Безопасные банки
Большинство людей доверяют сервисам интернет-банкинга, будучи абсолютно уверенными в том, что если банк предлагает онлайн банкинг, то он просто обязан быть безопасным.
Но так ли это на самом деле? Проект Roomian.org решил разобраться.
Все пользователи интернет-банкинга получают доступ к сервису онлайн банкинга через веб-браузер, такой как, например, Internet Explorer, Firefox или Chrome.
Браузер – это программа, которая дает пользователю возможность обмениваться данными с сервером интернет-банкинга вашего банка, используя домашний компьютер, ноутбук или смартфон.
Безопасность коммуникаций между пользователем (веб-браузером) и сервером онлайн банка обеспечивается с помощью техники шифрования данных. Информация, которой обменивается браузер с сервером банка шифруется определенным образом.
Лучший способ проверить, действительно ли ваше соединение с банком зашифровано – это посмотреть на адресную строку браузера, когда вы зашли на сайт онлайн банка. Если соединение зашифровано, то адрес должен начинаться с “httpS://www…“ вместо “http://www…”, а рядом должна быть пиктограмма замка. Это дает пользователю некоторый уровень комфорта и понимания, что обмен информацией с банком зашифрован и безопасен.
Хотим сразу отметить, что эта статья никоем образом не должна посеять панику среди пользователей дистанционных сервисов банков, которые мы протестировали. Каждый из этих банков защищен достаточным образом, с помощью целого ряда инструментов (например, одноразовые пароли), чтобы пользователи могли быть уверены в безопасности своих средств.
Мы же задались вопросом исследовать исключительно процесс шифрования между браузером пользователя и сайтами онлайн банкинга украинских банков. Является ли достаточным шифрование данных? Могут ли данные пользователей быть перехвачены злоумышленниками?
В апреле впервые была обнаружена серьезная уязвимость в протоколе OpenSSL под названием Heartbleed, где-то через месяц, в мае, еще одна — возможность MITM-атаки (CVE-2014-0224) против протоколов OpenSSL и TLS. Именно эти уязвимости подтолкнули не только разработчиков, но и обычных пользователей к изучению надежности протоколов шифрования данных.
Читайте также: Из-за Heartbleed РайффайзенБанк и Яндекс рекомендуют менять пароли
Хорошая новость – все банки, у которых есть системы онлайн банкинга, уже позаботились об устранении проблемы Heartbleed. Также все онлайн-банки располагают доверенными сертификатами одного из ведущих центров (например, VeriSign).
Плохая новость – ряд украинских интернет-банков остается уязвимым к MITM-атакам (CVE-2014-0224). Стоит ли волноваться из-за этого? Вряд ли. Хотя бы потому, что злоумышленник должен каким-то образом “встроиться посередине” между пользователем и сервером банка. В принципе, это возможно только при использовании пользователем публичных точек Wi-Fi в кафе, аэропортах или отелях.
В этой статье мы хотим продемонстрировать, какие из сервисов интернет-банкинга в Украине являются наиболее безопасными, с помощью хорошо известного в кругах специалистов по ИТ-безопасности инструмента под названием Qualys SSL Labs SSL Test.
Этот инструмент, который сертифицирован PCI DSS в качестве общедоступного сканера для поиска уязвимостей, может подсказать, действительно ли протокол шифрования данных является безопасным. Специалисты банков по ИТ-безопасности могут совершенно бесплатно использовать его для осуществления собственных тестов.
Qualys – это провайдер систем информационной безопасности и конфиденциальности данных из Калифорнии, США. Компания была основана в 1999 и стала первой компанией, которая начала предлагать решения по управлению уязвимостями через интернет используя модель software as a service (SaaS).
Тестированием сервисов интернет-банкинга мы хотим начать дискуссию о том, действительно ли банки в Украине серьезно воспринимают проблематику ИТ-безопасности? Особенно что касается публичных сайтов онлайн банкинга, которые взаимодействуют с финансовой и персональной информацией пользователей.
Сегодня мы посмотрим на HTTPS-уязвимости и проанализируем 19 украинских интернет-банков. Общий рейтинг оценивается по шкале от A до F.
A – “отлично”, а F – “неудовлетворительно”. Рейтинг отображает степень уязвимости процесса шифрования данных между пользователем и сервером банка и говорит о том, что злоумышленники потенциально могут получить доспуп к этим данным, если сайт интернет-банка недостаточно защищен.
1) Самые лучшие результаты продемонстрировали сайты онлайн банкинга Фидобанка (А+), Райффайзен Банка Аваль (А), Дельта Банка (A), ПУМБа (А-), Платинум Банка (А-), Банка Национальный Кредит (А-) и УкрСиббанка (А-). Эти банки защитились как от Heartbleed, так и от атак, связанных с CVE-2014-0224. Кроме этого, веб-сайты онлайн банкинга обладают действующими доверенными сертификатами, они поддерживают наиболее надёжный протокол TLS 1.2.
А сайт Фидомаркета даже поддерживает Forward Secrecy, это означает, что сессионные ключи, полученные при помощи набора ключей долговременного пользования, не будут скомпрометированы при компрометации одного из долговременных ключей.
2) Рейтинг “B” и “С” получили сайты интернет-банкинга ПриватБанка (В), ОТП Банка (B), Укрэксимбанка (В), Укрсоцбанка (В), Проминвестбанка (В), Сбербанка России (В), Хрещатика (В), Надра Банка (С) и Альфа-Банка (С). Они, преимущественно, незащищены от MITM-атак (CVE-2014-0224), однако, согласно Qualys SSL Labs SSL Test, уязвимость не является критичной и пользователи могут без каких-либо опасений использовать эти сервисы. Эти банки, как правило, не используют протокол TLS 1.2, а также Forward Secrecy.
3) Не самый хороший результат оказался у Ощадбанка (F), Русского Стандарта (F) и ВиЭйБи Банка (F), что произошло по некоторым причинам:
- сервер онлайн-банка поддерживает SSL 2, который уже сильно устарел и является небезопасным;
- сервер подвержен MITM-атакам, поскольку поддерживает insecure renegotiation;
- сервер онлайн-банка поддерживает только старые протоколы, а не новый TLS 1.2;
- сервер не поддерживает Forward Secrecy.
Итог
Сильные стандарты и политики ИТ-безопасности являются ключом к защите данных и безопасности систем онлайн банкинга. Мы надеемся, что эта публикация поспособствует улучшениям в сфере ИТ-безопасности банков Украины и создаст дополнительные рабочие места.
Рейтинг безопасных банков. Таблица:
Впрочем, в комментариях к данной статье, ОТП Банк рекомендует “для обеспечения более достоверных результатов использовать профессиональные (а не рекламные) версии сканеров уязвимостей, которые, в частности, используются ОТП Банком и дают совершенно иные, объективные результаты. Или использовать сразу несколько сканеров для предоставления сравнительной информации”.
По мнению специалистов по ИТ-безопасности Райффайзен Банка Аваль, несмотря на то, что при анализе был использован бесплатный инструмент Qualys SSL Server Test, полученные результаты следует принимать во внимание. Лучше всего степень доверия к инструменту Qualys может быть проиллюстрирована “магическим квадрантом“ компании Gartner относительно данного типа средств. “Но основная ценность Qualys SSL Server Test как инструмента в том, что он открыт и доступен всем. Каждый клиент Райффайзен Банка Аваль может самостоятельно в любое время убедиться в высоких стандартах банка относительно безопасности предлагаемых сервисов”, – сообщил банк в своем письме.
По мнению специалистов Дельта-Банка, доверять тесту Qualys SSL Server Test стоит, так как он проверяет не только поддержку сервером тех или иных версий SSL, но и тестирует возможные более опасные угрозы по уязвимости (например, тот же HeartBleed). Поэтому Qualys SSL Server Test – вполне рабочий инструмент при тестировании публичных сервисов предприятия. В целом же тестируется не SSL, а настройки сервера, цитата “Detailed SSL configuration test of any public SSL server” и указываются уязвимые места.
Приглашаем специалистов откомментировать качество информации, предоставляемой тестом Qualys SSL Labs SSL Test, а также нюансы проведения сканирования уязвимостей (используемые программы, используемая практика и порядок тестирований и др.) на адрес support {эт} roomian . org и мы с удовольствием опубликуем ваше мнение.
659
ID статьи
Качественный контент нуждается в подпитке
Узнайте, как еще можно поддержать сайт
Комментарии