Beveiliging op niveau van banken
door Strict op vr 8 mei 2015
Was alles maar zo goed beveiligd als de banken. Dat was ongeveer de titel van een blog van Troy Hunt, een Australische security professional. Hij merkte op dat er in beveiligingsland en in de politiek daaromheen vaak wordt gesproken over ‘bank-grade’ security, dat zou de heilige graal van beveiliging wel zijn.
Hunt besloot om maar eens de proef op de som te nemen en een eenvoudige test uit te voeren, namelijk om met gebruik van openbaar beschikbare informatie te bekijken of de websites van banken afdoende zijn beveiligd. Hij heeft geen penetratietest uitgevoerd, maar uitsluitend op basis van publiek aanwezige informatie bekeken wat het niveau van beveiliging is. Hij deed dat door zich te richten op de SSL-beveiliging van de websites, oftewel, wat is de waarde van het groene slotje waar we volgens verschillende awareness campagnes op moeten letten. Hij voerde de scan uit met behulp van de Qualys ssllabs website. Deze website controleert een groot aantal beveiligingsinstellingen van de server en de aanwezige certificaten. Een certificaat is de digitale handtekening waarmee de authenticiteit van de website wordt gewaarborgd en waarmee versleuteling van de communicatie tussen de browser en de webserver wordt mogelijk gemaakt. Beide aspecten zijn van belang: het waarborgen van de authenticiteit van de website is van belang omdat je als klant dan tenminste weet dat je met de verwachte partij zaken doet. Dit is typisch een aanvalsobject van phishers en scammers. Zij doen een officiële website na en hopen mensen te verleiden om met die nep-website zaken te doen in plaats van met de bank waarmee ze dachten zaken te doen. Versleuteling is van belang omdat daarmee wachtwoorden en andere gegevens die over het internet worden verstuurd niet zomaar afgeluisterd kunnen worden. De afgelopen jaren zijn er nogal wat kwetsbaarheden met betrekking tot SSL naar voren gekomen, waardoor de beveiliging op deze punten afneemt of zelfs niets meer betekent. De Poodle en Heartbleed kwetsbaarheden hebben ruimschoots het nieuws gehaald, maar ook cryptografische algoritmes als SHA1 en RC4 en protocollen als SSL3 zijn al onbetrouwbaar gebleken. Als een website daar niet op is berekend, dan is het niveau van beveiliging niet wat wij ons voorstellen bij ‘bank-grade’.
Het certificaat is een krachtig instrument om deze beide beveiligingsfuncties uit te voeren. Maar dan moet het certificaat wel goed geconfigureerd en beheerd worden. En daar kun je met behulp van de site van Qualys dus heel snel een antwoord op krijgen: Wordt het certificaat goed beheerd en is het goed geconfigureerd.
Het enige wat je op de site van ssl-labs hoeft te doen is de url van een website op te geven. De uitkomst is een waarde (in de range ‘A’ tot ‘F’ ) en een aantal detailbevindingen die de uitkomst verklaren. De waarde A betekent een hoog niveau van beveiliging, Waarde F betekent onbeveiligd, lek.
Het resultaat van de test die Hunt uitvoerde verbaasde hem. Van de 21 Australische banken behaalden er 5 een positieve A-score, 12 scoorden een B, er was één C en 3 maal een D. Daarbij bleken er nog verschillende grote kwetsbaarheden. De C en D-scores ontstonden namelijk onder meer omdat de betreffende servers kwetsbaar waren voor Poodle aanvallen. Die kwetsbaarheid zou tegenwoordig echt niet meer mogen bestaan, omdat bij een aanval op die kwetsbaarheid klantinformatie achterhaald zou kunnen worden.
Hunt constateerde dat het begrip ‘Bank-Grade security’ misschien niet optimaal is.
Inmiddels hebben twee van de banken gereageerd door hun SSL-certificaten te verbeteren.
Ik heb besloten om zelf maar eens dezelfde test uit te voeren voor de banken in ons land. Daarvoor heb ik dezelfde snelle test uitgevoerd als Hunt. Het resultaat was gelukkig aanzienlijk beter dan in Australië. Geen D’s en zelfs een drietal A+ scores.
In onderstaand overzicht staat per URL een samenvatting van de testresultaten zoals die door SSL-labs zelf worden aangereikt. In afwijking van de test van Hunt heb ik er nog twee kolommen aan toegevoegd, namelijk of de site kwetsbaar is voor Heartbleed (gelukkig nergens) en of het certificaat een EV-certificaat is, oftewel een certificaat dat is verstrekt aan de eigenaar van de site, waarbij de eigenaar zich persoonlijk heeft moeten legitimeren bij de verstrekker van het certificaat (Verisign, Comodo etc).
Conclusie
Een groene score geeft aan dat de betreffende bank technische beveiliging op dit vlak goed beheerst. Een SSL certificaat moet voldoen aan een aantal basale eisen – alle cellen in het overzicht moeten eigenlijk groen zijn. Als daar niet aan wordt voldaan, dan is dat een ontwikkelpunt, wellicht is er op dat vlak onvoldoende besef van de bedreigingen.
Het resultaat van deze test was gelukkig aanzienlijk beter dan in Australië. We hebben in Nederland gelukkig geen D’s. Sterker nog, we hebben zelfs een drietal A+ scores, dat zijn A‑niveau certificaten die door een iets afwijkende configuratie een nog iets hogere waarde hebben.
Dit alles betekent dat de banken in ons land een aanzienlijk hoog niveau van beheer en beveiliging van de certificaten hanteren. Het groene slotje in de browser betekent in ons land meer dan in bijvoorbeeld Australië.
En we moeten vooral niet vergeten dat dit geen penetratietest is. Een veilig certificaat wil niet zeggen dat de website veilig. De test geeft niets aan over de mate van beveiliging van de webapplicatie (wordt bijvoorbeeld voldaan aan eisen van veilig programmeren), of de mate van technische beveiliging van firewalls of anti-malware beveiliging. De test controleert uitsluitend de mate van beheer en beveiliging van het certificaat. Maar er zijn ook meer technische beveiligingsmaatregelen zoals DNS-sec en DANE. De Nederlandse site internet.nl biedt op dat vlak al meer inzicht.
Alleen een integraal beveiligingsonderzoek kan daarover uitsluitsel geven, maar dat is een verantwoordelijkheid van de eigenaren van de websites zelf en van de toezichthouder.
- Technologie (133)
- Nieuws (70)
- 5G (66)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (15)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (2)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (5)
- augustus 2018 (6)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)