25 juli 2008

Banken bieden online access tot bankrekeningen en andere diensten omdat het aanzienslijk scheelt in de kosten voor personeel en afhandeling. Klanten vinden het prettig omdat ze hun zaken kunnen afhandelen op het moment en de plaats die ze gemakkelijk vinden. Maar het toegenomen financiele verkeer heeft ook criminelen aangetrokken en banekn moeten alle zeilen bijzetten om hun sites te beveiligen en hun gebruikers te beschermen van phishing-aanvallen. De nep-e-mail die de Postbank trof deze week is er een voorbeeld van. Een slechte, dat wel, want het Nederlands was dermate slecht dat iedereen die die mail ontving al bij eerste oogopslag zou moeten weten dat die mail niet van een Nederlandse bank afkomstig kon zijn. Maar goed, het gaat om het feit dat criminelen de naam van de bank gebruiken voor criminele doeleinden. Een nieuw onderzoek (gepresenteerd op het Symposium on Usable Privacy and Security) geeft aan dat 'the web sites of major financial institutions continue to suffer from basic design flaws that make it difficult for their users to determine whether a given action is secure'. Drie onderzoekers van het Computer Science and Engineering Lab van de University of Michigan (Laura Falk, Atul Prakash en Kevin Borders) gebruikten een script die het commando wget gebruikte (een commando dat alle delen van een website downloaden die niet wachtwoord-beveiligd zijn) en lieten dit los op de servers die 214 verschillende websites van banken bevatten.

Toen deze waren gedownload voerden de onderzoekers een automatische analyse uit om ontwerpfouten te identificeren die de veiligheid van deze websites kunnen bedreigen. Waar nodig voerden de onderzoekers een handmatige controle uit. De analyse richtte zich niet in eerste instantie op veiligheidslekken, maar eerder op ontwerpprakrijken die gebruikers kwetsbaar maken voor aanvallen. 'Design ?aws differ from typical software bugs that can be fixed by applying patches. Design ?aws are a result of decisions made during the website design phase, such as how to implement security features. These design decisions promote insecure user behavior', zo schrijven de onderzoekers. Falk lichtte nader toe: 'For example, nearly 30 percent of the sites we examined performed a break in the chain of trust. Specific financial activities required that the user be sent to a site run by a different company, meaning they were no longer interacting with the original domain; in many cases, a different security certificate was required. In 17 percent of these cases, there was no warning that this would occur'. Ongeveer de helft van de sites vereisten login-informatie op een onveilige pagina. 'The information was typically sent using JavaScript that invoked a secure SSL connection, but the user had no indication of this, a practice that promotes a casual approach to security. Over a quarter of the sites had poor policies on the username/password combination. Some accepted short, insecure passwords. Others either accepted or defaulted to easily obtained usernames, such as e-mail addresses or Social Security numbers', vervolgt Falk. Veel sites gaven onveilige toegang tot kritieke informatie. Sommigen stuurden zelfs kritieke informatie, zoals wachtwoordveranderingen, via e-mail. Andere banken plaatsten details over hun beveiligingspraktijken en telefoonnummers voor contact op onveilige pagina's. Net zoals phishing e-mails gebruikers naar nep-websites kunnen sturen, kunnen deze pagina's worden aangepast om gebruikers valse telefoonnummers te laten gebruiken, waardoor criminelen persoonlijke informatie kunnen verwerven. Ongeveer 25 % van de sites was 'security proof', terwijl 70 % twee of meer problemen vertoonde. De onderzoekers stellen dat 'these problems can largely be corrected simply by ensuring that institutions are made aware that these practices create risks, and action has to be taken at the design stage'. Elk van de instellingen is dan ook op de hoogte gesteld van de conclusies. Het feit dat het onderzoek plaatsvond aan het eind van 2006 heeft de instelloingen voldoende tijd gegeven de problemen aan te pakken. Een vervolgonderzoek zou kunnen aantonen of de betrokken instellingen hun verantwoordelijkheid genomen hebben om hun klanten te beschermen.