Hovedformålet med denne testen er å undersøke hvilke nettbanker som benytter seg av sikkerhetsmekanismen «HTTP Strict Transport Security» (HSTS).
Dette er HSTS
HSTS er en mekanisme der webservere kan instruere nettlesere om at nettsidene kun skal aksesseres over TLS (Wikipedia.no: «Transport Layer Security (TLS og dens forgjenger Secure Sockets Layer SSL er kryptografiske protokoller som tilbyr sikker kommunikasjon på Internett for nettlesing, e-post, lynmeldinger og andre dataoverføringer. Det er små forskjeller mellom SSL og TLS, men de er hovedsakelig like»).
Dette for å forhindre SSL-stripping angrep, der broen fra ikke-TLS til TLS angripes. Datagrunnlaget av banker er hentet fra Wikipedia-listen over norske banker.
Fra lista plukka jeg alle forretningsbanker med konsensjon per. 10. februar 2015, og de 17 sparebankene med mest forvaltningskapital.
Annonse
To overraskelser!
Jeg gjorde et Google-søk på alle banknavn i et Chrome incognito-vindu. Banker med TLS har Adwords-kampanjer med TLS-lenker.
Alle Google-resultater er oppført med TLS-lenker til bankenes websider, bortsett fra to banker:
- Netfonds Bank ASA
- Nordea Bank Norge ASA (!!!)
Begge nettbanker leverer TLS-lenker først når kunder skal logge inn. Ingen benytter seg av HSTS.
Målrettede angrep mot Netfonds- og Nordea-kunder vil være relativt enkelt å utføre med lokal nettverk-tilgang.
Resultater
Testen er utført 28. august 2016.
Av 34 banker er det 17 som ikke bruker HSTS:
- BN Bank ASA
- Gjensidige Bank ASA
- KLP Banken AS
- Komplett Bank ASA
- Landkreditt Bank AS
- Netfonds Bank ASA
- Nordea Bank Norge ASA
- OBOS-banken ASA
- Pareto Bank ASA
- Santander Consumer Bank AS
- Easybank
- yA Bank AS
- Sparebanken Møre
- Sparebanken Øst
- Sparebanken Sør
- Sparebanken Sogn og Fjordane
- Helgeland Sparebank
Nettbanker burde skru på HSTS
I et SSL-stripping angrep blir https-lenker omformet til HTTP-lenker. En angriper proxier ut mot den ekte nettbanken og leverer http-svaret til offeret.
Ofre vil ane ingen fare med mindre de registrerer at TLS-padlocken mangler i URL-en.
Kuriositeter
Nesten alle bankene har en max-age=31536000 som er 365 dager. Max-age angir i antall sekunder hvor lenge nettlesere skal følge HSTS.
Kun BN Bank ASA har en lavere max-age på 2592000 som er 30 dager. Fire av bankene har en max-age=-12221117.
Faktisk er alle max-age forskjellig men de er bare 3-7 sekunder forskjellig. RFC6797 sier at nettleseren skal forkaste den når den ikke passer til den definerte grammatikken.
Disse fire bankene har feilkonfigurert max-age til å være negativ:
- Bank2 ASA
- Voss Veksel- og Landmandsbank ASA
- Sandnes Sparebank
- Totens Sparebank
Etter å ha gjort et nytt søk viser det seg at disse max-agene går lavere og lavere for hvert sekund som går.
Fire DNS-oppslag viser at alle domenene resolver til IP-addressen 94.246.120.87 som eies av Eika Gruppen (tidligere Terra-gruppen AS).
Reproduksjon
Last ned programvare:
- PHP
- Composer (Dependency Manager for PHP)
- https://github.com/dvikan/nettbank-sikkerhets-test-2016
Eksekver:
php composer.phar install
php checkHSTS.php > /tmp/results
grep ", no" /tmp/results
Epilog
Chome har en innebygd forhåndslastet liste med domener som skal følge HSTS. Ingen av nettbankene i denne testen er forhåndslastet.
Jeg fant kun én bank på lista og det var Monobank. Navnet står i stil.
Annonse
