ssl beveiliging ING.nl - Privacy en beveiliging

woensdag 29 oktober 2014 18:11

Acties:

... en 'Niets' van 'Alles' LOL

Topicstarter

https://www.security.nl/p...uidige+status+bankservers
dit artikel en mijn eigen verificatie:
Afbeeldingslocatie: http://i61.tinypic.com/2ldy3jp.jpg

blokkeren me van doen betalingen via ideal etc. Hebben jullie daar ook problemen mee?

Even nog een sslscan gedaan:
sslscan ing.nl | grep Failed

Failed SSLv3 256 bits ECDHE-RSA-AES256-GCM-SHA384
Failed SSLv3 256 bits ECDHE-ECDSA-AES256-GCM-SHA384
Failed SSLv3 256 bits ECDHE-RSA-AES256-SHA384
Failed SSLv3 256 bits ECDHE-ECDSA-AES256-SHA384
Failed SSLv3 256 bits SRP-DSS-AES-256-CBC-SHA
Failed SSLv3 256 bits SRP-RSA-AES-256-CBC-SHA
Failed SSLv3 256 bits SRP-AES-256-CBC-SHA
Failed SSLv3 256 bits DHE-DSS-AES256-GCM-SHA384
Failed SSLv3 256 bits DHE-RSA-AES256-GCM-SHA384
Failed SSLv3 256 bits DHE-RSA-AES256-SHA256
Failed SSLv3 256 bits DHE-DSS-AES256-SHA256
Failed SSLv3 256 bits ADH-AES256-GCM-SHA384
Failed SSLv3 256 bits ADH-AES256-SHA256
Failed SSLv3 256 bits ECDH-RSA-AES256-GCM-SHA384
Failed SSLv3 256 bits ECDH-ECDSA-AES256-GCM-SHA384
Failed SSLv3 256 bits ECDH-RSA-AES256-SHA384
Failed SSLv3 256 bits ECDH-ECDSA-AES256-SHA384
Failed SSLv3 256 bits AES256-GCM-SHA384
Failed SSLv3 256 bits AES256-SHA256
Failed SSLv3 256 bits PSK-AES256-CBC-SHA
Failed SSLv3 168 bits SRP-DSS-3DES-EDE-CBC-SHA
Failed SSLv3 168 bits SRP-RSA-3DES-EDE-CBC-SHA
Failed SSLv3 168 bits SRP-3DES-EDE-CBC-SHA
Failed SSLv3 168 bits PSK-3DES-EDE-CBC-SHA
Failed SSLv3 128 bits ECDHE-RSA-AES128-GCM-SHA256
Failed SSLv3 128 bits ECDHE-ECDSA-AES128-GCM-SHA256
Failed SSLv3 128 bits ECDHE-RSA-AES128-SHA256
Failed SSLv3 128 bits ECDHE-ECDSA-AES128-SHA256
Failed SSLv3 128 bits SRP-DSS-AES-128-CBC-SHA
Failed SSLv3 128 bits SRP-RSA-AES-128-CBC-SHA
Failed SSLv3 128 bits SRP-AES-128-CBC-SHA
Failed SSLv3 128 bits DHE-DSS-AES128-GCM-SHA256
Failed SSLv3 128 bits DHE-RSA-AES128-GCM-SHA256
Failed SSLv3 128 bits DHE-RSA-AES128-SHA256
Failed SSLv3 128 bits DHE-DSS-AES128-SHA256
Failed SSLv3 128 bits ADH-AES128-GCM-SHA256
Failed SSLv3 128 bits ADH-AES128-SHA256

Failed SSLv3 128 bits ECDH-RSA-AES128-GCM-SHA256
Failed SSLv3 128 bits ECDH-ECDSA-AES128-GCM-SHA256
Failed SSLv3 128 bits ECDH-RSA-AES128-SHA256
Failed SSLv3 128 bits ECDH-ECDSA-AES128-SHA256
Failed SSLv3 128 bits AES128-GCM-SHA256
Failed SSLv3 128 bits AES128-SHA256
Failed SSLv3 128 bits PSK-AES128-CBC-SHA
Failed SSLv3 128 bits PSK-RC4-SHA
Failed SSLv3 0 bits NULL-SHA256
Failed TLSv1 256 bits ECDHE-RSA-AES256-GCM-SHA384
Failed TLSv1 256 bits ECDHE-ECDSA-AES256-GCM-SHA384
Failed TLSv1 256 bits ECDHE-RSA-AES256-SHA384
Failed TLSv1 256 bits ECDHE-ECDSA-AES256-SHA384
Failed TLSv1 256 bits SRP-DSS-AES-256-CBC-SHA
Failed TLSv1 256 bits SRP-RSA-AES-256-CBC-SHA
Failed TLSv1 256 bits SRP-AES-256-CBC-SHA
Failed TLSv1 256 bits DHE-DSS-AES256-GCM-SHA384
Failed TLSv1 256 bits DHE-RSA-AES256-GCM-SHA384
Failed TLSv1 256 bits DHE-RSA-AES256-SHA256
Failed TLSv1 256 bits DHE-DSS-AES256-SHA256
Failed TLSv1 256 bits ADH-AES256-GCM-SHA384
Failed TLSv1 256 bits ADH-AES256-SHA256
Failed TLSv1 256 bits ECDH-RSA-AES256-GCM-SHA384
Failed TLSv1 256 bits ECDH-ECDSA-AES256-GCM-SHA384
Failed TLSv1 256 bits ECDH-RSA-AES256-SHA384
Failed TLSv1 256 bits ECDH-ECDSA-AES256-SHA384
Failed TLSv1 256 bits AES256-GCM-SHA384
Failed TLSv1 256 bits AES256-SHA256
Failed TLSv1 256 bits PSK-AES256-CBC-SHA
Failed TLSv1 168 bits SRP-DSS-3DES-EDE-CBC-SHA
Failed TLSv1 168 bits SRP-RSA-3DES-EDE-CBC-SHA
Failed TLSv1 168 bits SRP-3DES-EDE-CBC-SHA

Failed TLSv1 168 bits PSK-3DES-EDE-CBC-SHA
Failed TLSv1 128 bits ECDHE-RSA-AES128-GCM-SHA256
Failed TLSv1 128 bits ECDHE-ECDSA-AES128-GCM-SHA256
Failed TLSv1 128 bits ECDHE-RSA-AES128-SHA256
Failed TLSv1 128 bits ECDHE-ECDSA-AES128-SHA256
Failed TLSv1 128 bits SRP-DSS-AES-128-CBC-SHA
Failed TLSv1 128 bits SRP-RSA-AES-128-CBC-SHA
Failed TLSv1 128 bits SRP-AES-128-CBC-SHA
Failed TLSv1 128 bits DHE-DSS-AES128-GCM-SHA256
Failed TLSv1 128 bits DHE-RSA-AES128-GCM-SHA256
Failed TLSv1 128 bits DHE-RSA-AES128-SHA256
Failed TLSv1 128 bits DHE-DSS-AES128-SHA256
Failed TLSv1 128 bits ADH-AES128-GCM-SHA256
Failed TLSv1 128 bits ADH-AES128-SHA256
Failed TLSv1 128 bits ECDH-RSA-AES128-GCM-SHA256
Failed TLSv1 128 bits ECDH-ECDSA-AES128-GCM-SHA256
Failed TLSv1 128 bits ECDH-RSA-AES128-SHA256
Failed TLSv1 128 bits ECDH-ECDSA-AES128-SHA256
Failed TLSv1 128 bits AES128-GCM-SHA256
Failed TLSv1 128 bits AES128-SHA256
Failed TLSv1 128 bits PSK-AES128-CBC-SHA
Failed TLSv1 128 bits PSK-RC4-SHA
Failed TLSv1 0 bits NULL-SHA256

nog extracheck;

openssl s_client -connect ing.nl:443 -cipher LOW:EXP
CONNECTED(00000003)
3073746620:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:770:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 119 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Kan ik aan mijn kant meer doen om de ssl-verbinding veilig te maken behalve ssl.v3 en RC4 uitzetten in browser?

[ Voor 0% gewijzigd door digidokter.net op 29-10-2014 18:12 . Reden: del ]

Verstand van 'Alles' van 'Niets'

woensdag 29 oktober 2014 20:03

Acties:

Verwijderd

In het andere topic waar de discussie wordt gevoerd over Avast HTTPS scanner komt naar voren dat FF eerder kiest voor een 128 bit sleutel dan een 256 bit sleutel ook al wordt die laatste aangeboden. Ik kan er echter weinig van vinden zo snel op Google.

Vanaf: TomAtTweakers in "[Virusscanners] Discussietopic deel 4"

[ Voor 14% gewijzigd door Verwijderd op 29-10-2014 20:09 ]

woensdag 29 oktober 2014 20:15

Acties:

digidokter.net

... en 'Niets' van 'Alles' LOL

Topicstarter

@ChicaneBT wil je me zeggen dat mijn scansoftware calomel de 128bits sleutel forceerd zoals avast en ik het zonder calomel moet proberen? Hoe kan ik dan zien welke sleutel hij gebruikt als ik calomel uitzet?

Verstand van 'Alles' van 'Niets'

woensdag 29 oktober 2014 20:33

Acties:

Verwijderd

Nee, dat wil ik niet zeggen. Ik twijfel of het iets met Firefox te maken kan hebben. Ik heb me er eigenlijk nog onvoldoende in verdiept. Misschien kiest FF eerder een 128 bit sleutel dan een 256 bit sleutel.

begintmeta schreef op woensdag 29 oktober 2014 @ 10:38:
Chrome en Firefox pakken kennelijk eigenlijk standaard liever 128bits AES terwijl Safari en Internet Explorer eerder voor de 256bits versies gaan.

Als reactie daarop wordt dit geschreven. Waardoor het er weer op lijkt dat het echt aan Avast lag en Firefox gewoon de 256 bit sleutel pakt.

TomAtTweakers schreef op woensdag 29 oktober 2014 @ 15:06:
[...]

Zo te zien heb je gelijk. Wel is het zo dat wanneer ik HTTPS scanning uitschakel, Firefox op de websites die dat ondersteunen, weer meteen 256 bit keys neemt.

Ik zie trouwens dat Calomel wel zegt dat de 256 bit cipher suite wordt gebruikt dus dat is niet het probleem. Ik kende de plugin ook niet, maar ik zie dat het enkel de situatie analyseert en verder niets toevoegt qua beveiliging.

[ Voor 8% gewijzigd door Verwijderd op 29-10-2014 20:36 ]

woensdag 29 oktober 2014 20:38

Acties:

digidokter.net

... en 'Niets' van 'Alles' LOL

Topicstarter

Ik zie trouwens dat Calomel wel zegt dat de 256 bit cipher suite wordt gebruikt dus dat is niet het probleem. Ik kende de plugin ook niet, maar ik zie dat het enkel de situatie analyseert en verder niets toevoegt qua beveiliging.

klopt maar ken je addons die wel iets toevoegen aan beveiliging behalve dan analyses?

Verstand van 'Alles' van 'Niets'

woensdag 29 oktober 2014 20:42

Acties:

Verwijderd

Ik snap niet waarom je een weak warning krijgt. Als ik kijk bij SSL Labs dan krijgt ing.nl een A- (goede score): https://www.ssllabs.com/s...246.163.87&hideResults=on

woensdag 29 oktober 2014 20:58

Acties:

digidokter.net

... en 'Niets' van 'Alles' LOL

Topicstarter

reactie van mijn provider:

Ik begrijp dat uw vraag over de website van ING gaat en niet over de app. Maar de beveiliging daar berust niet op SSL., maar ook op het SRP protocol.

http://www.mountknowledge...-bankieren-authenticatie/

"Het authenticatie protocol ziet er goed doordacht uit. Er wordt niet vertrouwd op SSL of TLS. In plaats daarvan gebruikt ING een extra encryptielaag waarvoor het wachtwoord wordt afgesproken via het SRP protocol. Ook genereert elk mobiel device een eigen profileId en een public/private sleutelpaar."

http://srp.stanford.edu/whatisit.html

Het zou dus interessant zijn om te weten of de beveiliging van de website van ING ook gebruik maakt van andere beveiligingsmechanismen naast SSL. Dat kan SRP zijn, maar is misschien iets anders. Als er voor de veiligheid niet gebruik wordt gemaakt van SSL kan dit de reden zijn waarom Calomel de beveiliging via SSL zo'n slechte beoordeling geeft.

Met vriendelijke groet

Verstand van 'Alles' van 'Niets'

woensdag 29 oktober 2014 21:12

Acties:

digidokter.net

... en 'Niets' van 'Alles' LOL

Topicstarter

https://www.security.nl/p...+Mobiel+Bankieren+app+ING
Volgens mij maakt de site ook gebruik van SRP maar ik kan er weinig over vinden...:(

Verstand van 'Alles' van 'Niets'

woensdag 29 oktober 2014 21:36

Acties:

Thralas

Je voorzichtigheid is lovenswaardig, maar ik zou je toch sterk willen aanraden om je niet al te veel zorgen te maken over theoretische kwetsbaarheden in SSL.

Ook nu wordt er weer te pas en te onpas 'paniek' gezaaid, waarbij SSL/TLS vulnerabilities uit hun verband worden getrokken en gepresenteerd worden als kritieke problemen voor alledaagse gebruikers, terwijl de paniekzaaier zelf nog niet de minste kennis bezit (over cryptografie in het algemeen, en specifieke vulns) om dit soort issues globaal op waarde te kunnen schatten.

Bezit je die kennis wel, en weet je het geheel in de juiste context te bekijken (bankingfraude) dan kom je al snel tot de conclusie dat vulnerabilities als POODLE in deze irrelevant zijn en er bovendien een hoop non-SSL/TLS-kwesties zijn die een stuk zorgelijker zijn.

paranoia68 schreef op woensdag 29 oktober 2014 @ 21:12:
Volgens mij maakt de site ook gebruik van SRP maar ik kan er weinig over vinden...:(

Nee.

woensdag 29 oktober 2014 23:24

Acties:

digidokter.net

... en 'Niets' van 'Alles' LOL

Topicstarter

@thralas dus ze maken van een muis een olifant? of een storm in glas water? Maar is hetniet als een firewall of virusscanner nemen voor je eigen veiligheid? Je weet dat je op allerlei gebieden kan worden aangevallen cq besmet. Waarom zou je dan je communicatie niet (bulletproof) maken?
Al die info over ssl1, ssl2 en ssl3 die onveilig zijn. Headbleedbug etc. maken sommige mensen "gek". Maar als je aan je controlesystemen ziet dat je op een slechte verbinding zit (calomel, cipherfox)

Als ik mijn analyse-scans niet serieus moet nemen, waarom heb gebruik ik ze dan?
Maar omdat je zoveel info hebt en het niet kan relativeren wordt je wel paranoia!

Natuurlijk is alles natte vingerwerk want banken geven hun beveiligingsinfo niet graag vrij (openbaar) ivp hacken etc. Dus baseer je grotendeels op theoretische hypotheses.

Maar mijn gebruik van internetbankieren met de kennis die ik heb blijft beperkt. Ik zal ook nooit op smartfone bankieren....

Verstand van 'Alles' van 'Niets'

donderdag 30 oktober 2014 08:42

Acties:

Jester-NL

... pakt een botte bijl

Calomel is een leuke tool, maar nou niet de eerste waar ik op vertrouw. Ik haal de site in kwestie veel liever even door SSLlabs (zoals boven is gedaan).
De uitkomst daarvan is (in mijn ogen) een stuk duidelijker.

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

donderdag 30 oktober 2014 17:28

Acties:

digidokter.net

... en 'Niets' van 'Alles' LOL

Topicstarter

https://www.ssllabs.com/ssltest/analyze.html?d=mijn.ing.nl

De uitkomst daarvan is (in mijn ogen) een stuk duidelijker.

je hebt gelijk, ik ben tevreden en gerustgesteld en kan het relativeren.

@admin kan slotje op!

Verstand van 'Alles' van 'Niets'

Pagina: 1

Reageer