Belgische banken hebben ssl-beveiliging niet op orde

[krisken]

Een aantal Belgische banken, waaronder ING, heeft de ssl-beveiliging van zijn websites niet goed op orde, zo blijkt uit resultaten van een scan door de online tool SSL Labs. Door de soms ondermaatse ssl-implementaties bestaat het risico dat hackers sessies kunnen kapen.

SSL Labs geeft een score aan de implementatie van het ssl-protocol: een A+ betekent dat een https-website voldoende beveiligd is, terwijl een F-beoordeling wijst op kwetsbaarheden. De securityblogger Yeri Tiete is alle Belgische banken nagelopen met behulp van de tool en stelt op basis daarvan dat de websites van Bpost, BNP Paribas, HelloBank!, ING, Record Bank en Bank van Breda een slechte tot zeer slechte beoordeling kregen. Hierdoor zijn de websites potentieel onvoldoende beveiligd. Zo zijn sommige sites kwetsbaar voor de Poodle-bug, een kwetsbaarheid in het ssl 3.0-protocol.

Bpost en BNP Paribas Fortis hebben inmiddels hun ssl-configuratie op orde hebben gebracht, maar ING, Recordbank, Hellobank en Bank van Breda zouden nog steeds slecht scoren. De belangrijkste Nederlandse banken komen overigens beter uit de test: Rabobank, Knab, ING en Triodos Bank scoren een A-, terwijl ABN Amro, ASN Bank, RegioBank, SNS Bank en Van Lanschot een B-score krijgen toegekend.

http://tweakers.net/nieuws/101397/belgi ... -orde.html

[raf1]

Bekend probleem natuurlijk. Bijna iedereen gebruikt verouderde SSL-technologie.
Userbase eens testen.
https://www.ssllabs.com/ssltest/analyze ... serbase.be

[ubremoved_539]

Eigenlijk kan je dit gewoon veralgemenen... websites hebben SSL-beveiliging niet op orde.

[krisken]

Jeej, vdk.be wel

[ubremoved_539]

Droevig is als banken zich ook nog belachelijk gaan maken... http://datanews.knack.be/ict/ing-veilig ... 33777.html

We benadrukken dan ook dat dit voor ons een absolute permanente topprioriteit is, en dat wij dit constant monitoren en verbeteren. In dit geval waren wij op de hoogte van de gevoeligheden en waren wij dit reeds enige tijd aan het opvolgen om de nodige stappen tot verbetering en verstrenging van onze veiligheidsmaatregelen te garanderen

Weak ciphers/protocols uitschakelen is op enkele minuten in orde... dus gaan beweren dat je dit constant monitored en gaat verbeteren is pure nonsens (die weak ciphers/protocols zijn er namelijk al jaren).

[meon]

De Standaard:
"Hacker stelt beveiliging banken op de proef: ING en Record Bank ondermaats"
"ING reageert op hacking van securityblogger"

... hacking? Serieus?
Iedereen kan de Qualys SSL-check toch gewoon online uitvoeren... https://sslcheck.globalsign.com/nl

[ubremoved_539]

Mmm... raar... ik krijg andere resultaten tussen de Globalsign en Qualys SSL check ?

Ondere andere SSL v3 wordt foutief gerapporteerd door de Globalsign controle.

[wimpie3]

Journalistiek is dit weer een toppertje... NOT! Wat ik mij dan zo vaak afvraag: wij weten als 'nerds' redelijk veel van informatica en merken makkelijk dit soort dingen op. Maar over hoeveel onderwerpen waar wij niets vanaf weten staan er ook zulke nonsens in de krant? Vermoedelijk meer dan we denken...

[thomasv]

Journalistiek is dit weer een toppertje... NOT! Wat ik mij dan zo vaak afvraag: wij weten als 'nerds' redelijk veel van informatica en merken makkelijk dit soort dingen op. Maar over hoeveel onderwerpen waar wij niets vanaf weten staan er ook zulke nonsens in de krant? Vermoedelijk meer dan we denken...

Ik vroeg het me ook af. Ik heb toch al lang het cert gecontroleerd van mijn eigen bank zeker? Dit lijkt me dus niet meteen nieuws te zijn.

En sommige zaken zijn zelfs niet eens moeilijk te configureren.

Via de Qualys SSL labs test haal ik een A voor mijn persoonlijke website
Overall Rating A
Certificate 100
Protocol Support 95
Key Exchange 90
Cipher Strength 90

Windows XP gebruikers en mensen met een stokoude IE browser ondersteun ik wel niet.

[Kenw00t]

De Standaard:
"Hacker stelt beveiliging banken op de proef: ING en Record Bank ondermaats"
"ING reageert op hacking van securityblogger"

... hacking? Serieus?
Iedereen kan de Qualys SSL-check toch gewoon online uitvoeren... https://sslcheck.globalsign.com/nl

Het woordgebruik is inderdaad gieren. Maar aangezien dit zowat alle kranten alsook het VTM Nieuws heeft gehaald was het vandaag blijkbaar geen probleem om de nodige fixes uit te voeren bij een paar banken. Het zal er deze week nog gezellig aan toe gaan in enkele meetings (imagoschade?).

Het triestige van de hele zaak is vooral dat hij er al een maand geleden mee begonnen is, er toen bijna geen kat luisterde, en ze vandaag toevallig ineens wakkerschieten nu de media er op springt...

[ITnetadmin]

Het trieste is vaak dat bij banken de volledige IT molen zo traag draait wegens vanalle papierwerk en andere vereisten dat dit soort dingen idd tijd inneemt, totdat het publiek wordt en een topman ergens zijn gewicht in de schaal legt om dit tot een "stop the presses" topprioriteit te bombarderen.

[ Post made via mobile device ]

[ubremoved_539]

Het trieste is vaak dat bij banken de volledige IT molen zo traag draait wegens vanalle papierwerk en andere vereisten dat dit soort dingen idd tijd inneemt

Hoeveel tijd heeft men dan nodig ? Het verwijderen van weak ciphers is reeds aanbevolen september 2010 !

Als vijf jaar niet genoeg is om je orde op zaken te hebben dan weet ik het niet meer maar wat mij betreft is dit pure nalatenschap

Uitspraken zoals...

We benadrukken dan ook dat dit voor ons een absolute permanente topprioriteit is, en dat wij dit constant monitoren en verbeteren. In dit geval waren wij op de hoogte van de gevoeligheden en waren wij dit reeds enige tijd aan het opvolgen om de nodige stappen tot verbetering en verstrenging van onze veiligheidsmaatregelen te garanderen

... zijn dan ook een regelrechte grap

[Stroper]

Ik (ING -klant) kreeg gisteren deze mail(ik dacht eerst nog dat het weer zo'n spam was om de "beveiliging" te updaten):

Geachte heer XXX,

Naar aanleiding van artikels in de pers begin deze week, willen wij u graag bevestigen dat wij ons ten volle bewust zijn van het belang van de veiligheid rond bankieren en het vertrouwelijk behandelen van uw gegevens. We benadrukken dan ook dat veiligheid voor ons een absolute topprioriteit is en dat wij deze constant opvolgen en verbeteren.

Maandag heeft ING België een update uitgevoerd om haar systemen voor internetbankieren nog beter te beveiligen. Door deze update, die al eerder was gepland, krijgt ING voor haar online beveiliging een A- score* van het beveiligingsbedrijf Qualys. Dat is de op een na hoogste score. Wij willen nogmaals beklemtonen dat de veiligheid van uw online betaaltransacties op geen enkel moment in het gedrang is gekomen.

Hebt u hierover nog vragen? Contacteer dan gerust uw gebruikelijke ING-gesprekspartner.

En dan in kleine quasi onzichtbare lettertjes eronder:

* Score gegeven door Qualys op basis van de SSL Server Test. Deze test maakt op een uniforme manier een analyse van verschillende beveiligingscomponenten van een website.

[Kenw00t]

De blogger heeft het lijstje al verschillende keren bijgewerkt. De meeste hebben ondertussen een inhaalbeweging gemaakt:
https://yeri.be/belgian-banks-ssl-part-4

[tonym]

Betreffende ING is er mogelijks nog een probleem ten gevolge van de hack van Gemalto: (Bron: Belga 20/02/15)

"Het online tijdschrift The Intercept meldde gisteravond dat de Amerikaanse spionagedienst NSA en de Britse
evenknie GCHQ inbraken bij het interne computersysteem van Gemalto. Het tijdschrift haalt daarvoor een intern
document uit 2010 van GCHQ als bron aan. Voorts is ook ING België een klant, bevestigt de woordvoerster.
De kaartlezer voor internetbankieren is van de hand van het Franse bedrijf.
De bank benadrukt dat veiligheid een topprioriteit is en dat er nog sprake is van een eventuele terugroep
van de kaartlezers. Ook Nederlandse banken ABN Amro en ING zijn klant bij de telecomleverancier. "