Det tager kun en halv time at lukke det - men efter 9 måneder har 11 banker stadig pinligt sikkerhedshul

OPDATERET 14:45 Selvom Version2 for mere end ni måneder siden informerede bankerne om den ringe krypto-sikkerhed på deres site, er hjemmesiderne stadig uddaterede.

Firmaet Bankdata leverer it-løsninger til i alt elleve banker, men har alligevel ikke styr på best practice, hvad angår krypteringssikkerhed. Derfor er bankerne blandt andet sårbare over for et såkaldt poodle-angreb, der kan bruges til at fuppe bankkunder til at indtaste logindata med mere.

Det sender et ekstremt dårligt signal om det generelle sikkerhedsniveau i bankerne, siger sikkerhedseksperten Jacob Herbst fra sikkerhedsfirmaet Dubex, og han bakkes op af chef for kryptologi-afdelingen på DTU Compute Lars Ramkilde Knudsen.

»Det er dovenskab, det der. Det skal de se at få opdateret, mere er der ikke at sige til det. Det skal være i orden,« konstaterer Lars Ramkilde Knudsen, da han bliver præsenteret for den test af banksiderne, Version2 har udført.

Det er den selvsamme test, Bankdata dumpede fælt i tilbage i december 2014:

Læs også: Danske netbanker sårbare overfor ny Poodle-angrebsteknik

Version2 har før påpeget poodle-hullet for en anden privat virksomhed. Da tog det godt en halv time at lukke det.

Kan lave falsk netbank

Poodle-hullet kan udnyttes til at udføre et Man In The Middle (MITM)-angreb. Det betyder, at man vil kunne oprette et falsk hotspot og få bankkunder til at koble sig op på det falske net for derefter at snyde den intetanende bankkunde over på en side, der til forveksling ligner kundens netbank.

Herefter kan 'manden i midten' blandt andet udføre et angreb mod kundens bankkonto i realtid, hvor han sidder på den rigtige bankkonto og indtaster de informationer og Nem-ID logins, offeret indtaster i hans falske vindue.

Læs også: Nyt sikkerhedshul i gammel webprotokol omgår kryptering

»Af de sikkerhedssvagheder, jeg kan finde på siderne, er poodle klart den værste, men generelt er krypteringen på siderne svagere, end den burde være,« siger Jacob Herbst og påpeger, at man alligevel sjældent ser angreb, hvis formål er at dekryptere kommunikationen, idet det trods alt er for besværligt overhovedet at bryde kryptering frem for at skaffe sig adgang på andre måder.

Alligevel undrer Jacob Herbst sig over, at hjemmesiderne ikke lever op til almen best practice. I dette tilfælde ville best practice være, at siderne praktiserede forward secrecy var kompatible med TLS 1.2 og ikke var direkte kompatible med SSL 3.0, som gør et poodle-angreb muligt.

»Hvad er det for en holdning, den her virksomhed (Bankdata, red.) har til sikkerhed? Hvorfor følger man ikke med og sørger for at holde siderne opdateret, og hvis man ikke gør noget så relativt simpelt som at holde styr på SSL, hvad gør man så på andre sikkerhedsområder?« siger Jacob Herbst.

Erkender nøl

Hos Bankdata indrømmer man, at det er gået trægt med at få styr på krypteringen siden Version2’s sidste henvendelse.

»Vi har hængt lidt i bremsen, det vil jeg godt erkende, og har vi et sikkerhedsproblem, så skal det naturligvis løses,« siger direktør for Bankdata Ove Vestergaard.

Ove Vestergaard afviser, at man generelt har en sløset holdning til sikkerheden hos Bankdata.

»Det er klart, at vi ikke ønsker at anvende software med kendte sikkerhedsfejl. Vi har en politik om, at vi gerne vil anvende den bedste software, og det er vi nu blevet bekendt med, at vi ikke gør,« siger Ove Vestergaard og tilføjer, at han ikke vidste, at poodle-hullet ikke var blevet lukket.

At bankerne ikke har rettet fejlen endnu, kommer ikke bag på Jacob Herbst:

»Jeg er sådan set ikke specielt overrasket. Bankmiljøet er et miljø, hvor tingene er statiske, og hvor der ikke er fokus på at holde sig opdateret.«

14:38: Bankdata har efterfølgende kontaktet Version2 og gjort os opmærksomme på, at det for Bankdata vil tage mere end en halv time at lukke poodle-svagheden, idet hele Bankdatas platform ifølge Ove Vestergaard skal flyttes

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Kirk

Man kan ikke nøjes med kun at understøtte TLS 1.2 da flere ældre klienter og en masse mobile platforme bliver hægtet af.

TLS 1.0 og bedre er derfor best practise.

Hvis Bankdata benytter Microsoft Webservere kan man på 5 minutter hente IISCrypto fra Nartac : https://www.nartac.com/Products/IISCrypto

Her behøver man kun klikke på 1 knap for at implementere best practise for HTTPS og certifikat udveksling og derefter genstarte computeren..

  • 3
  • 2
Martin Bay Pedersen

Lidt provokerende at skrive "Kilde: Screendump" under hoved-foto :)

Det svarer lidt til at jeg bruger tekst fra denne artikel og skriver "Kilde: copy/paste".

Er der nogen som kender den hjemmeside som "Screendump" er taget fra?

  • 4
  • 2
Martin Kirk

BTW... Hvis man har rodet lidt med HTTPS er man sikkert stødt på problemerne med SHA-1 som især er en udfordring hvis man har Windows Servere (dammit)

https://shaaaaaaaaaaaaa.com/

Chrome er begyndt at fejl-melde HTTPS sider som har SHA-1 certifikater eller har SHA-1 certifikater i deres Chain..

Problemet er dog størst hvis man benytter et gratis SSL Certifikat fra StartCOM / StartSSL som sine små-projekter.

Den konklusion jeg er kommet til med HTTPS er at man helst skal skifte væk fra RSA / SHA og over mod teknikker som er baseret på 'Elliptic Curve' -- Hvis da ellers NSA ikke har en bagdør implementeret i algoritmen (o_O)

det skal ikke være nemt at være Web-Admin

  • 2
  • 0
Povl H. Pedersen

SSLv3 er fuldt afskrevet. Det kan man godt slukke for.
TLS 1.2 har kompatibilitetsproblemer, kører ikke på WinXP / Server 2008 (uden R2), eller Android før 4.1.

Men fra sommeren 2016, så er TLS 1.2 minimumskrav for alle websites der er PCI ramte, så må man droppe gamle klienter hvis man vil gøre forretning med betalingskort. Så der er BankData nødt til at have styr på det.

TLS 1.2 er fra 2008, så det er en tussegammel standard.

  • 4
  • 0
Joe Sørensen

Synes lige det er på plads med lidt reklame.,

Let's encrypt er et projekt forsøger at gøre det så let som mulig at beskytte som hjemmeside med https. Den virker ved at du installere en lille service på din server. Denne kontrollere webserveren konfiguration ( hvis det er Apache eller Nginx ) og bestiller selv et certifikat og installere det, hvis den mangler. Der er ikke nogen grund certifikat requests og side validering. Det klarer servicen for dig.

Og du behøver heller ikke tænke på tls-1.0 til 1.2, SHA-256 og elliptisk kurve. Men det er selvfølgelig ikke et EV certifikat en bestiller.

https://letsencrypt.org/

  • 2
  • 0
Niels Langkilde

Nu har Bankdata formentlig mere end en enkelt MS IIS server kørende, så det er nok ikke kun et klik og 5 minutter efter er de oppe at køre TLS.
Når man har så mange web-servere har man load-fordelere etc, og her er det en smule mere kompliceret, og lidt mere der skal til før de er oppe på niveau.
At Bankdata så har haft forholdsvis længe til at implementere det, er en helt anden snak ;-)

Et argument med at man sorterer mange brugere med gamle browsere fra, holder ikke, da man skal have en rimelig ny browser for i det hele taget at benytte NemID.

  • 3
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize