"ING lek als een zeef in België"
SSL-encryptie wordt door miljoenen websites gebruikt voor de beveiliging bij online aankopen, financiële transacties en het versturen van persoonsgegevens. Bedoeling is dat alle informatie tijdens het transport van de data vertrouwelijk blijft en niet leesbaar is door derden. Websites die over de SSL-beveiliging beschikken zijn herkenbaar aan het gesloten slotje en de https:// in de adresbalk. Banken gebruiken SSL-encryptie, maar ook Facebook en vele andere webplatformen doen het.
Shutterstock
Shutterstock
De Belgische securityblogger Yeri Tiete ontdekte enkele weken geleden dat de SSL-beveiliging bij het gros van de Belgische financiële instellingen alles behalve in orde was. "Onze banken implementeren SSL op een slechte manier en talmen te lang met het doorvoeren van belangrijke bugfixes en updates", vertelt de blogger, "waardoor ze een vals gevoel van veiligheid creëren."
"Zou het uit onwetendheid of uit luiheid zijn dat de banken hun beveiligingsproblemen niet beter opvolgen?", vraagt Tiete zich af. "Hoe dan ook: als je https://-verbindingen kwetsbaar zijn, kunnen hackers probleemloos communicatiesessies tussen bank en klant meelezen, kunnen ze sessies kapen én kunnen ze naar hartenlust data aanpassen. En als je weet dat die https://-verbindingen eigenlijk de 'voordeur' zijn van een bank, dan begin je bijna te vrezen hoe erg het intern gesteld is."
ING scoort zeer slecht in simpele test
Tiete kwam de kwetsbaarheden op het spoor door gebruik te maken van de 'SSL Labs'-test. Iedereen die dat wenst kan die online tool gebruiken om te checken in welke mate het SSL-encryptieprotocol van een organisatie goed geconfigureerd en up to date is. SSL Labs kent na een test een score toe. A+ is prima, B is zwak, en C tot F zijn slecht tot zeer slecht.
"Bpost, BNP Paribas, HelloBank!, ING, Record Bank en Bank van Breda scoorden allemaal slecht tot zeer slecht. Zelfs het Poodle-lek in SSL dat in september werd ontdekt , was bij die banken nog niet dichtgetimmerd. Poodle was misschien geen Heartbleed, maar zoiets zet je toch aan het denken. Want ook de security-experts bij de banken kunnen zo'n SSL Labs-testje uitvoeren."
"Bpost en BNP Paribas Fortis hebben de voorbije twee weken trouwens hun SSL-configuratie in orde gebracht, allicht omdat ze op mijn blog gelezen hadden wat er aan de hand was, en ook Argenta is in actie geschoten, maar bij ING (F), Recordbank (F), HelloBank! (C) en bij Bank Van Breda (C) is het nog steeds huilen met de pet op. Ook Ogone is kwetsbaar (C). Dat is misschien geen bank, maar wel een belangrijke speler in het betalingsverkeer."
XP en IE 6 zijn de boosdoeners
Volgens de securityblogger aarzelen onze banken vaak bij het updaten van hun SSL-beveiligingsprotocol omdat ze er willen voor zorgen dat ook computers die nog draaien op het stokoude Windows XP of gebruik maken van Internet Explorer 6 hun toepassingen nog kunnen draaien.
"Ik begrijp dat ergens wel, maar als je op die manier voor compatibiliteit moet zorgen, stel je je wel heel erg kwetsbaar op. Er zijn betere manieren om dat te doen."
Hieronder nog eens de huidige stand van zaken, na de SSL Labs test. Banken met een A zitten dus relatief safe, en de SSL van ING en Recod Bank (met score F) is zo lek als een zeef.
Bron: Datanews
UPDATE: ING zegt in een reactie op het artikel in Datanews vandaag nog vier van de vijf beveiligingsproblemen die door Tiete werden opgesomd, aan te passen. "De veiligheid van onze online betaaltransacties is niet in het gedrang gekomen", verklaart ING.
| Rabobank | (A+) | no known issues. Support for HTTP Strict Transport Security and prevented downgrade attacks |
| Triodos | (A+) | no known issues. Support for HTTP Strict Transport Security and prevented downgrade attacks |
| Belfius | (A-) | weak signature (SHA1), no Forward Secrecy. |
| BNP Paribas Fortis | (A-) | weak signature (SHA1), no Forward Secrecy. |
| bpost bank | (A-) | weak signature (SHA1), no Forward Secrecy |
Grade A
| Argenta | (B) | no SSL on main page. internet banking: SSL3 (insecure), weak signature (SHA1), RC4 (insecure), no Forward Secrecy |
| AXA | (B) | weak signature (SHA1), SSL3 (insecure), RC4 (insecure), no Forward Secrecy. |
| beobank | (B) | weak signature (SHA1), no TLS 1.2, RC4 (insecure), no Forward Secrecy |
| CPH | (B) | no TLS 1.2, RC4 (insecure), no Forward Secrecy. |
| KBC | (B) | weak signature (SHA1), no TLS 1.2, no Forward Secrecy |
| Keytrade Bank | (B) | weak signature (SHA1), RC4 (insecure). |
| Crelan | (B) | no SSL on main page internet banking: weak signature (SHA1), SSL3 (insecure), no TLS 1.2, RC4, no Forward Secrecy. |
Grade B
| Hello bank! | (C) | vulnerable to POODLE attack, weak signature (SHA1), RC4 (insecure). |
| Bank Van Breda | (C) | no SSL on main page internet banking: vulnerable to POODLE attack, weak signature (SHA1), no TLS 1.2, no Forward Secrecy, no support for secure renegotiation. |
| Ogone: payment facilitator | (C) | weak signature (SHA1), RC4, vulnerable to POODLE, no Forward Secrecy |
Grade C
| ING | (F) | vulnerable to POODLE attack, SSL3 (insecure), weak signature (SHA1), RC4 (insecure), no Forward Secrecy. |
| Record Bank | (F) | no SSL on main page. internet banking: vulnerable to POODLE attack, RC4 (insecure), no Forward Sec |
Grade F
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee