalingen. Het kan best zijn dat de programmeurs het programma wel goed getest hebben en het alleen mis gaat in het voorbereiden van een distributie. Laten we daar in elk geval van uit gaan.
In hun stappenplan gaan ze er blijkbaar vanuit dat de browser de zip al uitgepakt heeft. Dat is de default instelling van Safari. Maar ik had al getest dat dit ook niet werkt omdat Safari ook de default unzipper gebruikt. Ik zag in het stappenplan ook staan dat de filegrootte 1,8 MB is. Dit was correct, terwijl de vorige versie iets van 1.0 MB groot was. Blijkbaar hebben ze het stappenplan op dit punt wel aangepast, zonder te zien dat de nieuwe file nu een andere naam heeft en wel een geldig certificaat.
Wat betreft de reactie van 10-12-2019, 18:08: In stap twee moet inderdaad je ook een waarschuwing negeren, maar die is van andere orde dan een certificaat waarschuwing negeren. In stap twee gaat het erom dat je de software niet via Apple's AppStore ophaalt, maar van een andere partij die je dan moet vertrouwen. De ABN in dit geval een te vertrouwen partij en dat is dus een waarschuwing die je terecht kunt negeren.
Maar je kun de e-dentifier ook gebruiken, zonder hem aan de computer te koppelen
Klopt, maar in een zakelijke omgeving moet je dagelijks toch veel handelingen verrichten bij je bankrekening en dan scheelt het veel werk om het via een kabeltje te doen.Door Briolet: In stap twee gaat het erom dat je de software niet via Apple's AppStore ophaalt, maar van een andere partij die je dan moet vertrouwen.
Klopt, maar als ABN de app signed krijg je deze melding niet op systemen die sideloading van signed partijen nog toelaten. Dat was in dit geval ook nog eens niet het geval.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
