Banker skeler til karakteren i sikkerhedsscannere af hensyn til image

17. april 2018 kl. 05:1110
Banker skeler til karakteren i sikkerhedsscannere af hensyn til image
Illustration: Andreus/CanStockPhotos Inc.
Headere, der kan forbedre karakteren i online-sikkerhedscannere, er lette at implementere, men kan være komplicerede at teste, mener man hos Bankdata.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Som flere vil vide, findes der flere scannere online, som kan give et praj om sikkerhedsniveuaet på et givent web-site. Et af dem er securityheaders.io, som Scott Helme står bag.

Foranlediget af et opslag fra på Facebook fra Henrik Høyer har vi kigget nærmere på et par danske netbankers resultater i scanneren. Henrik Høyer er CTO hos 360 Business Tool, og han har tidligere været omtalt på Version2 i forbindelse med en sårbarhed i et udbredt it-system til børnehaver.

Scanneren tester for en stribe headere, serveren kan sende til klienten, og som fortæller browseren, hvordan den skal kommunikere med et site.

Eksempelvis kan headeren kaldet Content Security Policy (CSP) bruges til at undgå Cross Site Scripting (XSS)-angreb. Headeren kan bruges til at fortælle klienten fra hvilke domæner, der må hentes indhold, eksempelvis scripts.

Artiklen fortsætter efter annoncen

Et andet eksempel på en header, der kan oppe sikkerheden, er HTTP Strict Transport Security. Denne header kan bruges til at fortælle klienten, at der kun må kommunikeres med serveren over TLS, og det kan imødegå man-in-the-middle-angreb.

Det fortæller Scott Helme mere om her.

Et gråt ‘R’ til Nordea ved første øjekast

Skriver man https://www.netbank.nordea.dk i sin browser, havner man på Nordeas netbank-løsning. Bliver dette domæne kørt gennem Helmes scanner, så udløser det karakteren 'R' og en masse røde bokse, forudsat 'follow redirects' er slået fra i scanneren.

Domænet fører dog videre til den egentlig URL for Nordeas netbankløsning, som er https://www.netbank.nordea.dk/netbank/index.jsp

En scanning af denne URL giver et grønt ‘A’ i karakter,

Hos Nordea medgiver man, at de mange røde bokse ikke ser så pænt ud på det domæne, der fører til netbank-løsningen.

»Det vigtige for os er, at det ikke har nogen konsekvenser for vores kunder og deres eller bankens sikkerhed ift. et potentielt hackerangreb. Når det ikke ser så pænt ud i en sådan test, er det fordi, vi har benyttet en temporary redirect og ikke en permanent redirect. Men det har ingen betydning for sikkerheden,« skriver pressechef i Nordea Stine Green Paulsen.

Selvom der altså ikke skulle være grund til bekymring, så overvejer Nordea at rette op på problemet.

»Det kunne sagtens være noget vi kiggede på og ændrede til en permanent redirect, så det ikke skaber en evt. usikkerhed hos en kunde, der tester det, men i mellemtiden er der altså ingen grund til bekymring om dette,« står der videre i det skriftlige svar fra Stine Green Paulsen.

‘R’ betyder netop, ifølge en vejledning på securityheaders.io, at sitet har svaret med en redirect.

Version2 har været i kontakt med Henrik Høyer, som mener, det er vigtigt at have en god sikring på alle dele af et site, da bankens domæne vil kunne misbruges i forbindelse med et angreb.

»Det handler om, hvor let det er at phishe og hvor let det er, at lave noget, der ligner deres site,« siger han.

Bankdata får et A

Bankdata leverer blandt andet til en række banker - herunder Sydbank, hvor en scanning giver et grønt 'A' i karakter. Hos Bankdata går man generelt op i, hvordan løsningen klarer sig i online-scannere, også securityheaders.io.

»Det er en hurtig test, man kan køre igennem, og hvis man falder dårligt ud der, så kan det hurtigt give et dårligt image. Og det er en af grundene til, at vi også forsøger at leve op til de her best practice-ting,« siger it-arkitekt Flemming Nielsen og fortsætter:

»Vi vil gerne være nogen af dem, der ligger bedst, og ikke dem, der ligger dårligt, i sådanne test.«

Af samme grund får tester Bankdata løbende virksomhedens løsning i forhold til rating-systemer som den på securityheaders.io.

»Det er en løbende proces, browserne udvikler sig hele tiden, og der kommer nye angrebs-scenarier. Så vi skal hele tiden tjekke op på, om der nu er kommet noget nyt,« fortæller Flemming Nielsen.

Han forklarer, at en A-karakter i løbet af en uge pludselig kan blive nedgraderet til B eller C, fordi der eksempelvis er kommet et nyt angrebs-scenarie. Og derfor det noget, der skal holdes øje med.

Det er - naturligvis - ikke kun for syns skyld, at der skal være styr på sådan noget som sikkerheds-headere på serveren.

»Selvfølgeligt hjælper det mod forskellige former for angreb, men dermed ikke sagt, at hvis man ikke havde det, så kunne man lave de her angreb. Man kan have andre ting liggende bagved, som også kan stoppe de samme typer angreb.«

Flemming Nielsen fortæller, at en test som den, scanneren fra securityheaders.io laver, giver et hurtigt overblik over en del af sikkerheden på en side, men at der kan godt være andre tiltag i backend, som øger sikkerheden på knapt så synlige måder.

Nemt at sætte op, kompliceret at teste

Når alle dele et et site ikke bare kører med alle de headere, som Scott Helmes scanner tester for, så kan det måske hænge sammen med frygt for fejl.

I hvert fald fortæller Flemming Nielsen, at sikkerhedsheaderne i sig selv er nemme at indføre. Men det er vanskeligt at sikre sig, at de fungerer for alle brugere, der tilgår siden med forskellige browsere og styresystemer.

»Selve det at sætte headeren på er ikke så stor en opgave, men det at få testet det hele igennem og sikre sig, at det også fungerer, som man forventer, det er en større opgave.«

Flere ældre browsere understøtter eksempelvis x-frame, men ikke (content security policy), fortæller Flemming Nielsen.

»Vi skal jo supportere ældre versioner af browsere, det er nogle ældre versioner af Internet Explorer, hvor vi bruger x-frame.«

Flemming Nielsen fortæller, at det er en løbende vurdering i forhold til, hvor gamle browsere, en virksomhed som bankdata skal tillade i forhold til det sikkerhedsniveau, man gerne vil opretholde.

I den forbindelse kan gamle Android-telefoner, som ikke længere får opdateringer, også være et problem. Her er det ikke nok bare at have installeret en ny browser-app. En del af sikkerheden i forhold til den forbindelse, der oprettes til en server, ligger også i selve styresystemet, forklarer Flemming Nielsen.

»Der kan vi være nødt til at sige, at man simpelthen ikke kan bruge den telefon til at tilgå siderne med.«

Ifølge Flemming Nielsen kan det blandt andet være håndteringen af den krypterede TLS-forbindelse, der er afhængig af versionen af Android-styresystemet, og hvor Bankdata må sortere nogle telefoner fra.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
27. april 2018 kl. 13:26

Tror jeg må skuffe dig - har ikke noget glashus eller noget med banker at gøre, heldigvis.

9
26. april 2018 kl. 08:10

Husk også security headers på sppl.dk, timeline.360businesstool.com, <a href="http://www.360bt.dk">www.360bt.dk</a&gt;, 360erhvervsdata.dk,

Fedt at du gider hjælpe med at finde hullerne i osten. Vi har nu også fixet:

https://securityheaders.com/?q=https%3A%2F%2Ftimeline.360businesstool.com

sppl.dk, 360bt.dk og 360erhvervsdata.dk bliver fixet asap.

NB: "reject" er bedre end "quarantine".

Yes, men når/hvis det handler om levering af mails ønsker vi ikke at gå all-in fra den ene dag til den anden. Vi har derfor kørt med "report" i en længere periode og har nu skiftet til "quarantine", som vil blive skiftet til "reject" så snart vi er 100% sikre på at alt fungerer.

7
25. april 2018 kl. 17:33

Ved ikke hvad du hentyder til, men stikker man næsen frem...

6
25. april 2018 kl. 17:04

Er det bevist at du er anynom her på V2? Tør du vise "dine" domæner frem?

5
25. april 2018 kl. 15:10

Helt sikkert, men husk at services kan misbruges mod andre - også selvom ambitionen "et sted midt i mellem".

4
25. april 2018 kl. 15:09

Super - det var du ikke længe om (fra kommentar på v2.dk til fix). Husk også security headers på sppl.dk, timeline.360businesstool.com, www.360bt.dk, 360erhvervsdata.dk, etc. Kan se DNSSEC heller ikke er konfigureret ensartet. Men fedt at din WordPress er opdateret. NB: "reject" er bedre end "quarantine".

3
19. april 2018 kl. 09:24

Super professionelt svar fra Bankdata. Jeg håber at andre (både banker og alle andre der leverer ydelser på nettet) vil følge deres eksempel og løbende overvåge og forbedre sikkerheden i deres løsninger.

At levere ydelser på nettet vil altid være en opvejning af omkostninger (tid/penge) mod sikkerhed. IMHO burde banker være i "money no object" kategorien. Selv er vi "et sted midt i mellem", vi prøver at være "ok uden at være absolut duks"

2
19. april 2018 kl. 09:13

Jeg postede et billede på facebook, da vi selv var igang med at gennemgå vores hjemmesider og i den forbindelse "kiggede lidt rundt, for at se hvad andre gjorde". Siden har vi implementeret headers, så et check nu er lidt bedre:

https://securityheaders.com/?q=https%3A%2F%2Fwww.speople.dk

https://securityheaders.com/?q=https%3A%2F%2Fwww.360businesstool.com

Tak for dit "spark over benet" omkring vores DMARC opsætning. Vi har kørt med "p=none" længe for at "overvåge om alt er ok inden vi aktiverede". Din kommentar har medført at det nu er hævet til "p=quarantine". Det er jo det gode ved at få lidt "public shaming", det fører normalt til at man opper sig :-)

Hvad med dig "Henrik Knudsen" har din kommentar betydet at du overvejer at checke jeres opsætning?

1
18. april 2018 kl. 08:26

Sjovt nok så scorer begge Henrik Høyer's hjemmesider (https://www.360businesstool.com og https://www.speople.dk) selv kun 'F' på securityheaders.com - dvs. ingen af de nævnte HTTP headere er sat. Derudover har begge disse domæner en DMARC policy sat til 'none' - hvorfor ikke 'reject', der er vel ikke noget nemmere? Og sådan kan man blive ved...