Banker skeler til karakteren i sikkerhedsscannere af hensyn til image

Headere, der kan forbedre karakteren i online-sikkerhedscannere, er lette at implementere, men kan være komplicerede at teste, mener man hos Bankdata.

Som flere vil vide, findes der flere scannere online, som kan give et praj om sikkerhedsniveuaet på et givent web-site. Et af dem er securityheaders.io, som Scott Helme står bag.

Foranlediget af et opslag fra på Facebook fra Henrik Høyer har vi kigget nærmere på et par danske netbankers resultater i scanneren. Henrik Høyer er CTO hos 360 Business Tool, og han har tidligere været omtalt på Version2 i forbindelse med en sårbarhed i et udbredt it-system til børnehaver.

Læs også: Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

Scanneren tester for en stribe headere, serveren kan sende til klienten, og som fortæller browseren, hvordan den skal kommunikere med et site.

Eksempelvis kan headeren kaldet Content Security Policy (CSP) bruges til at undgå Cross Site Scripting (XSS)-angreb. Headeren kan bruges til at fortælle klienten fra hvilke domæner, der må hentes indhold, eksempelvis scripts.

Et andet eksempel på en header, der kan oppe sikkerheden, er HTTP Strict Transport Security. Denne header kan bruges til at fortælle klienten, at der kun må kommunikeres med serveren over TLS, og det kan imødegå man-in-the-middle-angreb.

Det fortæller Scott Helme mere om her.

Et gråt ‘R’ til Nordea ved første øjekast

Skriver man https://www.netbank.nordea.dk i sin browser, havner man på Nordeas netbank-løsning. Bliver dette domæne kørt gennem Helmes scanner, så udløser det karakteren 'R' og en masse røde bokse, forudsat 'follow redirects' er slået fra i scanneren.

Domænet fører dog videre til den egentlig URL for Nordeas netbankløsning, som er https://www.netbank.nordea.dk/netbank/index.jsp

En scanning af denne URL giver et grønt ‘A’ i karakter,

Hos Nordea medgiver man, at de mange røde bokse ikke ser så pænt ud på det domæne, der fører til netbank-løsningen.

»Det vigtige for os er, at det ikke har nogen konsekvenser for vores kunder og deres eller bankens sikkerhed ift. et potentielt hackerangreb. Når det ikke ser så pænt ud i en sådan test, er det fordi, vi har benyttet en temporary redirect og ikke en permanent redirect. Men det har ingen betydning for sikkerheden,« skriver pressechef i Nordea Stine Green Paulsen.

Selvom der altså ikke skulle være grund til bekymring, så overvejer Nordea at rette op på problemet.

»Det kunne sagtens være noget vi kiggede på og ændrede til en permanent redirect, så det ikke skaber en evt. usikkerhed hos en kunde, der tester det, men i mellemtiden er der altså ingen grund til bekymring om dette,« står der videre i det skriftlige svar fra Stine Green Paulsen.

‘R’ betyder netop, ifølge en vejledning på securityheaders.io, at sitet har svaret med en redirect.

Version2 har været i kontakt med Henrik Høyer, som mener, det er vigtigt at have en god sikring på alle dele af et site, da bankens domæne vil kunne misbruges i forbindelse med et angreb.

»Det handler om, hvor let det er at phishe og hvor let det er, at lave noget, der ligner deres site,« siger han.

Bankdata får et A

Bankdata leverer blandt andet til en række banker - herunder Sydbank, hvor en scanning giver et grønt 'A' i karakter. Hos Bankdata går man generelt op i, hvordan løsningen klarer sig i online-scannere, også securityheaders.io.

»Det er en hurtig test, man kan køre igennem, og hvis man falder dårligt ud der, så kan det hurtigt give et dårligt image. Og det er en af grundene til, at vi også forsøger at leve op til de her best practice-ting,« siger it-arkitekt Flemming Nielsen og fortsætter:

»Vi vil gerne være nogen af dem, der ligger bedst, og ikke dem, der ligger dårligt, i sådanne test.«

Af samme grund får tester Bankdata løbende virksomhedens løsning i forhold til rating-systemer som den på securityheaders.io.

Læs også: Central specialenhed hos Bankdata gør UX til vane i agile teams

»Det er en løbende proces, browserne udvikler sig hele tiden, og der kommer nye angrebs-scenarier. Så vi skal hele tiden tjekke op på, om der nu er kommet noget nyt,« fortæller Flemming Nielsen.

Han forklarer, at en A-karakter i løbet af en uge pludselig kan blive nedgraderet til B eller C, fordi der eksempelvis er kommet et nyt angrebs-scenarie. Og derfor det noget, der skal holdes øje med.

Det er - naturligvis - ikke kun for syns skyld, at der skal være styr på sådan noget som sikkerheds-headere på serveren.

»Selvfølgeligt hjælper det mod forskellige former for angreb, men dermed ikke sagt, at hvis man ikke havde det, så kunne man lave de her angreb. Man kan have andre ting liggende bagved, som også kan stoppe de samme typer angreb.«

Flemming Nielsen fortæller, at en test som den, scanneren fra securityheaders.io laver, giver et hurtigt overblik over en del af sikkerheden på en side, men at der kan godt være andre tiltag i backend, som øger sikkerheden på knapt så synlige måder.

Nemt at sætte op, kompliceret at teste

Når alle dele et et site ikke bare kører med alle de headere, som Scott Helmes scanner tester for, så kan det måske hænge sammen med frygt for fejl.

I hvert fald fortæller Flemming Nielsen, at sikkerhedsheaderne i sig selv er nemme at indføre. Men det er vanskeligt at sikre sig, at de fungerer for alle brugere, der tilgår siden med forskellige browsere og styresystemer.

»Selve det at sætte headeren på er ikke så stor en opgave, men det at få testet det hele igennem og sikre sig, at det også fungerer, som man forventer, det er en større opgave.«

Flere ældre browsere understøtter eksempelvis x-frame, men ikke (content security policy), fortæller Flemming Nielsen.

Læs også: Detaljer i obskur header skaber mystik om afsender af OL-malware

»Vi skal jo supportere ældre versioner af browsere, det er nogle ældre versioner af Internet Explorer, hvor vi bruger x-frame.«

Flemming Nielsen fortæller, at det er en løbende vurdering i forhold til, hvor gamle browsere, en virksomhed som bankdata skal tillade i forhold til det sikkerhedsniveau, man gerne vil opretholde.

I den forbindelse kan gamle Android-telefoner, som ikke længere får opdateringer, også være et problem. Her er det ikke nok bare at have installeret en ny browser-app. En del af sikkerheden i forhold til den forbindelse, der oprettes til en server, ligger også i selve styresystemet, forklarer Flemming Nielsen.

»Der kan vi være nødt til at sige, at man simpelthen ikke kan bruge den telefon til at tilgå siderne med.«

Ifølge Flemming Nielsen kan det blandt andet være håndteringen af den krypterede TLS-forbindelse, der er afhængig af versionen af Android-styresystemet, og hvor Bankdata må sortere nogle telefoner fra.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
Henrik Høyer Blogger

Jeg postede et billede på facebook, da vi selv var igang med at gennemgå vores hjemmesider og i den forbindelse "kiggede lidt rundt, for at se hvad andre gjorde". Siden har vi implementeret headers, så et check nu er lidt bedre:

https://securityheaders.com/?q=https%3A%2F%2Fwww.speople.dk

https://securityheaders.com/?q=https%3A%2F%2Fwww.360businesstool.com

Tak for dit "spark over benet" omkring vores DMARC opsætning. Vi har kørt med "p=none" længe for at "overvåge om alt er ok inden vi aktiverede". Din kommentar har medført at det nu er hævet til "p=quarantine". Det er jo det gode ved at få lidt "public shaming", det fører normalt til at man opper sig :-)

Hvad med dig "Henrik Knudsen" har din kommentar betydet at du overvejer at checke jeres opsætning?

Henrik Høyer Blogger

Super professionelt svar fra Bankdata. Jeg håber at andre (både banker og alle andre der leverer ydelser på nettet) vil følge deres eksempel og løbende overvåge og forbedre sikkerheden i deres løsninger.

At levere ydelser på nettet vil altid være en opvejning af omkostninger (tid/penge) mod sikkerhed. IMHO burde banker være i "money no object" kategorien. Selv er vi "et sted midt i mellem", vi prøver at være "ok uden at være absolut duks"

Henrik Høyer Blogger

Husk også security headers på sppl.dk, timeline.360businesstool.com, www.360bt.dk, 360erhvervsdata.dk,

Fedt at du gider hjælpe med at finde hullerne i osten. Vi har nu også fixet:

https://securityheaders.com/?q=https%3A%2F%2Ftimeline.360businesstool.com

sppl.dk, 360bt.dk og 360erhvervsdata.dk bliver fixet asap.

NB: "reject" er bedre end "quarantine".


Yes, men når/hvis det handler om levering af mails ønsker vi ikke at gå all-in fra den ene dag til den anden. Vi har derfor kørt med "report" i en længere periode og har nu skiftet til "quarantine", som vil blive skiftet til "reject" så snart vi er 100% sikre på at alt fungerer.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017