Danske netbanker sårbare overfor ny Poodle-angrebsteknik

Flere netbank-løsninger indeholder en sårbarhed, der i princippet gør det muligt for en angriber at overtage login-sessionen. Ekspert kalder situationen alvorlig.

Adskillige danske netbanker er sårbare over for et angreb, der i princippet gør det muligt for en angriber at overtage sessionen og dermed tilgå netbanken på brugerens vegne. Det drejer sig om en ny version af poodle-sårbarheden, der oprindeligt blev afdækket i oktober i år.

It-sikkerhedsekspert Peter Kruse fra CSIS kalder den nye sårbarhed for alvorlig, dog ikke kritisk, da visse omstændigheder skal være på plads, før sårbarheden kan udnyttes. Dermed er angrebet ikke mere trivielt end som så. Angriberen skal således have adgang til forbindelsen mellem offeret og eksempelvis en hjemmeside med en netbank eller en web-mail for at kunne overtage sessionen.

Læs også: Nyt sikkerhedshul i gammel webprotokol omgår kryptering

»Vi betragter den som værende alvorlig, men ikke kritisk. man skal kunne placere sig selv mellem en klient og en sårbar server for at kunne udnytte det,« siger Peter Kruse.

Angrebet kan eksempelvis foregå ved offeret kobler på et wifi-hotspot, som angriberen kontrollerer. Herefter får angriberen klienten til at sende forespørgsler til en webserver, hvilket i sidste ende muligt for angriberen at gætte sig frem til indholdet af den cookie, som webserveren bruger til at identificere klienten ud fra.

På den måde vil angriberen principielt kunne tilgå webserveren - eksempelvis en netbank - på vegne af ofret.

»Det er selvfølgeligt noget, vi har anbefalet banksektoren at kigge på, så de ikke længere er modtagelige,« siger Peter Kruse.

Fejlimplementering

Den tidligere udgave af Poodle-angrebet er rettet mod en sårbarhed i SSL 3-protokollen, der bruges til at skabe krypteret kommunikation til en server.

Det er en ældre protokol, som mange browsere - i hvert fald på det tidspunkt i oktober - stadig understøttede med bagudkompatibilitet for øje. For at udnytte SSL 3-Poodle-sårbarheden er det dog først nødvendigt for angriberen at narre klienten og serveren til at bruge SSL 3 i stedet for den mere sikre TLS-protokol. Det skulle kunne lade sig gøre ved at introducere kommunikationsfejl i forbindelsen.

Poodle SSL 3-angrebet er muligt som følge af en fejl i protokollen, hvor der ikke stilles krav til formatet af visse dele af datapakkerne. En løsning på det problem kan være helt at fjerne understøttelse af SSL 3 i webbrowseren eller på web-serveren. Mozilla, der står bag Firefox, valgte netop på den baggrund at fjerne SSL 3 understøttelse fra browseren.

Den nye Poodle-sårbarhed, der kom frem i sidste uge, er rettet mod den nyere og aktuelle TLS-protokol. Her er der ikke længere tale om en fejl i selve protokollen, men om en fejlimplementering af den. Altså noget der kan fikses. Og den fejlimplementering lader flere danske netbanker, herunder en del af de løsninger, som netbanks-leverandøren Bankdata, står bag, at lide under. Bankdata leverer blandt andet til de store danske banker Sydbank og Jyske Bank.

Bankdata: Igen igang

Version2 har på baggrund af en henvendelse fra en læser testet flere netbank-løsninger op mod scannings-portalen fra Qualys kaldet SSL Labs. Og her får de testede Bankdata-løsninger bundkarakteren F, netop fordi de er sårbare over for Poodle-TLS-angrebet, som Qualys også beskriver nærmere på en blog.

Direktør i Bankdata Lene Weldum er overrasket over, at høre om sårbarheden.

»Jeg var umiddelbart lidt overrasket over din melding, idet jeg vidste, at vi faktisk havde iværksat løft af vores løsninger fra SSL V3, som var sårbar overfor poodle, til TLS. Men det illustrerer meget godt, at sikkerhed til enhver tid er og vil være et kapløb. For vores sikkerhedsteam fik i sidste uge besked om, at også TLS-protokollen – i visse versioner/implementeringer – er konstateret sårbar overfor Poodle. Så vi er – igen – igang med et løft,« skriver Bankdata-direktøren i en mail og fortsætter:

»Nu er det jo heldigvis (og naturligvis) således, at vi har bygget en del værn rundt om og ind i vores løsninger, så at vi har en opgave med at løfte os til den nyeste version af TLS, er ikke ensbetydende med, at man kan tilgå vores løsninger uhindret. Men vi har selvsagt en politik om, at vi ikke ønsker at anvende software med kendte sårbarheder, så vi må igang igen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Esben Laursen

Hvorfor skulle det være anderledes end alle de andre. for i øvrigt så får netbank.nordea.dk også "F" for samme fejl..

https://www.ssllabs.com/ssltest/analyze.html?d=netbank.nordea.dk

Det er dog positivt at nemlog-in.dk faktisk får et "B", det er jo nærmest uhørt godt i forhold til så meget andet med NemId..

https://www.ssllabs.com/ssltest/analyze.html?d=nemlog-in.dk

-- Esben

  • 2
  • 0
#2 Søren Jensen

Det kan godt være at min google-evner ikke virker i dag, men det virker som om alle kilderne til Poodle-TLS buggen henviser til Qualys' hjemmeside hvor de sjovt nok har et analyse værktøj til at undersøge om siderne har en fejl.

Kan nogen oplyse mig om en bedre kilde og evt hvilke versioner af os/software som er ramt?

  • 0
  • 0
#3 Mads Bendixen

IE6 har SSL3 enabled som default, men ikke højere. Den understøtter TLS1.0, men det skal man aktivt slå til. Det står endda på fejlsiden man får, hvis man besøger en webserver der understøtter TLS1.0, men ikke SSL3. IE7+ har TLS1.0 enabled som default. Jeg ved ikke hvordan det hænger sammen for Chrome, Firefox mm.

https://www.openssl.org/~bodo/ssl-poodle.pdf

  • 1
  • 0
#4 Marcus Møller

Uanset hvad man gør vil der altid være en erfaren hacker der kan bypasse alverdens sikkerhedsløsninger. Sådan er det med internettet, der vil næsten altid være en vej rundt om en sikkerhedsløsning.

Det ved Bankdata også og for den sags skyld andre firmaer der opretter netbank. Det er også en af grundene til at der findes nøglekort. Sagen er den at selv hvis en person skulle få adgang til netbanken, kan de ikke gøre andet en at se hvad der står på kontoen uden at have adgang til nøglekortet.

  • 1
  • 1
#9 Brian Simonsen

Jeg har netop støvet min gamle WG54 router med tomato firmware af. Routeren har været slukket et par måneder og var indstillet til kun at tillade administration via https. Dette resulterede i at jeg var nødt til at boote en gammel winXP med en gammel firefox på for at kunne logge ind i routeren. Alle (FF, Chrome og IE) opdaterede browsere jeg forsøgte med nægtede pure at lave fallback til SSL v3 (der åbenbart er det tomato firmwaren benytter).

  • 1
  • 0
Log ind eller Opret konto for at kommentere