DNS-lek? Het is tijd voor de Rabobank.

Geboeid door alle ontwikkelingen rond het door Kaminsky ontdekte DNS-lek, besloot ik vandaag de proef op de som te nemen. Met de bedoeling om het échte ip-adres van bankieren.rabobank.nl te vragen, belde ik met de Rabobank (Helpdesk Rabo Internetbankieren en Rabo Mobielbankieren). Ik zei tegen de telefoniste dat ik een technische vraag had over de website, en vroeg of ze mij door kon verbinden met de verantwoordelijke van de internetbankieren website.

Na een ogenblikje geduld kwam ze terug met de boodschap dat deze persoon vanmorgen afwezig was, maar vanmiddag weer op kantoor zou zijn. Ik kreeg het verzoek mijn vraag per mail te stellen onder vermelding van een referentienummer. Omdat ik niet al te principieel wilde zijn ging ik akkoord en stuurde ik de volgende mail.

Beste Rabobank,

Zoals u wellicht weet is er enige tijd geleden een lek ontdekt in het DNS-protocol, waardoor kwaadwillenden (hackers) in staat zijn om internetverkeer om te leiden naar hun eigen servers. Dit uiteraard met alle gevolgen van dien. Omdat ik aanneem dat u weet waar ik over praat ga ik de verdere details niet uitleggen.

De enige manier om zeker te weten dat ik altijd contact heb met de server van de rabobank (en niet met de server van een hacker) is door geen gebruik meer te maken van DNS, maar de website te bezoeken op basis van het ip-adres.

Graag verneem ik van u wat het ip-adres is van “https://bankieren.rabobank.nl/“. Ik wil u verzoeken dit telefonisch aan mij door te geven, omdat het versturen van een email wederom geen garantie is dat dit mailje niet door een hacker is onderschept en aangepast. U kunt mij bereiken op 06-********.

(Eigenlijk is het stellen van deze vraag via de email al een risico, omdat ik misschien wel terug gebeld wordt door een hacker die dit bericht heeft onderschept.)

Ik zou het erg op prijs stellen wanneer u contact met mij zou kunnen opnemen.

Met vriendelijke groeten,

Dennis Baaten

Rond 15:30 vanmiddag werd ik terug gebeld door een uiterst vriendelijke en professionele man, die erg goed op de hoogte was van alle details omtrent het DNS-lek. Aan de manier waarop hij met mij praatte merkte ik duidelijk dat dit niet de eerste de beste systeembeheerder was, maar iemand met verstand van zaken.

Hij vroeg wat ik met het ip-adres wilde doen, waarop ik antwoorde dat ik het graag wilde hebben omdat ik de DNS niet meer vertrouwde en tóch wilde internetbankieren door het ip-adres in mijn hosts bestand te zetten. De man begreep wat ik bedoelde. We praatten nog even over technische details van het ontdekte lek, waarop de man nog zei: volgens mij heeft u dezelfde presentatie gezien die ik ook gezien heb. Kortom; we begrepen elkaar en het was een prettige gesprek.

Hij gaf me het ip-adres en vertelde dat er geen garantie is dat dit ip-adres niet meer veranderd. Ik gaf aan hem te begrijpen en zei dat ik hoopte dat er tegen die tijd een gedegen oplossing zou bestaan voor het DNS-lek. We hadden het zelfs nog even over het feit dat zelfs SSL certificaten “vervalst” kunnen worden, waarop hij aanbood om de MD5 en SHA1 hashes van de huidige SSL certificaten op te lezen, zodat ik daarmee de autenticiteit van de certificaten kon verifiëren. Uiteraard weer met de boodschap dat de certificaten maar een jaar geldig zijn. Die moeite heb ik hem bespaard en vertelde dat het ip-adres voor mij op dit moment zekerheid genoeg was.

Eerlijk is eerlijk; ik ben behoorlijk onder de indruk van het optreden van de Rabobank en in het specifiek de persoon die me te woord stond. Dat noem ik nou service. Petje af.