Waarom poedels geen excuus meer zijn voor banken ...
Opschudding dit weekend. De "Mainstream IT Media" ontdekt wat iedereen al lang wist, en waar Yeri Tiete al weken over blogt: Belgische banken zijn niet van de snelste in het implementeren van IT changes, en al helemaal niet in IT security changes die ze niet zien.
Concreet zijn heel veel online banking sites niet meer "veilig", volgens de standaarden waarin we in 2015 leven: na Heartbleed, Poodle, CRIME en andere aanvallen op de "s" in https, zijn (Belgische) banken doorgaans traag, bijzonder traag, om de beveiliging van hun sites op te krikken.
In De Standaard van vandaag, verdedigt Yeri de banken:
Volgens de securityblogger aarzelen onze banken vaak bij het updaten van hun SSL-beveiligingsprotocol omdat ze er willen voor zorgen dat ook computers die nog draaien op het stokoude Windows XP of gebruikmaken van Internet Explorer 6 hun toepassingen nog kunnen draaien.
Maar dat is een drogreden. Ja, het klopt dat gebruikers die Windows XP gebruiken, met Internet Explorer 6, enkel SSLv2 en SSLv3 kunnen gebruiken, en niet de "modernere" (in hoeverre kan je een protocol dat in 1999 ontwikkeld is, nog "modern" noemen?) TLS v1, laat staan de nog moderene TLS varianten.
Een bank zou moeten veiligheid laten voorgaan op mensen met verouderde, en onveilige browsers en besturingssystemen! Vooral omdat de enige manier dat je die paar gebruikers met stokoude browser kan blijven ondersteunen, is om het ook voor gebruikers met een recente browser, onveilig te maken. Ik riskeer inbraken en diefstal bij mijn bank, omdat de bank het toegankelijk wil houden voor klanten met onveilige en oude systemen.
En dat vind ik niet alleen, dat vinden ook Visa, Mastercard, American Express en co. Als je een webshop hebt, en je wil creditcard betalingen op je website aanvaarden, kan je dat proces ofwel outsourcen (naar Ogone bv), of je kan zelf de betalingen aanvaarden. In alle gevallen (ook als je het outsourcet), moet je je houden aan de PCI DSS regels.
In de laatste nieuwsbrief staat heel duidelijk dat SSLv3 (de heel oude standaard die nodig is om https correct te laten werken op Internet Explorer 6) niet meer veilig is, en niet meer mag gebruikt worden. Laat je het wel toe als webshop, ben je in overtreding met die regels, en kunnen de creditcard-maatschappijen je schrappen, je weigeren om nog transacties te laten doen, of zelfs je aansprakelijk stellen voor schade als er ooit via jouw site gegevens gestolen worden.
Als VISA, MC en AmEx het al niet meer veilig vinden voor gebruik op een webshop, welk excuus heeft een bank dan nog om het wel toe te laten voor haar web-banking?
Shame on you, beste banken ...
Oh en als we toch aan een rondje "name en shame" bezig zijn, ook de centrale eID authenticatie server voor de federale overheid, die je onder meer gebruikt voor je Tax-On-Web aangifte, zit achter een bijzonder onveilige server: idp.iamfas.belgium.be krijgt een F, de laagst mogelijke score, op de SSLScan test van SSL Labs...
Member discussion