Рейтинг самых безопасных онлайн банков Украины

Безопасные банки

Большинство людей доверяют сервисам интернет-банкинга, будучи абсолютно уверенными в том, что если банк предлагает онлайн банкинг, то он просто обязан быть безопасным.

Но так ли это на самом деле? Проект Roomian.org решил разобраться.

Все пользователи интернет-банкинга получают доступ к сервису онлайн банкинга через веб-браузер, такой как, например, Internet Explorer, Firefox или Chrome.

Браузер – это программа, которая дает пользователю возможность обмениваться данными с сервером интернет-банкинга вашего банка, используя домашний компьютер, ноутбук или смартфон.

Безопасность коммуникаций между пользователем (веб-браузером) и сервером онлайн банка обеспечивается с помощью техники шифрования данных. Информация, которой обменивается браузер с сервером банка шифруется определенным образом.

Лучший способ проверить, действительно ли ваше соединение с банком зашифровано – это посмотреть на адресную строку браузера, когда вы зашли на сайт онлайн банка. Если соединение зашифровано, то адрес должен начинаться с “httpS://www…“ вместо “http://www…”, а рядом должна быть пиктограмма замка. Это дает пользователю некоторый уровень комфорта и понимания, что обмен информацией с банком зашифрован и безопасен.

соединение зашифровано

Хотим сразу отметить, что эта статья никоем образом не должна посеять панику среди пользователей дистанционных сервисов банков, которые мы протестировали. Каждый из этих банков защищен достаточным образом, с помощью целого ряда инструментов (например, одноразовые пароли), чтобы пользователи могли быть уверены в безопасности своих средств.

Мы же задались вопросом исследовать исключительно процесс шифрования между браузером пользователя и сайтами онлайн банкинга украинских банков. Является ли достаточным шифрование данных? Могут ли данные пользователей быть перехвачены злоумышленниками?

В апреле впервые была обнаружена серьезная уязвимость в протоколе OpenSSL под названием Heartbleed, где-то через месяц, в мае, еще одна — возможность MITM-атаки (CVE-2014-0224) против протоколов OpenSSL и TLS. Именно эти уязвимости подтолкнули не только разработчиков, но и обычных пользователей к изучению надежности протоколов шифрования данных.

Читайте также: Из-за Heartbleed РайффайзенБанк и Яндекс рекомендуют менять пароли

Хорошая новость – все банки, у которых есть системы онлайн банкинга, уже позаботились об устранении проблемы Heartbleed. Также все онлайн-банки располагают доверенными сертификатами одного из ведущих центров (например, VeriSign).

Плохая новость – ряд украинских интернет-банков остается уязвимым к MITM-атакам (CVE-2014-0224). Стоит ли волноваться из-за этого? Вряд ли. Хотя бы потому, что злоумышленник должен каким-то образом “встроиться посередине” между пользователем и сервером банка. В принципе, это возможно только при использовании пользователем публичных точек Wi-Fi в кафе, аэропортах или отелях.

В этой статье мы хотим продемонстрировать, какие из сервисов интернет-банкинга в Украине являются наиболее безопасными, с помощью хорошо известного в кругах специалистов по ИТ-безопасности инструмента под названием Qualys SSL Labs SSL Test.

Этот инструмент, который сертифицирован PCI DSS в качестве общедоступного сканера для поиска уязвимостей, может подсказать, действительно ли протокол шифрования данных является безопасным. Специалисты банков по ИТ-безопасности могут совершенно бесплатно использовать его для осуществления собственных тестов.

Qualys – это провайдер систем информационной безопасности и конфиденциальности данных из Калифорнии, США. Компания была основана в 1999 и стала первой компанией, которая начала предлагать решения по управлению уязвимостями через интернет используя модель software as a service (SaaS).

Тестированием сервисов интернет-банкинга мы хотим начать дискуссию о том, действительно ли банки в Украине серьезно воспринимают проблематику ИТ-безопасности? Особенно что касается публичных сайтов онлайн банкинга, которые взаимодействуют с финансовой и персональной информацией пользователей.

Сегодня мы посмотрим на HTTPS-уязвимости и проанализируем 19 украинских интернет-банков. Общий рейтинг оценивается по шкале от A до F.

A – “отлично”, а F – “неудовлетворительно”. Рейтинг отображает степень уязвимости процесса шифрования данных между пользователем и сервером банка и говорит о том, что злоумышленники потенциально могут получить доспуп к этим данным, если сайт интернет-банка недостаточно защищен.

1) Самые лучшие результаты продемонстрировали сайты онлайн банкинга Фидобанка (А+), Райффайзен Банка Аваль (А), Дельта Банка (A), ПУМБа (А-), Платинум Банка (А-), Банка Национальный Кредит (А-) и УкрСиббанка (А-). Эти банки защитились как от Heartbleed, так и от атак, связанных с CVE-2014-0224. Кроме этого, веб-сайты онлайн банкинга обладают действующими доверенными сертификатами, они поддерживают наиболее надёжный протокол TLS 1.2.

А сайт Фидомаркета даже поддерживает Forward Secrecy, это означает, что сессионные ключи, полученные при помощи набора ключей долговременного пользования, не будут скомпрометированы при компрометации одного из долговременных ключей.

сайт Фидомаркета даже поддерживает Forward Secrecy

2) Рейтинг “B” и “С” получили сайты интернет-банкинга ПриватБанка (В), ОТП Банка (B), Укрэксимбанка (В), Укрсоцбанка (В), Проминвестбанка (В), Сбербанка России (В), Хрещатика (В), Надра Банка (С) и Альфа-Банка (С). Они, преимущественно, незащищены от MITM-атак (CVE-2014-0224), однако, согласно Qualys SSL Labs SSL Test, уязвимость не является критичной и пользователи могут без каких-либо опасений использовать эти сервисы. Эти банки, как правило, не используют протокол TLS 1.2, а также Forward Secrecy.

3) Не самый хороший результат оказался у Ощадбанка (F), Русского Стандарта (F) и ВиЭйБи Банка (F), что произошло по некоторым причинам:

  • сервер онлайн-банка поддерживает SSL 2, который уже сильно устарел и является небезопасным;
  • сервер подвержен MITM-атакам, поскольку поддерживает insecure renegotiation;
  • сервер онлайн-банка поддерживает только старые протоколы, а не новый TLS 1.2;
  • сервер не поддерживает Forward Secrecy.

сайт VAB Банка небезопасен

Итог

Сильные стандарты и политики ИТ-безопасности являются ключом к защите данных и безопасности систем онлайн банкинга. Мы надеемся, что эта публикация поспособствует улучшениям в сфере ИТ-безопасности банков Украины и создаст дополнительные рабочие места.

Рейтинг безопасных банков. Таблица:

Рейтинг безопасных банков. Насколько безопасны украинские интернет-банки?

Впрочем, в комментариях к данной статье, ОТП Банк рекомендует “для обеспечения более достоверных результатов использовать профессиональные (а не рекламные) версии сканеров уязвимостей, которые, в частности, используются ОТП Банком и дают совершенно иные, объективные результаты. Или использовать сразу несколько сканеров для предоставления сравнительной информации”.

По мнению специалистов по ИТ-безопасности Райффайзен Банка Аваль, несмотря на то, что при анализе был использован бесплатный инструмент Qualys SSL Server Test, полученные результаты следует принимать во внимание. Лучше всего степень доверия к инструменту Qualys может быть проиллюстрирована “магическим квадрантом“ компании Gartner относительно данного типа средств. “Но основная ценность Qualys SSL Server Test как инструмента в том, что он открыт и доступен всем. Каждый клиент Райффайзен Банка Аваль может самостоятельно в любое время убедиться в высоких стандартах банка относительно безопасности предлагаемых сервисов”, – сообщил банк в своем письме.

По мнению специалистов Дельта-Банка, доверять тесту Qualys SSL Server Test стоит, так как он проверяет не только поддержку сервером тех или иных версий SSL, но и тестирует возможные более опасные угрозы по уязвимости (например, тот же HeartBleed). Поэтому Qualys SSL Server Test – вполне рабочий инструмент при тестировании публичных сервисов предприятия. В целом же тестируется не SSL, а настройки сервера, цитата “Detailed SSL configuration test of any public SSL server” и указываются уязвимые места.

Приглашаем специалистов откомментировать качество информации, предоставляемой тестом Qualys SSL Labs SSL Test, а также нюансы проведения сканирования уязвимостей (используемые программы, используемая практика и порядок тестирований и др.) на адрес support {эт} roomian . org и мы с удовольствием опубликуем ваше мнение.