Onderzoek: https-verbinding veel websites niet veilig genoeg - update - IT Pro - Nieuws

Veel Nederlandse websites die een https-verbinding aanbieden, hebben deze niet goed ingesteld, blijkt uit onderzoek. Dat zou onder andere gelden voor DigiD, sites van banken, overheidsinstellingen, webshops en medische organisaties.

Beveiligingsexpert Teus Hagen presenteert deze conclusies donderdag op een beveiligingsconferentie van de NLUUG, een vereniging van professionele opensource-gebruikers. In zijn onderzoeksverslag schetst Hagen zijn verbazing over de in zijn ogen gebrekkige ssl/tls-beveiliging van onder andere bankensites: "Het is vreemd om te zien dat websites als Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken", schrijft hij.

Banken die slecht scoren zijn onder andere de Bank of Scotland, de Friesland Bank en de ING. De Friesland Bank gebruikt een verlopen certificaat en had zijn certificaat niet gekoppeld aan een hostname, waardoor kans op misbruik van het certificaat groter wordt. Dat laatste geldt ook voor onder andere Mijn ING, Bank of Scotland en Staal Bankiers. Negen van de 27 onderzochte bankensites, waaronder Mijn ING, zijn vatbaar voor man in the middle-attacks en zes banken gebruikten geen certificaat van een vertrouwde autoriteit. Slechts 38 procent van de banken gebruikt een veiliger ev-certificaat.

Ook de ssl/tls-beveiliging van overheidssites, waaronder DigiD, zou beter moeten; de versleuteling van DigiD is bijvoorbeeld niet goed genoeg, stelt Hagen. Ook de beveiliging van de servicepagina van Xs4All, de website van UPC en de website van SIDN hapert. Circa de helft van de onderzochte websites van gezondheidsinstellingen biedt helemaal geen beveiligde verbinding, waardoor gebruikersnamen en wachtwoorden als platte tekst over het internet worden verzonden.

Onderzoeker Hagen stelt dat aanbieders van webdiensten relatief eenvoudig kunnen zorgen voor een goed beveiligde verbinding. Hij richt zijn pijlen daarnaast op de manier waarop beveiligingscertificaten worden verstrekt: de verstrekking zou te ondoorzichtig zijn en er zou te weinig controle plaatsvinden. Ook zou het wel erg eenvoudig zijn om aan certificaten te komen. Verder pleit Hagen voor snelle invoering van dnssec, een veiligere versie van het dns-protocol.

Volgens de onderzoeker vertrouwen gebruikers op het slot-symbooltje dat verschijnt wanneer een https-verbinding wordt gemaakt, maar zegt dit in de praktijk te weinig over de beveiliging van een site. Zo geeft het 'slotje' enkel aan dat er een succesvolle ssl/tls-handshake is gemaakt, maar betekent dat niet direct dat de door de site aangeboden versleuteling goed genoeg is.

Update, 12 november - ING laat weten dat nader onderzoek heeft uitgewezen dat de onderzoeker de url mijning.nl heeft onderzocht in plaats van mijn.ing.nl. Op mijn.ing.nl zou de handshake wel fatsoenlijk kunnen worden gemaakt.

IT-banen

Reacties (143)

burne 11 november 2010 00:17

Ben ik de enige die hoofdpijn krijgt van dit 'onderzoek'?

1: Het 'engels' is alles behalve leesbaar. De fucking eerste zin is al van het niveau 'we speak'a the english verry well':

"In order to make the SSL/TLS security protocols, encryption schemes and controlling hash functions really work in internet land, they need to be configured well."

Dat alleen maakt het al een uitdaging om het gebrabbel van meneer te lezen.

2: een inzicht wat volkomen ontbreekt is 'lowest common denominator'. DigiD kan het niet maken om die bejaarde opa met Windows 95 weg te sturen omdat 'ie 'maar' 128-bits encryptie wil laten gebruiken door z'n browser. Dat zijn 15 jaar oude keuzes van de Amerikaanse geheime dienst die destijds dacht dat SSL net zo gevaarlijk was als een ontsteker voor een atoombom, maar het zijn wel keuzes waar we vandaag de dag nog mee moeten leven.

Onze overheid bouwt nog altijd liften of 'ramps' voor bezoekers in een rolstoel en onze overheid laat nog altijd feitelijk onveilige maar 'beter dan niets' niveau's van encryptie toe.

Ik spreek bewust niet over banken omdat ik wel op dagelijkse basis met overheids-sites bezig ben, en niet met banken-sites. Schoenmaker, leest.

3: Ik krijg het gevoel dat de auteur van het stuk 'hackers' overschat. SSL/TLS is in het algemeen 'veilig' te noemen. Het is in ieder geval ordes van grootte veiliger dan het andere endpoint van de keten. Als 'ik' digid gebruik is mijn verbinding encrypted met AES-256-CBC, SHA1 en DHE_RSA. Daar ligt de lat dus zo hoog dat 'compromise' theoretisch is, en niet praktisch. Een vrijwel oneindig groter gevaar voor de beveiliging van mijn verbinding is het spul wat lokaal draait. En dankzij bepaalde leveranciers is dat meer de norm dan de uitzondering, lijkt het wel. Je kunt absurde eisen stellen aan DNSSEC, TLS/SSL en toeters en bellen, maar die gaan allemaal het raam uit met een simpele trojan op de pc van de gebruikert thuis.

MITM is een leuk idee, maar onnodig met een keylogger op de PC van de gebruiker, en DNSSEC of TLS/SSL doen daar volstrekt niets aan af. Gewoon om het punt nogmaals te maken.

Als je er maar genoeg hete lucht in blaast krijg je zelfs een drol tot gigantische proporties opgeblazen.

freggy 10 november 2010 18:39

"Het is vreemd om te zien dat websites als Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken", schrijft hij.

En recent leerden we nog dat de vermelde sites erg onveilig zijn omdat ze hun sessiecookes over HTTP versturen ipv HTTPS. Ik heb de indruk dat bovenstaande uitspraak er dan toch ook een is die meer sensatiewaarde heeft dan wat anders...

MBV @freggy • 10 november 2010 18:58

Eerder tunnelvisie dan sensatie. Onderzoeker onderzoekt zijn gebiedje, en vergeet dat er nog andere aspecten van security zijn.

Anoniem: 201824 @MBV • 10 november 2010 20:58

Dat had zijn onderzoek groter gemaakt... helaas. Dan had hij zijn deadline niet gehaald en moest hij zelf door het stof.

Tenshi818 10 november 2010 18:47

Een certificaat is beter dan geen certificaat.

Ik bedoel als je als "hacker" moet kiezen:

- Gebruiker met een slechte encryptie verbinding naar een website.
- Gebruiker met geen encryptie verbinding naar een website.

Doe eens een gok? Zelfs een slechte encryptie kost tijd om te kraken.

Natuurlijk mag je verwachten van bepaalde sites zoals banken dat ze hun zaakjes op oorden hebben en deze wel goede certificaten bezitten.

We hebben eigenlijk een soort van consumenten bond nodig voor de veiligheid op het internet. Als een goede hacker een fout vind in een website van bijvoorbeeld de bank of in een site van de overheid kan hij het probleem voorleggen aan het bedrijf met een goede kans dat hij opgepakt wordt voor hacken of dat zijn melding volledig wordt genegeerd.

We hebben een bond nodig die voor dit soort mensen opkomt en de bedrijven confronteren met de problemen.

Lisadr @Tenshi818 • 10 november 2010 20:07

Inderdaad! Mijn collega heeft in het verleden een fout bij een bedrijf aangegeven waardoor het vrij makkelijk mogelijk was (voor iemand met de juiste kennis) om gegevens van klanten te achterhalen. De gehele klantenbestand was te exporteren.

Reactie van de bedrijf was een juridische dreigbrief! Als hij zijn kennis zou gebruiken of met de kennis naar buiten zou treden zou hij aansprakelijk worden gesteld en andere gebluf.

Enkele maanden later was het probleem niet opgelost!

hbeans 10 november 2010 22:52

Ik vind de volgende conclusie wel een beetje vreemd: "Het is vreemd om te zien dat websites als Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken"

Standaard gebruikt Facebook helemaal geen https. Als je voor het inloggen http in https verandert, wordt na het inloggen toch weer http gebruikt. Je moet al zoiets als de Force-TLS-extensie gebruiken om https af te dwingen:
nieuws: Mozilla zal geen 'kill-switch' activeren voor omstreden Firesheep-addon

Ik neem aan dat de onderzoeker Teus Hagen bedoelt dat als je per https met Facebook communiceert je een betere beveiliging hebt als bij alle Nederlands banken. Dus vind ik zijn conclusie erg kort door de bocht.

Dat is zoiets als een extra slot of dievenklauw op een deur of raam die je ieder 5 minuten handmatig opnieuw moet sluiten, omdat deze automatisch opent. Maar als dit slot of dievenklauw gesloten is, is het huis veeeeel beter beveiligd als met andere sloten.

Voor de rest heb ik het onderzoek nog niet gelezen, daar heb ik dus ook geen kritiek op.

PS: waarom log ik op tweakers standaard op http en geen https in???

Oet

10 november 2010 17:38

Mis ik iets, als ik kijk naar het certificaat voor https://mijn.ing.nl staat de CN gewoon op mijn.ing.nl Alles dik in orde lijkt me?!?

Edit misschien is het onderzoek eerder gedaan, huidig certificaat is gemaakt op 11-10-2010

[Reactie gewijzigd door Oet op 22 juli 2024 14:40]

z.jeroen @Oet • 10 november 2010 23:13

Mis ik iets, als ik kijk naar het certificaat voor https://mijn.ing.nl staat de CN gewoon op mijn.ing.nl Alles dik in orde lijkt me?!?

Klopt, en in het certificaat van 23-10-2008 - 12-11-1009, waar ik toevallig een kopie van heb, stond ook al CN=mijn.ing.nl. Dus óf het certificaat is tussen toen en nu even anders geweest óf het onderzoek deugt niet. De conclusies zijn in ieder geval nogal aangedikt.

mjtdevries @z.jeroen • 11 november 2010 10:32

Die datum geeft overigens ook aan, dat het gewoon toeval kan zijn dat het certificaat net dezelfde dag geupdate is, aangezien het certificaat ieder jaar rond die tijd verloopt.

Devil N

@Oet • 10 november 2010 17:45

Dat kan kloppen. Ergens eind oktober (vanaf de 23ste als ik me goed herinner) was het certificaat van Mijn ING een paar dagen lang verlopen, waardoor Firefox waarschuwingen ging geven. Kort daarna is het certificaat vervangen door een nieuwe. Kan met dit verhaal te maken hebben.

DarkForce @Devil N • 10 november 2010 19:15

Kijk.... dus kan het zijn dat Teus Hagen met zijn waardeloze uitspraak, wel de klanten van ING aan de twijfel zet waardoor deze klanten het vertrouwen kunnen/zullen verliezen. Want een tegen bericht waarin hij aangeeft dat ING het probleem inmiddels opgelost heeft is ver te zoeken.

Tozz @DarkForce • 10 november 2010 20:19

Dat dit nu is herstelt doet geenzins afbreuk aan het feit dat dit ernstig is. De browser van mensen gaf nu op de legitieme ING site een error.

De volgende keer dat iemand wel een Man in the Middle attack uitvoert en iemand krijgt weer een dergelijke SSL error, maar nu omdat je omgeleid wordt naar een phishing site denken mensen mogelijk weer 'Oh, ING zal wel wat gedaan hebben'.

Door dit niet bij te houden op je eigen legitieme website zorg je er voor dat mensen de meldingen dat er wat mis is niet meer serieus nemen, en daarmee neemt je beveiligingsniveau af.

Anoniem: 201824 @Tozz • 10 november 2010 20:52

De volgende keer dat iemand wel een Man in the Middle attack uitvoert en iemand krijgt weer een dergelijke SSL error, maar nu omdat je omgeleid wordt naar een phishing site denken mensen mogelijk weer 'Oh, ING zal wel wat gedaan hebben'.

Goed punt, maar de onderzoeker moet ook zijn bedoelingen duidelijk maken. Niet wat onderzoeken en het voor de honden werpen. Want dat doet deze, lijkt het. Of zou de onderzoeker dit in samenspraak met de onderzochte bedrijven hebben uitgezocht?

DarkForce @Anoniem: 201824 • 10 november 2010 21:45

Het lijkt mij niet dat dit in samenspraak is gegaan maar pure bevindingen zijn van de onderzoeker. Het is tenslotte een onderzoek dat in de media terecht komt en in het nadeel van meerdere bedrijven betreft. Een dergelijk onderzoek schaadt je imago of kan schade opleveren.

Madrox @Anoniem: 201824 • 11 november 2010 10:02

Volgens mij is het aan het bedrijf om te melden, als het dat wenst; dat het eventuele probleem is opgelost. Het is een onafhankelijk onderzoeker en geen waakhond in dienst van dat bedrijf.

CyBeR @Tozz • 11 november 2010 22:54

Dat dit nu is herstelt doet geenzins afbreuk aan het feit dat dit ernstig is. De browser van mensen gaf nu op de legitieme ING site een error.

Ik gebruik Mijn ING zo ongeveer elke dag en ik ben maar één keer een error tegengekomen, toen ik de oude url gebruikte (mijn.postbank.nl). Dát certificaat was inderdaad korte tijd verlopen. Op de huidige url, mijn.ing.nl, heb ik die niet gezien.

[Reactie gewijzigd door CyBeR op 22 juli 2024 14:40]

Anoniem: 96523 @Oet • 10 november 2010 17:45

Heb je ook gekeken wanneer het certificaat is ge-update?
Inderdaad; dezelfde dag dat het rapport werd vrijgegeven/afgeleverd...
En ik neem aan dat de bedrijven vooraf een kopie hebben gekregen.

OnTopic: Eigenlijk vind ik het wel heel erg dat er een onderzoek moet komen naar de veiligheid van dit soort sites, met name van banken en overheidsinstellingen.

Ik kan me overigens wel voorstellen dat bedrijven wachten met het aanvragen van een nieuw/verbeterd certificaat op het moment dat het oude vervalt, dus eigenlijk zou de test elk jaar gedaan moeten worden om te kijken of bedrijven er überhaupt wel naar kijken.

mcmd @Anoniem: 96523 • 10 november 2010 22:32

Op zich niet zo erg dat er onderzoek gedaan wordt. Dat kan uiteindelijk leiden tot een betere kwaliteit en daar wordt iedereen beter van. Ten slotte moet het testen van zwakheden niet alleen aan hackers worden overgelaten.

sequenter @Oet • 10 november 2010 21:42

Hmmm, vind jezelf het ook niet heel erg toevallig dat het certificaat van de mijn.ing.nl nu valid is from 10-11-2010, kortom dit artikel heeft nu al zijn vruchten afgeworpen.

edit : had stukje van Terminal13 nog niet gezien

[Reactie gewijzigd door sequenter op 22 juli 2024 14:40]

Anoniem: 96160 10 november 2010 19:07

Het kan zelfs gratis zijn...www.startssl.com voor class 1 certificaten. Niet voor banken natuurlijk, maar wel genoeg om bij je eigen webservertje de meldingen over self-signed certificaten te verhelpen.

flabber @Anoniem: 96160 • 10 november 2010 21:13

Kijk voor een alternatief eens bij CA-Cert.
Dit is een initiatief om middels een eigen web-of-trust een betrouwbaar certificaat uit te kunnen geven aan personen zonder financiele vergoeding.

Het grote voordeel van CA-cert is dat iedere deelnemer persoonlijk is geauthenticeerd door meerdere andere deelnemers op basis van paspoort en/of rijbewijs (afhankelijk van het land). Een dergelijke controle is al strenger dan heel veel betaalde instanties.
Je moet er wel wat voor doen, maar ik heb weinig moeite dergelijk geauthenticeerde mensen en hun certificaten te vertrouwen.

Oh ja, ze zijn (nog) niet geaccepteerd door de grote browsers omdat die een financiele vergodeing eisen voor opname van de CA root certificaten. Dus je zal op hun website een waarschuwing krijgen:

https://www.cacert.org

Sfynx @flabber • 10 november 2010 21:56

Dus niet geschikt om bij je eigen webservertje de meldingen over untrusted certificaten te verhelpen. Ik wil dat mijn bezoekers niets hoeven te importeren o.i.d.

The Van @Sfynx • 11 november 2010 16:47

Ik wil dat mijn bezoekers niets hoeven te importeren

Dus je vertrouwd maar op partijen als MicroSoft (IE), Google (Chrome, Iron) Safari, etc om ze er in te stoppen?

Tikkie kortzichtig...

YaPP @flabber • 11 november 2010 00:28

CA-cert is niet geheel veilig. Het idee is leuk, maar bekijk het ook andersom: als je diverse Open Source conferenties afloopt kun je aan je punten komen om zelf signed SSL certificaten uit te mogen geven. Dit loont ook voor hackers.

Het enige wat je dan van die persoon hebt is een (fake?) kopie van zijn paspoort.

[Reactie gewijzigd door YaPP op 22 juli 2024 14:40]

Bolukan @flabber • 11 november 2010 08:04

Hmm, kan de site niet bekijken vanaf mijn werk:

Untrusted SSL Server Certificate (ssl_server_cert_untrusted_issuer)

Your request contacted a host which presented a certificate signed by an untrusted issuer.
This is typically caused by a Web Site presenting an incorrect or invalid certificate, but could be because of a configuration error.

For assistance, contact your network support team.

Anoniem: 379486 10 november 2010 17:36

oh boy, nu krijgen we weer zo'n enorme media scare en blinde paniek bij mensen die niet zo goed begrijpen wat dit inhoud.
soms denk ik dat het publiceren van dit soort artikelen niet zo veel zin hebben...

yannickie111 @Anoniem: 379486 • 10 november 2010 17:45

dat is ook wel zo, maar eigenlijk is natuurlijk ook gewoon schandalig dat zelfs banken en gezondheidsinstellingen de beveiliging van hun website niet op orde hebben.

"Het is vreemd om te zien dat websites als Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken", schrijft hij.

En dit vind ik al helemaal vreemd, ik heb liever dat mensen mijn geboortedatum enz kunnen zien op Facebook, dan mijn bankgegevens!

Janusch @yannickie111 • 10 november 2010 19:09

ik vind dit eigenlijk helemaal niet zo vreemd.

Sites als Facebook en twitter worden constant bijgehouden, bewerkt etc.
Er wordt dus veel aandacht aan besteed.

Dit is denk ik bij banken en overheidsinstellingen veel minder.

Ik zeg denk ik, omdat ik geen professional ben, en geen bronnen heb en het niet zeker weet. Het lijkt mij het meest logisch...

Windom Earle @Janusch • 11 november 2010 09:25

Zonder kennis van zaken nogal een loze opmerking. Ik ben zelf actief als security tester binnen een nederlandse bank (die overigens niet in dit artikel wordt genoemd) en kan je vertellen dat er continu releases, changes en bugfixes zijn. Het overgrote deel heeft echter, in tegenstelling tot sites als facebook, betrekking op de backend (onder meer om de beveiliging actueel te houden).

Ik vind het dan ook behoorlijk verrassend dat er blijkbaar banken zijn die het niet eens de moeite vinden te investeren in een nieuw certificaat. De kosten daarvan zijn op jaarbasis volledig te verwaarlozen. Net als voor de aanschaf van een EV certificaat.

Vooral als bank wil je een zo betrouwbaar mogelijk imago opbouwen. Daar heeft bijvoorbeeld de Rabobank veel profijt gehad tijdens de economische crisis, toen een hoop klanten van ING/ABN Amro/Fortis zijn overgestapt naar de Rabo.

Juist internetbankieren is een belangrijk uithangbord voor banken (gezien de hoeveelheid mensen die er gebruik van maken). Een paar simpele veiligheidsmaatregelen als hierboven worden genoemd zijn voor weinig geld te realiseren en zorgen ervoor dat je niet op deze manier in het nieuws komt ....

BeosBeing @Windom Earle • 11 november 2010 14:08

Tja, de back-end is belangerijk maar vrij zinloos als de front-end al niet goed is en je via de voordeur kunt inbreken. Nu zeg ik niet dat dat kan, maar juist het versloffen daarvan kan betekenen dat de kans groter wordt dat het kan, en het is inderdaad ook slecht voor het imago. Als de voordeur al scheuren vertoont, hoe slecht zal het dan niet gesteld zijn met datgene wat je niet ziet. Zo denkt men meestal.

[Reactie gewijzigd door BeosBeing op 22 juli 2024 14:40]

Roland684 @Janusch • 11 november 2010 09:19

Daarbij is facebook het produkt van facebook, terwijl internetbankieren maar een bijzaak is voor de banken. Slechts een klein deel van de ING werkt aan mijn.ing.nl terwijl een zeer groot deel van de facebook medewerkers aan de website werkt.

* Roland684 ziet overigens weinig verschil tussen het certificaat van facebook en dat van mijn.ing. beide lijken gewoon aan het domein gekoppeld te zijn. En juist bij de ing is ook de inlog-pagina encrypted terwijl je bij faceboek maar moet hopen dat je naam+wachtwoord naar een https-site gestuurd worden.

[Reactie gewijzigd door Roland684 op 22 juli 2024 14:40]

Nokian95dude @yannickie111 • 10 november 2010 19:27

Ja daarom is FB al meerdere keren in het nieuws geweest vanwege beveiligingslekken. Omdat ze zo goed beveiligd zijn. Ik kan je vertellen dat een beetje hacker daar zo binnen zit,.

En vwb de banken. Kan je garanderen dat dat toch voor de rabo niet geld. Zeker weten dat die hun zaakjes wel op orde hebben hoor. Bovendien is het niewsbericht erg vreemd aangezien banken goed beveiligde verbindingen hebben en die worden alleen maar beter.. Dus ik snap dit niet zo goed.

_Alkaline @Nokian95dude • 10 november 2010 21:50

Bron? Ik denk dat FB niet makkelijk te hacken is en dat een zogenaamde hacker alleen gebruik kan maken van "social engineering". Wat meer met psychologie dan hacken te maken heeft.

markvt @Nokian95dude • 10 november 2010 21:50

Als je bij de banken kijkt naar de hoeveelheid SPF records gepubliceerd zijn had dat ook een hoop ellende kunnen voorkomen

kidde @Nokian95dude • 10 november 2010 23:43

Misschien het onderzoek zelf eens lezen (op de link klikken) in de plaats van aannames te doen over de banken?

Uw gevoel over Rabo blijkt juist te zijn, maar enkele andere banken hebben de zaken slecht op orde. Het onderzoek legt precies uit waarom.

fevenhuis @Anoniem: 379486 • 10 november 2010 18:04

Ik denk dat het publiceren van dit soort artikelen enorm veel zin heeft om de houding, van bedrijven waar de veiligheid juist zo belangrijk is, tegenover databeveiliging te veranderen.

Vandaag de dag moet de beveiliging nou eenmaal continue in gaten gehouden worden en niet pas achteraf optreden na problemen.

DarkForce @fevenhuis • 10 november 2010 19:14

In tegendeel, wie A zegt moet ook B zeggen.... het effect van dit soort nieuws in de media is dat mensen de betreffende sites c.q. bedrijven niet langer vertrouwen.

1) Teus Hagen zegt nu bijvoorbeeld dat enkele bedrijven e.e.a. niet netjes op orde hebben qua SSL/TLS beveiliging.

2) Teus Hagen zal niet een nieuwe publicatie doen waarin hij zal aankondigen dat de SSL/TLS problemen opgelost zijn.

Een echte kwestie van wel A zeggen, maar geen B als het bedrijf welke "hij toch op deze wijze in een kwaad daglicht plaatst" de problemen opgelost heeft. Onder klanten (lees; consumenten) kan/zal deze weer het vertrouwen verliezen terwijl dit nu juist net is teruggewonnen.

[Reactie gewijzigd door DarkForce op 22 juli 2024 14:40]

Ras @DarkForce • 10 november 2010 22:14

De bank kan heel simpel zelf een persbericht de deur uitdoen waarin ze vertellen dat ze door dit onderzoek op gebreken zijn gewezen en inmiddels de nodige maatregelen hebben genomen om de beveiliging op te krikken. Wat mij betreft dus een uitgelezen kans voor de bedrijven om te laten zien hoe snel ze reageren op de beschuldigingen uit een onderzoek als deze. Als ze er goed mee omgaan kunnen ze het in hun voordeel laten werken.

Daarmee vind ik dus ook dat dit een prima onderzoek is en je echt niet van Teus Hagen hoeft te verlangen dat deze bij gaat houden of de bedrijven hun leven beteren. Die taak zou je volgens jou redenatie net zo goed aan tweakers.net kunnen toebedelen, want die berichten er nu ook over.

Neemt niet weg dat het wel interresant is om te weten te komen hoe de genoemde bedrijven reageren op dit onderzoek, dus tweakers.net zou er goed aan kunnen doen door over een maand contact te leggen met de genoemde bedrijven.

DarkForce @Ras • 11 november 2010 00:17

De bank kan heel simpel zelf een persbericht de deur uitdoen waarin ze vertellen dat ze door dit onderzoek op gebreken zijn gewezen en inmiddels de nodige maatregelen hebben genomen om de beveiliging op te krikken. Wat mij betreft dus een uitgelezen kans voor de bedrijven om te laten zien hoe snel ze reageren op de beschuldigingen uit een onderzoek als deze. Als ze er goed mee omgaan kunnen ze het in hun voordeel laten werken.

Dat is juist het probleem, denk je nu echt dat de consument erin trapt dat uit tests en statistieken is gebleken dat een product van fabrikant A slecht is, de klant er nog in trapt wanneer de fabrikant zegt... we zijn erop geattendeerd en hebben het opgelost?!

Dan is het al te laat. Als je als onderzoeker fatsoen kent en hebt, meld je eerst alvorens je iets in de media brengt. Media is de killer in de maatschappij, en dan komt het er in jou woorden op neer dat men zichzelf in de media moet verdedigen ?! Dat is natuurlijk helemaal de omgekeerde wereld. Daarom ook 'wie A zegt, moet ook B zeggen' je kunt beschuldigen, zwartmaken, smaad, laster en weet ik allemaal niet plegen met een onderzoek, maar je moet wel eerlijk en fair zijn en zeggen dat het probleem opgelost is.

Daarmee vind ik dus ook dat dit een prima onderzoek is en je echt niet van Teus Hagen hoeft te verlangen dat deze bij gaat houden of de bedrijven hun leven beteren. Die taak zou je volgens jou redenatie net zo goed aan tweakers.net kunnen toebedelen, want die berichten er nu ook over.

Dan moet je geen uitspraken doen, je bent pas onderzoeker als je niet alleen de nadelen of negatieve effecten maar ook positieve uitspraken kunt en durft te doen in gevallen als deze.

Neemt niet weg dat het wel interresant is om te weten te komen hoe de genoemde bedrijven reageren op dit onderzoek, dus tweakers.net zou er goed aan kunnen doen door over een maand contact te leggen met de genoemde bedrijven.

Tuurlijk is het interessant om te weten, maar het had beter geweest als bedrijven in kwestie de tijd hadden gehad zich te verweren c.q. stappen te ondernemen. Pas dan kun je spreken over een doeltreffend onderwerp in de media. Bedrijven door het slijk halen is nimmer een doel uit onderzoeken en statistieken is mij altijd geleerd en gezegd... het is om de bedrijven waarom het gaat op zwakheden te wijzen zodat deze er wellicht iets mee kunnen doen.

Dit is niets meer of minder dan pure zwartmakerij, de consumenten weer op het verkeerde been zetten. Ze kunnen door de bomen het bos al niet meer zien, weten niet waarop ze moeten letten en gaan dus door een geintje als dit weer flink in de twijfel zitten. Kan ik nu dan wel op ing.nl zonder dat ik mij zorgen hoef te maken? Kan ik dan wel bij xs4all.nl blijven, ondanks dat iemand kan zien wat mijn wachtwoorden zijn als ik inlog? Snap je 'm ? Ik als bedrijf zou ook direct zeggen dat ik het probleem opgelost heb, terwijl het misschien niet opgelost is. Stel je voor dat ik inkomsten mis moet lopen... daarom gaan consumenten vaak al niet uit van de berichten vanuit de fabrikant of in dit geval dienstverlener zoals ING.

Anoniem: 51637 @DarkForce • 11 november 2010 09:38

Dat is juist het probleem, denk je nu echt dat de consument erin trapt dat uit tests en statistieken is gebleken dat een product van fabrikant A slecht is, de klant er nog in trapt wanneer de fabrikant zegt... we zijn erop geattendeerd en hebben het opgelost?!

En waarom trappen ze er niet in? Omdat berichten vanuit bedrijven de zaken over het algemeen wat rooskleurig voorstellen. Als jij eerst 5 keer liegt, waarom zou ik dan geloven dat jij de zesde keer de waarheid spreekt? En dat is dan een goede reden om maar niet meer te zeggen dat product X niet deugt, omdat een bedrijf dan niet die zesde keer hoeft te liegen? Ik snap werkelijk niets van jouw manier van 'redeneren'.

Dan is het al te laat.

Dat is dan toch de schuld van de bank zelf? Als de bank wél geld wil verdienen aan iets dat werken met gevoelige gegevens met zich meebrengt, maar je wil niet investeren in expertise / techniek om dat ook goed te doen, dan ben je gewoon fout bezig.

Als je als onderzoeker fatsoen kent en hebt, meld je eerst alvorens je iets in de media brengt.

Het is een onderdeel van de bedrijfsstrategie om (te) weinig te investeren in beveiliging. Moet je dat dan eerst melden aan degene die die strategie bedacht heeft? Beetje vreemd verhaal.

Tuurlijk is het interessant om te weten, maar het had beter geweest als bedrijven in kwestie de tijd hadden gehad zich te verweren c.q. stappen te ondernemen.

Dat hebben ze gehad. Vanaf het moment dat er bedacht is dat het verwerken van gevoelige gegevens via internet wel een goed idee is had er nagedacht moeten worden over veiligheid(sbeleid).

Jij draait het hele verhaal om door de boodschapper dood te schieten, en niet de oorzaak aan te pakken. Dat mensen het vertrouwen verliezen in bedrijven komt door die bedrijven, en door niemand anders.

een doel uit onderzoeken en statistieken [...] is om de bedrijven waarom het gaat op zwakheden te wijzen zodat deze er wellicht iets mee kunnen doen.

En waar blijft de consument in jouw verhaal? Die hoeven pas iets te weten op het moment dat een bank beslist of ze jouw gegevens wel of niet deugdelijk gaan beschermen?

We hebben sinds kort een 'vrije markt', en zoiets functioneert alleen wanneer iedereen in die markt over gelijke informatie beschikt. Dat betekent dus dat zowel een bedrijf, als een (mogelijke) consument beiden moeten weten dat dat bedrijf een veiligheidsrisico neemt. Als ik dat als consument niet weet kan ik geen goede keuze maken (goedkoop produkt + risico, duurder produkt + minder risico).

Ze kunnen door de bomen het bos al niet meer zien

Als dát het probleem is moet je eerst eens nagaan of de manier waarop we de economie hebben ingericht wel zo'n goeie is. Het is in ieder geval beslist geen reden voor zelfopgelegde censuur.

Ik als bedrijf zou ook direct zeggen dat ik het probleem opgelost heb, terwijl het misschien niet opgelost is. Stel je voor dat ik inkomsten mis moet lopen... daarom gaan consumenten vaak al niet uit van de berichten vanuit de fabrikant of in dit geval dienstverlener zoals ING.

Als je nou gewoon zegt dat het opgelost is als het opgelost is (dat heet 'de waarheid spreken') heb je het hele probleem niet. Sterker nog, als je nou gewoon vanaf het begin had nagedacht over een nette implementatie (dat heet 'visie', of 'strategie') had je de zaken wél op orde gehad en had je dit bericht kunnen gebruiken als positieve reclame voor jezelf.

Ze hebben gewoon de bewuste keuze gemaakt om (te) weinig te investeren in veiligheid, en daarvoor worden ze nu opgehangen. Tja. Eigen schuld, dikke bult.

[Reactie gewijzigd door Anoniem: 51637 op 22 juli 2024 14:40]

Ras @DarkForce • 11 november 2010 01:33

... denk je nu echt dat de consument erin trapt dat uit tests en statistieken is gebleken dat een product van fabrikant A slecht is, de klant er nog in trapt wanneer de fabrikant zegt... we zijn erop geattendeerd en hebben het opgelost?!

Ja.

Dan moet je geen uitspraken doen, je bent pas onderzoeker als je niet alleen de nadelen of negatieve effecten maar ook positieve uitspraken kunt en durft te doen in gevallen als deze.

Tja, jouw definitie van onderzoeker.

Deze onderzoeker heeft kennelijk gewoon als doel om een probleem aan de kaak te stellen. Dat dit gaat ten koste van bedrijven: Eigen schuld van die bedrijven. Hadden ze maar beter werk moeten leveren. Wat Youp doet vind je zeker ook niet kunnen?

Floor @DarkForce • 11 november 2010 09:37

Het is een onderzoek, geen journalistieke rapportage!
Bij een journalistieke rapportage werk je met woord en weerwoord.

Tuurlijk is het interessant om te weten, maar het had beter geweest als bedrijven in kwestie de tijd hadden gehad zich te verweren c.q. stappen te ondernemen.

Afhankelijk van het onderzoek, maar wat voor termijn is dan redelijk? Een dag, een week, maand, een jaar? Bij ernstige beveiligingsproblemen vind ik 2 dagen toch echt het maximum terwijl de directie een maand al snel vindt. Hier moet je je als onderzoeker niet mee inlaten want je begeeft je op glad ijs. Een onderzoeker dient zoveel mogelijk onafhankelijk te blijven en dat is al een hele klus op zich zelf (zie de medische onderzoekers op universiteiten die wel onafhankelijk willen zijn maar niet kunnen omdat ze in werk wat ze ernaast doen afhankelijk zijn van de gelden uit de farmaceutische industrie).

[Reactie gewijzigd door Floor op 22 juli 2024 14:40]

Floor @DarkForce • 10 november 2010 19:45

Tja, dan is het helaas eigenschuld dikke bult. Kijk eens naar de essentie van een bank: "het veilig beheren van je geld". Daar betaal je genoeg voor dus je mag verwachten eisen dat een bank zijn veiligheid goed in orde heeft. Dat geldt niet alleen de fysieke beveiliging maar de gehele organisatie moet erop ingericht zijn.

Daarom is de overheid er nog lang niet aan toe om digitaal te gaan. Er zitten teveel mensen met te weinig verstand van zaken, of erger nog, mensen die denken er verstand van te hebben maar die alleen maar wat oppervlakkige kennis hebben.

Beveiliging is meer dan alleen wat software updaten, wat rechten toekennen, een goed ingericht systeem. Het gaat van P&O (er wordt iemand ontslagen dus die mag per direct geen toegang meer hebben) tot directie (directie mag geen beslissingen nemen die de beveiliging ondermijnen). Beveiliging raakt elk individu in de organisatie en het individu moet erop bedacht zijn dat zijn of haar daden de beveiliging onbedoeld kan ondermijnen. Daarom dient elk serieus bedrijf/orgaan/instantie een security officer te hebben of in te huren die verstand van zaken heeft en beslissingsbevoegd is en dienen er protocollen te worden nageleefd en scenario's klaar te liggen. Dat niet alleen, deze persoon moet ook nog eens sterk in zijn schoenen staan want spreek de directie maar eens tegen als de veiligheid ondermijnt dreigt te worden door hun beslissing.

[Reactie gewijzigd door Floor op 22 juli 2024 14:40]

DarkForce @Floor • 10 november 2010 21:37

Tja, dan is het helaas eigenschuld dikke bult. Kijk eens naar de essentie van een bank: "het veilig beheren van je geld". Daar betaal je genoeg voor dus je mag verwachten eisen dat een bank zijn veiligheid goed in orde heeft. Dat geldt niet alleen de fysieke beveiliging maar de gehele organisatie moet erop ingericht zijn.

Mocht het verkeerd uitgepakt hebben voor klanten van de ING dan had ING volgens mij ook echt wel schuld bekend en ervoor garant gestaan om e.e.a. ongedaan te maken (mocht er geld gejat zijn) in geval van privacy gevoelige gegevens is het nog een onderzoeker, noch jij noch ik die het recht in eigen hand moeten nemen om een bedrijf via media "publiekelijk zwart te maken" ook al gaat het om beveiliging. Daarom zeg ik ook niet voor niets dat het wel zo netjes zou zijn geweest dat er via diezelfde media naar buiten gebracht werdt dat ING nadien de beveiligingsproblemen opgelost heeft.

Daarom is de overheid er nog lang niet aan toe om digitaal te gaan. Er zitten teveel mensen met te weinig verstand van zaken, of erger nog, mensen die denken er verstand van te hebben maar die alleen maar wat oppervlakkige kennis hebben.

Je draait het hier om, de overheid is er weldegelijk aan toe! Het is echter de externe partij die in opdracht van de overheid wanprestaties levert en in mijn ogen het recht niet mogen hebben zich met dergelijke activiteiten bezig te houden.

Anoniem: 51637 @DarkForce • 11 november 2010 09:44

Mocht het verkeerd uitgepakt hebben voor klanten van de ING dan had ING volgens mij ook echt wel schuld bekend en ervoor garant gestaan om e.e.a. ongedaan te maken

Jij hebt overduidelijk nog nooit met dat bijltje gehakt. Dat doet een bank dus niet.

recht in eigen hand [...] nemen

Hij constateert alleen, maar dat mag ook al niet meer?

Je draait het hier om, de overheid is er weldegelijk aan toe! Het is echter de externe partij die in opdracht van de overheid wanprestaties levert en in mijn ogen het recht niet mogen hebben zich met dergelijke activiteiten bezig te houden.

Maar die externe partijen gaan echt niet op eigen houtje aan overheidssystemen knutselen, hoor. Daar gaat een opdracht aan vooraf. En vaak is het zo dat wanneer een project verkeerd uitpakt (te duur, te lang, slechte kwaliteit) dat te wijten is aan de opdrachtgever, die eigenlijk niet weet wat hij hebben wil en de opdrachtnemer veel te veel de vrije hand geeft. Als jij een huis laat bouwen, en je zegt tegen de aannemer 'Doe maar iets, als er maar tenmiste 1 deur en 4 ramen in zitten' krijg je waarschijnlijk ook iets anders dan jijzelf voor ogen had; en dat ligt dan niet aan die aannemer, hij heeft dan, correct volgens de opdracht, immers 'iets' gedaan. Dan had jij duidelijker moeten zijn naar de aannemer.

Floor @DarkForce • 11 november 2010 09:01

Nee, de overheid is er niet aan toe. De gigantische verspilling van belastinggelden aan mislukte ICT projecten is hiervan alleen al een goed voorbeeld van. ICT projecten kan je pas starten wanneer je weet wat je wilt, je consistent bent in je beleid en je organisatie er klaar voor is, immers je organisatie moet zich richten naar de ICT en niet andersom.

Ik pleit al jaren voor een speciaal overheidsorgaan die zorgt voor een consistent beleid, waar mensen zitten met verstand van zaken en die weten hoe ICT projecten gemanaged moeten worden. Als ik zie wat voor totale nitwits zich met ICT bezighouden is het alleen maar logisch dat er zo ontzettend veel mis gaat (zie recent ook OV-chipkaart, stemcomputers, puinhoop met belastingaangiftes en teruggave, lek bij DUO en dat zijn alleen nog zaken die het landelijke nieuws halen. ) Je claim dat het aan de externe partij ligt bewijst alleen mijn bovengenoemde stelling.

Een bank mag publieke terecht worden gesteld, ze moeten immers altijd de veiligheidszaken in orde hebben. Hebben ze dat niet dan faalt hun eigen beveiligingsbeleid.
Het is wat anders als de bank een externe audit in hun opdracht had laten uitvoeren. Dat hebben ze nagelaten en nalatigheid bij banken moet je banken afstraffen. Zie het ook de financiële crisis die we te danken hebben aan nalatigheid van banken en overheid. Het is de enige prikkel die bij dit soort lompe organisaties werken.

[Reactie gewijzigd door Floor op 22 juli 2024 14:40]

Madrox @Floor • 11 november 2010 09:58

Pas nog het IT debacle bij de Politiekorpsen, systeem wat niet deugt. Proces-verbalen etc.etc. die digitaal zoekraken....

Ondanks waarschuwingen van de IT specialisten, zegt de top in de korpsleiding "ach meneer, het zal zo'n vaart niet lopen" , "we hebben vaker met dit bijltje gehakt", "gewoon ff inwerken", "desnoods noteren we met potlood en kladblok".... Haha.

TW_RdV @Floor • 11 november 2010 12:20

" ... immers je organisatie moet zich richten naar de ICT en niet andersom ...".

Ik heb altijd gedacht dat ICT een ondersteunend onderdeel is van je bedrijfsvoering. En zou ICT zich dus moeten richten naar de organisatie.

Ik zou het niet voor elkaar krijgen om mijn baas de organisatie om te laten gooien vanwege de aanschaf van een pakket (omdat er zo'n leuke kleurtjes op het scherm komen en de rapproten zo frivool zijn).
Onze CIO zal het ook niet echt voor elkaar krijgen om de hele lijnorganisatie om te gooien omdat hij dat zo nodig vindt.

Of vergis ik me?

Floor @TW_RdV • 11 november 2010 12:33

Een veel gemaakte fout en heel vaak ook de oorzaak dat een software implementatie mislukt, veel duurder wordt dan begroot of dat het eindresultaat onbevredigend is.

Je kiest uiteraard een pakket wat zo goed mogelijk bij je organisatie past maar met alleen de software aanpassen aan je bedrijf redt je het niet. Je krijgt dan snel "vroeger konden we dit en dit zus en zo, nu niet meer, kan het aangepast worden?". Gevolg:nieuw pakket (vaak dure investering), wat nagenoeg hetzelfde doet als het voorgaande pakket maar dan duurder.

Vaak betekend de overstap naar een software pakket dat je de interne bedrijfsvoering tegen het ligt moet gaan houden, procedures of zelfs de interne organisatie moet gaan veranderen. Dit schrikt af, dit is geen makkelijk verkooppraatje en daarom ook nauwelijks belicht. Goede consultants zullen hierop wijzen maar een getrainde manager weet het.
Wanneer je dit stadium doorlopen hebt dan is software inderdaad ondersteunend. Hoewel de software heden ten dage software niet meer als ondersteunend maar juist als kritisch kan worden bestempeld.

Anoniem: 51637 @DarkForce • 11 november 2010 09:33

Een echte kwestie van wel A zeggen, maar geen B als het bedrijf welke "hij toch op deze wijze in een kwaad daglicht plaatst" de problemen opgelost heeft. Onder klanten (lees; consumenten) kan/zal deze weer het vertrouwen verliezen terwijl dit nu juist net is teruggewonnen.

Als ze dit nooit hadden kunnen weten geef ik je gelijk, maar deze kwesties zijn gewoon een zaak van te weinig expertise en / of budget en / of prioriteit. Dat is een bewuste keuze (of zou dat in ieder geval moeten zijn voor organisaties die met gevoelige gegevens werken). Als iemand er dan op wijst "bedrijf X heeft de bewuste keuze gemaakt om het op die manier aan te pakken" is dat niet meer dan een weergave van de bedrijfsstrategie. Het is niet aan de boodschapper om daarop verdere stappen te ondernemen.

CAPSLOCK2000

Privacy
Internet
Websites en community's

@DarkForce • 12 november 2010 02:21

Hij heeft geprobeerd contact op te nemen met al die websites, maar dat ging niet echt makkelijk. Lees z'n paper, dat is erg interessant, zeker als je zelf met SSL te maken hebt.

ironx @Anoniem: 379486 • 10 november 2010 17:41

Helaas is het vaak zo: geen publiciteit = het probleem bestaat niet = we doen er niks aan...
Heb zelf ook al enkele keren meegemaakt dat SSL certificaten verlopen waren of gewoonweg totaal niet juist

Mijn Ohra -> verlopen certificaat
Xbox.com (Microsoft!) -> verlopen certificaat, zelfs enkele maanden!

[Reactie gewijzigd door ironx op 22 juli 2024 14:40]

mcmd @ironx • 10 november 2010 22:26

Als ik bij 'Mijn Ohra' kijk dan zie ik dat de certificaat geldig is tot 12 augustus 2012....
Of bedoel je iets anders?

PeeCee @ironx • 10 november 2010 23:08

Dat een certificaat verlopen is wil niet direct zeggen dat een website onveilig is. De encryptie blijft het zelfde, enkel is een man in the middle attack makkelijker als mensen niet goed opletten.

Maar om de MAM uit te voeren heb je wel iets meer nodig dan een certificaat dat verlopen is.

Ik vind dat de aanschaf van een certifitcaat voor een website soms ook schandalig duur is om bijv een groen balkje te krijgen.
We hebben het hier dan ook alleen over een authenticatieserver die dit aangeeft. En dit terwijl het certificaat misschien wel op de naam van pietje puk staat uit timboektoe. Zolang er maar betaald wordt is het goed.

Voor 150 euro kun je een heel jaar lang mensen oplichten door ze enkel gebruikt te laten maken via HTTPS op je website zonder dat iemand het ooit kan achterhalen.

dtech @PeeCee • 11 november 2010 00:57

Je wordt echt niet zomaar een vertrouwde CA (Certificate Authority) die opgenomen wordt in bijv. de standaardbundels van Microsoft, Apple of Mozilla. Ook is een certificaat als het goed is gekoppeld aan een domein; en moet je bij je CA kunnen aantonen dat je controle hebt over dat domein.

Het zal dus niet voorkomen dat een hacker een certificaat voor een website krijgt die hij al onder controle heeft, maar dat is dus ook helemaal niet erg: als hij controle heeft over de website heeft hij immers geen gefingeerd certificaat meer nodig.

SSL beschermt daarentegen prima tegen afluisteren (met elk certificaat, zelfs een zelf-gegenereerde) en MitM aanvallen (als het certificaat afkomstig is van een betrouwbare CA)

axel_007 @Inny • 11 november 2010 12:08

Maar als bescherming vatbaar is voor een man in the middle attack, dan is het geen bescherming (of in ieder geval geen volledige bescherming).

Het is dus helemaal geen onzin dat (het gebrek aan) beveiliging bij grote websites aan de kaak gesteld wordt.

Overigens weet ik niet hoe ze dit getest hebben, maar het certificaat van mijn.ing.nl is volgens mij wel gewoon een EV-certificaat.... Het is namelijk uitgegeven door VeriSign Class 3 Extended Validation SSL SGC CA.

edit:
Het zou kunnen dat de testresultaten inmiddels zijn ingehaald door de werkelijkheid, het certificaat van Mijn ING is "valid from: 11 oktober 2010". Het lijkt er dus op dat ze pas een nieuw certificaat hebben

[Reactie gewijzigd door axel_007 op 22 juli 2024 14:40]

BeosBeing @ironx • 11 november 2010 14:01

WesternUnion.nl -> certificaat is ook al maanden verlopen (vanaf de laatste grote update van de site meld Opera dit al). Pasgeleden maar eens gemeld toen ik ze aan de lijn had.

[Reactie gewijzigd door BeosBeing op 22 juli 2024 14:40]

EvilMeBe 10 november 2010 17:43

Wauw, ik ben eigenlijk behoorlijk geschokt van de onveiligheid (en slordigheid) van dergelijke sites. Zeker het feit dat gebruikte certificaten dus blijkbaar verlopen zijn, dan heeft er iemand echt zitten slapen lijkt me..

Zo geeft het 'slotje' enkel aan dat er een succesvolle ssl/tls-handshake is gemaakt, maar betekent dat niet direct dat de door de site aangeboden versleuteling goed genoeg is.

Ik ben dan benieuwd hoe een eindgebruiker wel kan beoordelen of een verbinding veilig is. Heb net het vak Network Security afgerond waar inderdaad ssl/tls aan bod kwam, maar hier werd verder niet op de gebruikersinterface ingegaan.

[Reactie gewijzigd door EvilMeBe op 22 juli 2024 14:40]

leuk_he @EvilMeBe • 10 november 2010 21:31

Je kunt 2 levels van certificaten zien.
-Gewoon In order: blauwe naam van site voor url.
-Meer security (ev certiciaat): groene naam van de site.

Het probleem komt pas als het certicaat niet geldig is. Dan is het een alles of niks verhaal. Terwijl het een simpel probleem kan zijn dat b.v. je systeemklok niet goed staat.

Ook als de CA "zomaar" veranderd is niet geregeld in de browser.

Remus @leuk_he • 11 november 2010 09:00

Een certificaat zegt niet alles: als het encryptie protocol voor de handshake en/of de verbinding waardeloos is, is onderschepping nog steeds relatief makkelijk.

i-chat @Remus • 11 november 2010 09:46

dat is ook het hele probleem van https naar mijn idee

> waarom kun je niet gewoon een domain based cert gemakkelijk installeren (en heb je een vast eigen ip nodig).
> waarom waarom bouwen webontwikkelaars (ook die van bijv gratis zut als joomla) niet by default veiligheden in je kunt met jscript / ajax prima dezelfde encripty onderhandelen als ssl niet aanwezig / ondersteund / of te duur voor je is.

veiligheid begint niet eens op de site van je bank, natuurlijk verwachtje dat de ban netjes het mooiste, beste en duurste cert neemt dat er is. maar hoe zit dat met al die net iets minder belangrijke sites waar mensen WEL gewoon HUN password in plaintext sturen. ik weet van meerdere mensen dat hun wachtworden voor internet bankieren ongeveer het zelfde is als hun wachtwoord voor weeweewee.iknoemnugeensite.punt.NL
niet dat ik het w8chtwoord weet (wil weten) maar als je regelmatig iemand dezelfde bewegingen op het toetsenboard zit maken bij verschillende sites kun je wel raden dat het waarschijnlijk het zelfde passwoord is.

nu heb ik mezelf geleerd om dingen direct te vergeten <wachtwoorden van computers die niet van mij zijn +/- 1 minuut na het intypen ben ik het vergeten) de pincode van mijn vriendin (na 3 jaar weet ik hem nog steeds niet), de beveilingscode van m'n vorige werk... ongeveer 2 weken nadat ik vertrok wist ik hem al niet meer (terweil ik hem meer dan een jaar lang regelmatig heb gebruikt ... maar laat ik dan wel voorop stellen dat ik daar vermoedelijk een uitzondering in ben, en dat er zowizo mensen zijn die juist op zoek zijn naar dit soort 'gebruikers' fouten.

CAPSLOCK2000

Privacy
Internet
Websites en community's

@EvilMeBe • 12 november 2010 02:25

Dat kun je eigenlijk niet.

In theorie zou je de helpdesk kunnen bellen en vragen om de fingerprint van het certificaat. Maar in praktijk heeft de helpdesk geen flauw idee wat je bedoelt.

Eerst hebben we DNSSEC nodig, zolang je DNS niet kan vertrouwen (en dus niet weet of het ip-adres klopt) is er niet veel dat je kan doen.

Gaat dus allen DNSSEC implementeren.

mstam 10 november 2010 17:58

Ook een probleem is Windows Server t/m versie 2003 waar zgn. "weak ciphers" van 40 en 56bits standaard worden geaccepteerd en met een registry hack uitgeschakeld moeten worden om zodoende alleen 128bits en sterker te accepteren.

alt-92 @mstam • 10 november 2010 18:11

Ook een probleem is Windows Server t/m versie 2003 waar zgn. "weak ciphers" van 40 en 56bits standaard worden geaccepteerd en met een registry hack uitgeschakeld moeten worden om zodoende alleen 128bits en sterker te accepteren.

Van twee banken die genoemd zijn weet ik dat zij daar echt geen Windows dozen als frontend gebruiken.
En als er al een Windows server exposed staat zijn die ook goed hardened en wordt ook op geaccepteerde cipher algoritmes behoorlijk wat getweaked (en nee, FIPS-140 is niet genoeg meer).

elmuerte 10 november 2010 18:17

Een ev-certificaat is niet veiliger. Het is alleen lastiger te krijgen. Maar uiteindelijk is het nog steeds net zo betrouwbaar als de CA en de auditors (welke meestal de Big Four zijn). Het is snel een kwestie van geld.

GoT @elmuerte • 10 november 2010 20:30

Klopt !, maar een EV is in die zin "veiliger", omdat je een minimale RSA key hebt van 2048 bits.
Een niet EV kan nog een 512 bits RSA key hebben.
http://nl.wikipedia.org/wiki/RSA_(cryptografie)#Veiligheid

SWINX @GoT • 11 november 2010 01:01

In theorie kan alles, maar al jaren geleden werden 1024 bits certificaten als standaard aangeboden, wat uiteraard een goede zaak is.

Beetje een vreemde partij waar je nog een 512 bits certificaat vandaan haalt?
Dat zou een beveiligingsaanbieder zijn die zijn eigen zaak ook niet erg serieus neemt.

GoT @SWINX • 11 november 2010 08:06

Dat wordt niet aangeboden, maar stel je zelf in op je web server!

Binnen je webserver kan je een RSA key van 512 bits selecteren.
Indien je je request indient krijg je alleen een melding dat 512 bits niet wordt aangeraden, maar je kan daarna nog wel verder met het aanvragen van het certificaat.

[Reactie gewijzigd door GoT op 22 juli 2024 14:40]

Woet @elmuerte • 11 november 2010 00:04

En omdat het lastiger te krijgen is (lees: onmogelijk behalve als je de eigenaar/CEO van het bedrijf bent) kan het dus nooit worden misbruikt zoals bij minder validatie sneller gebeurd.

Op dit item kan niet meer gereageerd worden.

Onderzoek: https-verbinding veel websites niet veilig genoeg - update

Lees meer

Dnssec: voor het laatste onveilige protocol

IT-banen

Reacties (143)

Sorteer op:

Weergave: