‘SSL-beveiliging van de Belgische banken zo lek als een zeef’
Het SSL-encryptieprotocol dat de Belgische financiële instellingen gebruiken om de communicatie met hun klanten te beveiligen, is vaak zeer kwetsbaar. Dat ontdekte de Belgische securityblogger Yeri Tiete. ‘Het gevaar is reëel dat hackers meelezen of sessies kapen.’
SSL-encryptie wordt door miljoenen websites gebruikt voor de beveiliging bij online aankopen, financiële transacties en het versturen van persoonsgegevens. Bedoeling is dat alle informatie tijdens het transport vertrouwelijk blijft en niet leesbaar is door derden. Websites die over de SSL-beveiliging beschikken zijn herkenbaar aan het gesloten slotje en de https:// in de adresbalk. Uw bank gebruikt SSL-encryptie, maar ook Facebook en vele andere webplatformen doen het.
De Belgische securityblogger Yeri Tiete ontdekte enkele weken geleden dat de SSL-beveiliging bij het gros van onze financiële instellingen alles behalve in orde was. “Onze banken implementeren SSL op een slechte manier en talmen te lang met het doorvoeren van belangrijke bugfixes en updates”, vertelt de jongeman, “waardoor ze een vals gevoel van veiligheid creëren.”
“Zou het uit onwetendheid of uit luiheid zijn dat de banken hun beveiligingsproblemen niet beter opvolgen?”, vraagt Tiete zich af. “Hoe dan ook: als je https://-verbindingen kwetsbaar zijn, kunnen hackers probleemloos communicatiesessies tussen bank en klant meelezen, kunnen ze sessies kapen én kunnen ze naar hartenlust data aanpassen. En als je weet dat die https://-verbindingen eigenlijk de ‘voordeur’ zijn van een bank, dan begin je bijna te vrezen hoe erg het intern gesteld is.”
Tiete kwam de kwetsbaarheden op het spoor door gebruik te maken van de ‘SSL Labs’-test. Iedereen die dat wenst kan die online tool gebruiken om te checken in welke mate het SSL-encryptieprotocol van een organisatie goed geconfigureerd en up to date is. SSL Labs kent na een test een score toe. A+ is prima, B is zwak, en C tot F zijn slecht tot zeer slecht.
“Bpost, BNP Paribas, HelloBank!, ING, Record Bank en Bank van Breda scoorden allemaal slecht tot zeer slecht. Zelfs het Poodle-lek in SSL dat in september werd ontdekt , was bij die banken nog niet dichtgetimmerd. Poodle was misschien geen Heartbleed, maar zoiets zet je toch aan het denken. Want ook de security-experts bij de banken kunnen zo’n SSL Labs-testje uitvoeren.”
“Bpost en BNP Paribas Fortis hebben de voorbije twee weken trouwens hun SSL-configuratie in orde gebracht, allicht omdat ze op mijn blog gelezen hadden wat er aan de hand was, en ook Argenta is in actie geschoten, maar bij ING (F), Recordbank (F), HelloBank! (C) en bij Bank Van Breda (C) is het nog steeds huilen met de pet op. Ook Ogone is kwetsbaar (C). Dat is misschien geen bank, maar wel een belangrijke speler in het betalingsverkeer.”
Volgens de securityblogger aarzelen onze banken vaak bij het updaten van hun SSL-beveiligingsprotocol omdat ze er willen voor zorgen dat ook computers die nog draaien op het stokoude Windows XP of gebruik maken van Internet Explorer 6 hun toepassingen nog kunnen draaien.
“Ik begrijp dat ergens wel, maar als je op die manier voor compatibiliteit moet zorgen, stel je je wel heel erg kwetsbaar op. Er zijn betere manieren om dat te doen.”
Hieronder nog eens de huidige stand van zaken, na de SSL Labs test. Banken met een A zitten dus relatief safe, en de SSL van ING en Record Bank (met score F) is zo lek als een zeef.
Grade A
Rabobank (A+): no known issues. Support for HTTP Strict Transport Security and prevented downgrade attacks.
Triodos (A+): no known issues. Support for HTTP Strict Transport Security and prevented downgrade attacks.
Belfius (A-): weak signature (SHA1), no Forward Secrecy.
BNP Paribas Fortis: (A-) weak signature (SHA1), no Forward Secrecy.
bpost bank: (A-) weak signature (SHA1), no Forward Secrecy.
Grade B
Argenta: no SSL on main page.
internet banking: SSL3 (insecure), weak signature (SHA1), RC4 (insecure), no Forward Secrecy.
AXA: weak signature (SHA1), SSL3 (insecure), RC4 (insecure), no Forward Secrecy.
beobank: weak signature (SHA1), no TLS 1.2, RC4 (insecure), no Forward Secrecy.
CPH: no TLS 1.2, RC4 (insecure), no Forward Secrecy.
KBC: weak signature (SHA1), no TLS 1.2, no Forward Secrecy.
Keytrade Bank: weak signature (SHA1), RC4 (insecure).
Crelan: no SSL on main page.
internet banking: weak signature (SHA1), SSL3 (insecure), no TLS 1.2, RC4, no Forward Secrecy.
Grade C
Hello bank!: vulnerable to POODLE attack, weak signature (SHA1), RC4 (insecure).
Bank Van Breda: no SSL on main page.
internet banking: vulnerable to POODLE attack, weak signature (SHA1), no TLS 1.2, no Forward Secrecy, no support for secure renegotiation.
Ogone: payment facilitator
weak signature (SHA1), RC4, vulnerable to POODLE, no Forward Secrecy
Grade D
n/a
Grade E
n/a
Grade F
ING: vulnerable to POODLE attack, SSL3 (insecure), weak signature (SHA1), RC4 (insecure), no Forward Secrecy.
Record Bank: no SSL on main page.
internet banking: vulnerable to POODLE attack, RC4 (insecure), no Forward Sec
Update:ING heeft maandagvoormiddag gereageerd op dit bericht. De bank laat weten dat de gaten worden gedicht, en dat de veiligheid van de betaaltransacties niet in het gedrang kwam.
Ook Febelfin reageerde inmiddels op dit artikel met de boodschap dat ‘veiligheid een topprioriteit blijft voor Belgische banken’, enBank van Breda en Record Bank hebben te kennen gegeven hun beveiligingsscore te hebben opgekrikt.
Fout opgemerkt of meer nieuws? Meld het hier