Internetbankieren onveilig ondanks 3x kloppen
Beveiligde verbindingen voor internetbankieren zijn niet meer helemaal te vertrouwen. Door een ernstig DNS-lek is het aanvragen van een SSL-certificaat voor andermans domein namelijk gemakkelijker geworden. Daarom vindt Govcert, het computerincidentrespons team van de Nederlandse overheid, dat de procedures van SSL-providers moeten veranderen.
Een gewaarschuwde ict'er controleert de SSL-verbinding van zijn bank. Als er https:// in de adresbalk staat, het slotje rechtsonderin aanwezig is en er bij dubbelklikken een certificaat verschijnt met de domeinnaam van je bank, dan weet je het zeker: je hebt verbinding met je eigen bank en niet met een of andere DNS-hacker, die je inlogcodes wil stelen om je bankrekening te plunderen.
Was het maar zo. Dat laatste hoeft namelijk niet meer zo te zijn. Beveiligingsonderzoeker Dan Kaminsky wees er anderhalve week geleden op dat een beveiligingslek in het Domain Name System (DNS) verstrekkende gevolgen kan hebben. Zo'n beetje elke internettechniek is namelijk gebaseerd op het DNS-fundament. En dat geldt ook voor het Secure Sockets Layer (SSL), een beveiligingsprotocol voor authenticatie en versleuteling. Kaminsky wees erop dat de bedrijven die SSL-certificaten verkopen, mail gebruiken om te controleren of aanvragers zijn wie ze zeggen te zijn. Kaminsky: "Raad eens hoe veilig die instanties zijn voor DNS-aanvallen. Niet."
Certificaataanvraag deugt niet
Govcert, het computerincidentrespons team van de Nederlandse overheid, vindt daarom nu dat de procedures van SSL-providers moeten veranderen. Woordvoerder Ella Broos: "De procedure van het aanvragen van SSL-certificaten door instanties moet onder de loep worden genomen en minder geautomatiseerd verlopen. Er valt te denken aan extra authenticatie en identificatie van de aanvrager door de leverancier. Op dit moment verschillen de procedures van de CA's (Certificate Authority) veel van elkaar. Bij de een gebeurt het grondiger dan bij de ander."
SSL-certificaat voor andermans domein
Doordat een deel van de SSL-providers minder grondig te werk gaat, is momenteel de volgende aanval mogelijk: je zoekt een ongepatchte server van een bedrijf dat SSL-certificaten verkoopt. Dat moet lukken, want er bestaan wereldwijd enkele duizenden ‘SSL-providers'.Via het lek dat Dan Kaminsky ontdekte neem je de DNS-server van deze provider over. Vervolgens vraag je bij de SSL-provider een SSL-certificaat aan voor internetbank.nl. De controles die een SSL-provider uitvoert om te achterhalen of je echt de eigenaar bent van internetbank.nl kunnen variëren, maar vaak blijft het bij het versturen van een paar mailtjes aan het domein internetbank.nl. Meestal wordt daarbij gekozen voor algemene adressen zoals info@internetbank.nl en admin@internetbank.nl.
Als één van deze mailtjes beantwoord wordt, is dat voor een SSL-provider vaak voldoende bewijs dat de aanvrager het domein bezit. Omdat je de DNS-server van de SSL-provider hebt overgenomen, is het omleiden van die controlemails voor jou een fluitje van een cent. Je kunt daarna die mailtjes beantwoorden en zo ‘bewijzen' dat jij degene bent die internetbank.nl beheert. Vervolgens ontvang je een certificaat voor interbank.nl. Dat certificaat zet je op een webserver. Je zoekt een ongepatchte DNS-server van een bankklant, neemt die over, vervalst het ip-adres van de bank en leidt bankklanten naar een nepsite. Wanneer ze het certificaat van de bank controleren, lijkt alles in orde te zijn. Maar dat is het niet.
Procedures van SSL-providers
Broos: "Hoewel dit scenario heel omslachtig is, doordat eerst de server van de leverancier van SSL-certificaten moet worden gecompromitteerd, is het niet ondenkbaar. In dat geval is het onmogelijk om als eindgebruiker iets te doen om het op te merken en te voorkomen. Het compromitteren van de server van SSL-certificatenleveranciers is overigens niet zomaar gebeurd als we ervan uit mogen gaan dat die vanwege de aard van hun dienstverlening goed beveiligd zijn. Naar onze mening is dit scenario wel een aanleiding om daar extra alert op te zijn."
Olaf Kolkman, directeur NLnet Labs (dat open-source DNS-servers ontwikkelt zoals NSD en Unbound) formuleert het voorzichtig: "Zolang alle controles die een certificerende instantie uitvoert om de identiteit van een aanvrager te achterhalen over internet verlopen, is het gevaar dat een malafide persoon een certificaat ontvangt voor een domein dat niet van hem is, niet geheel academisch."
Antoin Verschuren, technisch adviseur bij SIDN, de organisatie die het .nl-domein beheert: "Het risico is niet geheel verwaarloosbaar meer. Beveiliging is nooit honderd procent te garanderen, maar door de DNS-kwetsbaarheid is de kans dat zo'n aanval slaagt iets groter geworden. Het probleem zit niet zozeer in het SSL-protocol, maar in de procedures van SSL-providers. Je kunt je afvragen of het verscherpen van die procedures een gewenst algemeen beveilingsdoel dient. Als de procedure moeilijker en complexer wordt gemaakt, dan kan dat aanvragers van een SSL certificaat ontmoedigen om er überhaupt een aan te vragen. De echte oplossing is het repareren van de DNS-kwetsbaarheid. De enige lange termijn end-to-end oplossing daarvoor is DNSSEC, een DNS-protocol dat beter beveiligd is."
Blijf het slotje controleren
Broos: "Blijft een feit dat we het risico van deze tijdrovende manier van frauderen niet hoog inschatten, vanwege de complexiteit en de inspanning die het kost. Wij zien als Govcert dat phishing zonder SSL-certificaat al lucratief genoeg blijft: veel mensen controleren helemaal niet of ze veilig aan het werk zijn. Daarom blijft het op dit moment een goed advies om als eindgebruiker te checken of er een beveiligde verbinding tot stand is gekomen, via het hangslotje, https en de url. Het zou de eerste, bijna automatische handeling moeten zijn van iedere internetgebruiker."
Ook volgens Kolkman zijn internetbankklanten vaak niet alert genoeg: "Veel gebruikers controleren niet eens of het slotje aanwezig is. Als je als crimineel erin slaagt internetgebruikers om te leiden naar een nepbankiersite, en dat kan via het lek van Dan Kaminsky, dan heb je dus ook al een aardige kans van slagen."
Vic, 18-08-2008 12:42
Peter van Halderen, 18-08-2008 13:01
KjB, 18-08-2008 13:03
gebruikers (via het DNS-lek) naartoe kunt omleiden. Of snap ik het nou verkeerd?
Pieter, 18-08-2008 13:31
Je kiest een plaatje of upload een fototje. Alleen als de DNS je naar de echte site toe leidt wordt dit getoond.
Erik Westhovens, 18-08-2008 14:11
Het is een erg bewerkelijke methode.
Vele malen gemakkelijker is het om verkeer van paypal af te vangen. Iedereen met een beetje kennis kan zo een paypal spoof inrichten.
Voordeel daarvan is dat je geen authenticatie methodes als extra kastjes waarin je codes moet opgeven etc.
Bij paypall log je met een gebruikersnaam en wachtwoord in.
Vervolgens toon je een out of order pagina.
En dan heb je de inloggegevens van de gebruiker al.
Vervolgens doe je een betaling aan je eigen paypall account, die je behoorlijk anoniem kunt maken, en je bent al niet meer te achterhalen.
De credit cards of automatische bankafschrijvingen komen pas een week of langer later, en dan is het leed al geleden.
KjB, 18-08-2008 14:16
13-02 KPN garandeert anonimiteit internetgebruiker
13-02 Ordina rondt integratie Oracle EBS bij EL&I af
13-02 Perfectview levert CRM-systeem aan Gelderland
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
13-02 KPN garandeert anonimiteit internetgebruiker
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'KPN koppelt ID aan internetverkeer'
09-02 'Ook met cookiewet is gebruiker niet anoniem'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
|
|
29-07-10 Hacker laat pinautomaat geld uitspuwen
26-02-10 Online bankieren kwetsbaarder op smartphones
01-01-09 Microsoft: Lek in SSL is geen groot gevaar
31-12-08 Internetbankieren niet meer veilig door SSL-lek
06-10-08 ‘TCP/IP-lek’ zit in besturingssysteem
05-09-08 Amsterdam neemt Getronics in bescherming
02-09-08 SIDN: vanaf 2009 overstap naar DNSsec
26-08-08 Firefox beschermt tegen DNS-gat
22-08-08 Aantal DNS-aanvallen neemt toe
11-08-08 Gepatchte DNS-servers binnen tien uur over te nemen
08-08-08 Nederlander vond als eerste details DNS-lek
08-08-08 DNS-lek maakt internetbankieren onveilig
06-08-08 DNS-patches vertragen internetverkeer
05-08-08 DNSSEC enige oplossing tegen DNS-lek
04-08-08 Gepatchte DNS-servers binnen een dag te hacken
04-08-08 Apple-patch voor DNS-lek deugt niet
01-08-08 Geen nieuwe patches ondanks DNS-gevaar
01-08-08 Apple brengt patch uit voor DNS-lek
30-07-08 DNS-servers aangevallen
30-07-08 Niet alle providers gepatcht tegen DNS-lek
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 155 | 6.4 | |
 | 2 | 121 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media