Ondanks de voorzorgsmaatregelen van drie keer kloppen, kan internetbankieren onveilig zijn. Kwaadwillenden kunnen digitale certificaten, die ervoor zorgen dat er een slotje onderaan de internetpagina komt te staan, namaken. Een gebruiker denkt dan een betrouwbare pagina te zien, maar in werkelijk kan hij op dat moment een phishingsite bezoeken.
Een team van Nederlandse, Zwitserse en Amerikaanse onderzoekers hebben een zwakke plek gevonden in de beveiliging van internetsites met certificaten. Deze digitale certificaten, ook wel ssl-certificaten genoemd die onder andere worden gebruikt bij internetbankieren, kunnen door kwaadwillenden worden nagemaakt. Een gebruiker denkt dan een betrouwbare pagina op zijn scherm te zien, maar in werkelijkheid kan de gebruiker een phishingsite bezoeken.
Onderzoekers van het Centrum Wiskunde en Informatica (CWI), de Technische Universiteit Eindhoven (TUe), EPEL in Zwitserland en onafhankelijke onderzoekers uit Californië ontdekten dat een van de standaard cryptografische algoritmes, die gebruikt worden om digitale certificaten te checken vatbaar is voor misbruik. Het gaat om het MD5-algoritme. Kwaadwillenden kunnen zo een bestand met een digitale handtekening maken die door alle belangrijke webbrowsers wordt vertrouwd. De onderzoekers maakten hiervoor gebruik van geavanceerde wiskunde en een cluster van ruim tweehonderd spelcomputers.
SSL-certificaten
Ssl-certificaten worden uitgegeven door Certificate Authorities (CA's). Als iemand een website bezoekt waarvan de url met https begint, dan verschijnt er een klein hangslot in de statusbalk van de browser. Dit betekent dat de website beveiligd is met een certificaat uitgegeven door een van de CA's. De gebruiker mag er dan vanuit gaan dat hij zich op een veilige website bevindt.
De onderzoekers waarschuwen dat het ontdekte lek, in combinatie met het bekende Kaminsky-lek in Domain Name System (DNS), deuren kan openzetten voor moeilijk te detecteren phishing-aanvallen.
Het is niet de eerste keer dat er een zwakke plek wordt ontdekt in het MD5 algoritme. In 2004 werd er door Chinese onderzoekers ook al een zwakke plek in dit algoritme aangetoond. Toen konden er twee bestanden met dezelfde digitale handtekening worden gemaakt. In mei 2007 toonden onderzoekers van het CWI, EPFL en de TU Eindhoven aan dat het mogelijk was deze bestanden bijna geheel vrij te kiezen.
Geïnformeerd
De onderzoekers hebben de belangrijkste browserleveranciers, waaronder Mozilla (Firefox) en Microsoft (Internet Explorer), over deze ontdekking geïnformeerd. Sommige softwarehuizen zouden al maatregelen hebben genomen om de gebruikers beter te beschermen, zegt een van de onderzoekers. Deze pleiten ervoor dat het certificaat MD5 niet langer wordt gebruikt voor digitale handtekeningen en certificaten. Slechts enkele CA's gebruiken het algortime nog. Onderzoeker Arjen Lenstra van EPFL: "Het is noodzakelijk dat browsers en CA's stoppen met het gebruik van MD5 en overstappen op robuustere alternatieven, zoals de SHA-2 en de komende SHA-3 standaarden."
Wat ik zelf helemaal niet kan snappen is dat men steeds te horen krijgt dat dit veilig is en dan weer dat. Je vraagt je dan af wanneer is het internet ooit gevrijwaard van alle gevaren. Mijn laptop met Vista heeft reeds ook al veel (beveiligings)updates binnengehaald. Ik denk dat het straks met Windows 7 hetzelfde liedje is.
Als je alle berichten zo leest dan denk je al gauw als leek dat internetten een groot gevaar is. Persoonlijk denk ik dat het wel meevalt maar toch word je niet vrolijk van al die waarschuwingen.
@Vincent: bij https wordt gecontroleerd of de domeinnaam die je opgeeft in de browser overeenkomt met fullname die op het certificaat staat van de site. Kies je dus het IP-adres aan dan krijg je een foutmelding omdat deze niet past bij de naam op het cerficaat. IP-adressen bookmarken is los daarvan niet handig, omdat ze nogal eens wijzigen (en juist daarom waarom https cerficaten geknoopt aan de domeinnaam).
Niets is meer veilig. Met verbijstering zag ik de site http://www.michelkraay.nl. Via de telefoon komt hij bij allen instanties naar binnen en heeft hij de beschikking over persoonsgegevens en bedrijfsgegevens.
OMG, zit daar nog MD5 in.
Dat hebben wij in 2003 al gekraakt met DPC, om aan te tonen dat MD5 inherent zwak was.
Je hebt het nu met een paar honderd cores in een maandje gekraakt mss.
Een botnet doet daar dus een 1/2e dag over.
Koop allemaal een Macbook… Geen Internet Explorer, geen Mozilla, wel de beste Safari 😉
Paniek, paniek, peeuw, peeuw! Nederland kan niet meer internetbankieren! (Ps: Heeft u al een noodpakket??)
Snel naar https://mijn.postbank.nl/, dubbelklikken op het slotje > view certificate > details > certificate signature algorithm.
Hmmm.
PKCS #1 SHA-1 With RSA Encryption
Fortis dan misschien? Hetzelfde.
ABN Amro? Idem.
Rabobank? Weer SHA!
ING? alweer.
DSB Bank dan wellicht? Nee, zelf zij hebben een SHA certificate signature! (gelukkig maar… daar bankieren is al link genoeg :P)
Na de dure decembermaand zal het kijken naar je bankrekening je misschien niet blij maken, maar veilig kan het gelukkig nog wel!
Kijk en lees het verhaal/reactie van ‘Peeuw’ . Voor leken althans is dit pas echt belangrijk, van al die paniek wordt men ook niet veel wijzer van. Dit zijn de url’s van onze “Online Bank(ier) Web-Sites”:
https://mijn.postbank.nl/ = SHA1 (RSA 1024 bits)
https://bankieren.rabobank.nl/ = SHA1 (RSA 1024 bits)
https://mijn.ingbank.nl/ = SHA1 (RSA 1024 bits)
https://www.abnamro.nl/nl/logon/ = SHA1 (RSA 1024 bits)
https://www.fortisbanking.com/ = SHA1 (RSA 1024 bits)
https://www.snsbank.nl/secure/ = SHA1 (RSA 1024 bits)
https://www.secure.dsbbank.nl/ = SHA1 (RSA 1024 bits)
Gebruiken allemaal SHA1 (RSA 1024 bits)
Allemaal veilig genoeg dus…, je moet geen paniek zaaien als het niet nodig is.
Mark Peter
Senior Systeembeheerder,
Netwerkbeheerder &
Internet Specialist
Dat zowel MD5 als SHA-1 niet waterdicht zijn, is al jaren bekend. So what? Zo lang je weet op welke site je je bevindt is er niets aan de hand, aangezien het lek alleen geexploiteerd kan worden in combinatie met een corrupte DNS-server.
Hoe weet je op welke site je je bevindt? Verschillende mogelijkheden. Om er enkele te noemen.
1. Tik het IP-nummer van je bank in de adresbalk.
2. Gebruik Firefox en installeer de plugin “ShowIp”. Rechtsonderin je browser staat dan het IP-nummer van de site die je bezoekt vermeld.
3. Zet het IP-nummer van je bank in je hosts bestand. Zorg er dan wel voor dat je hosts bestand niet zonder je medeweten (door bv een trojan) overschreven kan worden. Dat kan door je computer zo in te stellen dat je het alleen als root/beheerder toestemming hebt om het bestand te wijzigen. Een ander optie is Winpatrol te installeren. Dat programma waarschuwt je als er vitale systeembestanden op je computer gewijzigd worden (waaronder het hosts bestand).
verhaal van martin gaat niet echt op. zat banken waarbij je via loadbalancers of redirectors op verschillende ipadressen uitkomt. Addon Perspectives voor Firefox checkt https en heeft (bewust) bezochte sites uit spamvakje gedetecteerd als fake/phishing.