Om veilig te Internet Bankieren moeten we gebruik maken van de Apps van de Bank, maar ja waarom eigenlijk.
Hier leg ik uit waarom dat dit belangrijk is.
Hoe werkt een App?
Bij het bouwen van een App wordt er van allerlei code gebruikt om het gewenst resultaat te krijgen. Mocht het resultaat klaar zijn dan kun je middels een handtekening zorgen dat de inhoud niet meer ongemerkt gewijzigd kan worden, deze handtekening wordt gezet met een Code Signing certificaat. Wanneer een Bank een App laat ontwikkelen, wordt deze App ook netjes ondertekend. Het is niet mogelijk om als kwaadwillende deze App open te maken en aan te passen, zonder dat bijvoorbeeld de computer/telefoon dit merkt. Wat je misschien wel zou verwachten is dat een kwaadwillende een nieuwe App maakt met dezelfde naam en zijn eigen handtekening, en daarmee de originele overschrijft of update. Dit laatste kan niet omdat een computer/telefoon de handtekeningen vergelijkt en constateert dat dit geen update is, maar een nieuwe App. Het enige wat je dus hoeft te doen is een App te installeren van de Bank zelf en nooit kiezen voor een alternatief. De handtekening van de App wordt door de gebruikt App Store netjes weergegeven en gecontroleerd.
Hoe zit dat nou met dat groene balkje?
Het balkje in je browser wordt groen omdat er een Extended Validation certificaat is gebruikt. Wanneer men een “gewoon” certificaat aanvraagt, wordt er simpelweg gecontroleerd of de aanvrager van het certificaat ook de houder van die naam op Internet is. Dit gebeurt al op een redelijk doordachte manier, aangezien de aanvrager van het certificaat geen contact gegevens hoeft te verstrekken dit wordt namelijk opgevraagd bij de Domain Registratie Provider. Bij een Extended Validation certificaat wordt er niet alleen gekeken of deze gegevens kloppen maar ook of dit bedrijf bekend is. Alle gegevens van het bedrijf moeten overeenkomen met de aanvraag. Een bedrijf met de naam “FricandellenBank NV” krijgt geen certificaat voor “FricandellenBank N.V.”, hetzelfde geldt voor contactpersonen en dergelijke. Er zijn zelfs voorbeelden waarbij er op hoofdletters gelet werd.
Dan kan een kwaadwillende toch ook zo’n certificaat aanvragen…
Jazeker, maar het nadeel voor hem is dat dan ook alles van hem gecontroleerd en dus bekend is. Mocht dit certificaat bij een fraude betrokken raken, dan wordt als eerste het certificaat ongeldig verklaard en vervolgens weet men precies wie en waar men iemand aan moet spreken. Het ontdekken van een fraude zaak gebeurd redelijk snel, dat betekent dat honderden/duizenden personen voor de gek houden erg lastig zal worden en zeker om dan niet gepakt te worden.
Maar een Certificaat kun je toch ook zelf maken.
Het klopt dat je zelf een Certificaat kunt maken. Maar dat mooie groene kleurtje dat lukt dan weer niet. Een Certificaat maak je door een Certification Authority te bouwen of je gebruikt een klein programmatje om een enkel Certificaat te maken, maar dit laatste is vaak alleen weggelegd voor de gevorderde collega’s. Als je een Extended Validation Certification Authority wil bouwen, zijn er heel veel dingen waar je rekening mee moet houden. Je moet bijvoorbeeld deze omgeving beschikbaar houden, daarbij moet je ook nog complete controle hebben over de browser die deze Certificaten moet gaan controleren. Dit laatste is praktisch onmogelijk, maar als je een poging wilt wagen klik dan hier om te zien hoe je dat moet doen.