Systemen voor e-bankieren blijken gevoelig voor SSL-lek

De beveiligingsexpert, die bekend is maar verder anoniem wenst te blijven, maakte gebruik van een combinatie van zwakke plekken in Microsofts uitvoering van de Secure Socket Layer (SSL), een protocol dat de uitwisseling van certificaten regelt waarmee codes, wachtwoorden en creditcardnummers worden beveiligd. SSL omvat een authenticatieketen die loopt via besturingssysteem, browser en webserver. Microsoft, die zegt aan een oplossing voor deze twee weken geleden geopenbaarde zwakke plek te werken, ontkent stellig dat SSL misbruikt kan worden op de manier die in Zweden is toegepast. De beveiligingsexpert stelt dat Microsofts software slechts deels verantwoordelijk is voor de poreusheid van de banksystemen. De IT-beheerders die de software vaak niet goed installeren en configureren zijn volgens hem grotendeels verantwoordelijk. Marc Ouwerkerk van beveiligingsbedrijf Consul Risk Management, dat onder andere penetratietesten uitvoert, kijkt niet echt op van de Zweedse inbraken. “Dit soort dingen is sowieso mogelijk in Nederland. Er zijn een aantal banken buiten Nederland die erg voorzichtig zijn met ‘online-dingen’ en dan wordt het al wat moeilijker.” Maar zodra er sprake is van online-tweewegcommunicatie is het gevaar aanzienlijk, meent hij. “Het is niet geheel duidelijk op welke manier hij SSL gebruikt heeft”, zegt hij over de Zweedse kraker. “Hij heeft zich in ieder geval wel kunnen voordoen als een gebruiker.” Guido van Rooij, encryptiedeskundige van Madison Gurkha, een adviesbedrijf in beveiligingszaken, benadrukt dat SSL op twee manier kan worden ingezet: met server-certificaten of met clientcertificaten. “Je kunt de client zichzelf laten authenticeren aan de server, en andersom. Als je achter je pc zit en je krijgt een SSL-connectie, dan zie je het servercertificaat en dan weet je zeker dat je met de goede server praat. Een clientcertificaat is een bestandje dat je van de betreffende dienstverlener krijgt en waarmee je jezelf kunt authenticeren aan een server. De Nederlandse banken, ten minste voor zover ik ze ken, gebruiken die niet.” Volgens Ouwerkerk is een clientcertificaat niet met brute kracht te kraken en dus veiliger. Te over Over welke ingang de Zweedse deskundige gebruikt heeft, twijfelt Van Rooij, maar softwareproblemen op e-commercesites zijn er te over. “Lees de advisories van Microsoft er maar op na.” Hij raadt in ieder geval aan de sites zo op te zetten dat zelfs wanneer iemand inbreekt in een bepaald gedeelte van het systeem, dat niet meteen betekent dat ze het hele systeem hebben gekraakt. “En ze zullen ook iets aan detectietechnieken moeten doen. Uiteindelijk zal er op zo’n site altijd wel een computer staan waarin in te breken is.” “Honderd procent veiligheid kun je natuurlijk nooit garanderen”, zegt Gijs Boudewijn, secretaris betalingsverkeer van de Nederlandse Vereniging van Banken (NVB). “Maar dit soort aanvallen zijn ons in ieder geval niet bekend.” De veiligheid van het betalingsverkeer heeft prioriteit bij de NVB, zegt Boudewijn. De commissie Informatiebeveiliging van de NVB onderzoekt nu de consequenties van het Zweedse bericht. “Dat het hier echt niet zou kunnen, dat hoort u mij niet zeggen.” Afgezien van het feit dat Microsoft nog geen definitieve oplossing voor het SSL-probleem heeft geopperd, ziet Koen Bouwers van Consul het ‘patchen’ (het installeren van stukjes reparatiecode) als het grote probleem bij e-handel- en dus ook bij e-bankiersystemen. “Je moet gewoon heel goed bijhouden dat er patches beschikbaar zijn en dan moet je meteen al je servers patchen en dat wordt wel eens vergeten.” Een probleem is dat banken vaak eerst hun patches willen controleren in een testomgeving om te kijken of ze hun productieomgeving niet in de war brengen. “Tegenwoordig komen er per maand ongeveer 250 patches bij, dat waren er twee jaar geleden nog maar zestig per maand, dat geeft aan hoeveel werk dat is geworden.”