Obrázek pro nevěřící :-)
http://disk.jabbim.cz/xkucf03@jabber.cz/ib24.csob.cz.png
ať to nemusím každému posílat zvlášť.
Nechci podceňovat situaci okolo šifrování, ale pořád mi připadá mnohem snazší odchytit přihlašovací údaje přímo na stanici potenciální oběti. Nepochybuji o tom, že lidé mají často heslo stejné třeba jako do pošty na seznamu. Když někdo píše heslo do banky, tak mám dobrý zvyk se otočit, ale podle způsobů psaní různých lidi už tak nějak „vyslyším“, jakou složitost píšou a často je ten velmi krátké slovo bez „paznaků“.
Typicky nechávají čtečky s čipovou kartou stále v počítači, když se hlásí certifikátem, tak typicky ho máji buď na výměnném médiu zasunutém stéle v PC nebo pro jistotu rovnou na disku, …
Jinak kdyby někdo útočil na mou SSL komunikaci s v testu ne zrovna 2× dobře dopadlou s Českou spořitelnou, tak pořád nemá druhý kanál, což je zde snad povinná SMS jako minimální zabezpečení.
Pri utoku „man in the middle“ druhy kanal nepotrebuje, staci tvoje nepozornost. Prijde ti SMS s kodem, kde si nevsimnes, ze nesedi cislo transakce nebo kdyz se posila i castka, tak bude jedna nula navic…atd. a potvrdis. Misto tvoji platby tim ale potvrdis prevod penez na ucet utocnika.
Jediný problém, který jsem z článku o WWW serverech českých bank zjistil, je to, že obdrželi málo bodů od automatického testu vytvořeného kalifornskou společností, jež se problematikou zabývá už poměrně dlouho. Není to na odborný server málo informací?
Zkoušel jsem test na serveru, který jsem kdysi instaloval: průběžně aktualizovaný Debian Lenny, SSL v „továrním nastavení“, zakoupen nejlevnější certifikát od Thawtisignu SSL123: výsledek 85 bodů. V kategorii certifikát jsme obdrželi plných 100 bodů, přestože bych sobě už třeba kvůli SHA1 plný počet nedal ;-)
treba sa len poriadne pozriet. pod kazdym vysledkom aj na uvodnej stranke maju svoju metodiku. https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf
Z čehož vyplývá, že banky hodnocené F (0) můžou mít také jediný problém v tom, že mají certifikát vystavený od někoho, koho SSL labs nezná a nepovažuje za trusted, i když tato CA může být v prohlížečích přítomna (mimo I.CA, která je dost lokální záležitostí a v prohlížečích nebývá jsou to i Equifax, Globalsign):
We first look at a certificate to verify that it is valid and _trusted_. A server that fails this step is always
assigned a zero score.
Tady už je otázka, nakolik je pak taková hodnota vypovídající, a kdo za SSL labs stojí.
Souhlas.
SMS potvrzuje identitu toho, kdo posílá…
SMS by neměla rozptylovat dalšími prkotinami, chci poslat platbu a ne donekonečna něco kontrolovat.
Číslo účtu si snad každý dokáže ověit přímo v prohlížeči a tam také vidí číslo transakce a číslo transakce vidí také v sms. Pokud by byla komunikace odposlouchávána, pravděpodobnost že by měl útočník ještě telefon je mizivá :-).
Když získá heslo a přihlašovací jméno nebo certifikát, tak se bez telefonu neobejde, musí ho mít fyzicky, nebo čekat až udělám převod, musí vidět co zadávám (přes vzdálenou plochu nebo přes nějaký typ keyloggeru, který by mu stisknuté klávesy předával například přes jabber…
Pak by mu skutečně stačilo udělat transakci s nějakou podobnou částkou a musel by mne předběhnout, aby mi jeho sms přišla jako první a já jí potvrdil v domnění, že se jedná o mojí transakci. Pokud bych však potvrdil, nesouhlasilo by číslo transakce s kódem, takže by se platba stejně neuskutečnila :-), musel by kód přenést k sobě a potvrdit platbu u sebe…
Navíc předpokládám, že snad není možné se k jednomu bankovnímu účtu přihlásit z dvou různých ip adres současně nebo mohou bránit duplicitnímu spojení…
Problém je v MITM. číslo transakce z https komunikace útočník-banka může útočník nakopírovat do https komunikace útočník-Vy. Že nepotvrzujete převod celého Vašeho účtu na účet útočníka v té chvíli nezjistíte, žijete v dojmu, že potvrzujte to, co jste si naklikal v prohlížeči. Z této Vaší komunikace si ovšem útočník bere jen nutné přístupové prvky.
Učinil jsem před pár měsíci dotaz na ČSOB, zda jimi provozané IB mi poběží na kombinaci Linux+FF. Musím konstatovat pokrok: před pár lety se mi dostalo odpovědi zhruba ve smyslu „Co je to Linux? Firefox?“. Už to vědí, to je pokrok. Nicméně po asi dvacetiminutové diskusi jsme se shodli na tom, že mi sice vnucují IB, ale „nevědí jestli mi to bude fungovat“, ale „jsou lidi kterým to takhle funguje“. Takže na poněkolikáté zopakovanou otázku „Dpobrá, tedy se shodneme na tom, že nabízíte něco, o čem nevíte jestli funguje…“ jsem získal vyhýbavé „ANO dalo by se to tak v tohhle případě říct“ a rozhovor jsem ukončil s tím, že jim možná zase za pár let zavolám; ale v případě, že se pokusí mě poplatky sankcionovat za to, že IB nepoužívám, budu se bránit… Je otázkou, zda by nebylo na místě přitvrdit, když tu tabulku vidím…
Používám Poštovní spořitelnu (produkt „Osobní účet zadarmo“ – vřele doporučuji, dá se na něj přejít se zachováním čísla účtu i od ČSOB, veškeré tuzemské transakce a výběry z bankomatů ČSOB zdarma), která by měla mít až na barevné provedení (červené místo modrého) IB naprosto shodné s ČSOB.
Pod Linuxem (Ubuntu 64 bit) mi bez problémů funguje (jak ve Firefoxu tak v Chrome).
Jinak nemám problém s IB v Linuxu s žádnou z mých bank a záložen, jen u MPÚ musím mít v PC nahraný certifikát. Bez problémů (a jakýchkoliv obezliček) používám následující ústavy:
mBank, ING, PS, AXA (tady je trochu „opruz“ vyplňování tolika údajů a capcha), FIO a MPÚ.
Kdysi, když jsem měl WSPK, tak jsem dokonce rozchodil Internet Exploder pod Linuxem :)
tak k tej tabulke a CSOB:
najskor som sa docela polekal :) ale kedze pouzivam IB len pre vypisy a nic ine, tak ma to zas tak netrapi. Lenze pozrel som sa na tu stranku kde to testuje a ked som tam zadal stranku pre IB ktora je https://ib24.csob.cz (nevim ci to autor vie), tak mi to vyhodilo 88 bodov. tak teraz neviem ci v clanku nebola nahodou testovana www.csob.cz ktora je v podstate len web. Ak mi ale nieco uniklo, rad sa poucim.
Tady si totiž někdo plete server Poštovní spořitelny s ČSOB. (i když se tyto banky tváří jako jeden subjekt)
Poštovní spořitelna
https://maxibps.postovnisporitelna.cz/
ČSOB
https://www.ib24.csob.cz/
V článku mi chybí lepší vysvětlení, jak se bodovala konfigurace SSL/TLS. Například mám dojem, že bodové hodnocení snižuje fakt, že server umožňuje použít slabší algoritmus, ačkoliv při vyjednávání algoritmu s klientem je obvykle zvolen jiný, silnější.
Zajímalo by mě, proč I.CA není v seznamech kořenových certifikačních autorit, když je to česká kvalifikovaná certifikační autorita a její certifikáty mají u nás úřední platnost.
Kriteria jsou z pohledu aktivniho MITM utocnika (ktery umi menit traffic). Protoze utocnik muze „vyjednat“ nejslabsi protokol nebo ciphersuite dovolen serverem (i klientem), bude si vybirat nejslabsi, ktery by umel prolomit. Tady dostavaji nizke hodnoceni ciphersuites se slabym klicem nebo anonymni key exchange (kde nedochazi k autentizaci, neochrani pred aktivnim utocnikem).
Plnou metodika jiz tady nekdo zminoval: https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf
BTW celkem pekny addon k Firefoxu je Perspectives (http://www.cs.cmu.edu/~perspectives/firefox.html), ktery slouzi k „overeni“ napr. self-signed certifikatu. Overeni v uvozovkach proto, ze overuje ze SSL certifikat nejakeho stroje je viditelny z ruznych mist internetu stejne jinymi stroji (tzv. notaries). Tudiz kdyz se neco lisi, tak je spatne (jasny znak aktivniho MITM); ovsem neplati nutne, ze kdyz jsou stejne, pak je vsechno v poradku.
Díky. Přehlédl jsem, že průměrují nejsilnější a nejslabší algoritmus. To co říkáte je pravda, ale to kritérium se mi stejně nelíbí. V klientovi právě bývají ty největší hrůzy zakázány, takže k jejich použití nedojde. Samozřejmě byla by stejná (nebo i větší chyba) hodnotit jen ten nejsilnější. Současné kritérium sice pěkně ukazuje, jak pečlivě se v bance věnovali nastavení SSL/TLS, ale nedá se z něho vyčíst bezpečnost vašeho spojení.
Perspectives používám. Kromě toho, co popisujete, to sleduje, jak dlouho se certifikát nezměnil, což umožňuje upozornit i na situace, kdy útočník sedí mezi serverem a internetem.
Jj, mate pravdu, kriteria jsou ad hoc, nicmene at by si zvolili libovolne bodove ohodnoceni, tak to proste „jednorozmerne“ nelze vyjadrit. Velke podstatne plus pro fakt ze maji pristupnou metodiku – muze se to zdat jako samozrejmost; nehlede na to mnoho „vyzkumu“ je bez zmysluplne metodiky (vysledky bez metodiky me zvedaji ze zidle)
ICA neni v seznamu korenovych CA protoze asi nechce
https://bugzilla.mozilla.org/show_bug.cgi?id=484171
Sice to nema nic spolecneho s prihlasovacimi udaji, ale mam ucet u Lloyds TSB a pred par tydny zavedli novy system autorizace pro provedeni platby. Platbu muzu provezt pouze tak, ze si nove cislo uctu pridam do seznamu ulozenych uctu. To lze ale udelat az po telefonickem overeni, takze abych mohl poslat penize nekomu cizimu, tak mi nejdrive z banky musi zavolat, overi si, ze jsem to opravdu ja a pak az muzu penize poslat. Na jednu stranu je to docela bezpecne, na stranu druhou hrozne komplikovane.
Pěkný článek.
U Českomoravské záruční a rozvojové banky je třeba poznamenat, že tato banka v testu propadla (0 bodů) z důvodu, že její certifikát je podepsaný I.CA, což je certifikační autorita, která není běžně v internetových prohlížečích nainstalována a proto ji test považuje za nedůvěryhodnou.
V tomto vidím největší problém toho testu. Nelze tam dodat certifikát CA a daný web dostane automaticky pětku. Takhle to vypadá jako tlak na pořízení si certifikátu u nějaké komerční CA, přitom k tomu z technologického hlediska není nejmenší důvod.
Bezpečné nastavení serverů nemusí stát ani korunu a může spočívat třeba jen ve dvou řádcích v konfiguračním souboru – stačí vědět, jak na to.
Ocenil bych (a jistě nejen já) článek o nastavení těch dvou řádků. Zatím jen do defaultu doplním klíč a certifikát a ono to nějak jede ;-). Mohlo by to ale být bezpečnější.
Vysvětlí mi někdo, z čeho plyne ta zmiňovaná bezpečnostní hrozba?
Nejsem žádný velký znalec SSL, ale z mého pohledu to, že server podporuje vedle bezpečných šifrování i starší, potenciálně slabé, ještě neznamená, že toto slabé šifrování bude použito. S přihlédnutím k tomu, že snad všechny současné prohlížeče slabá šifrování nenabízejí…
Takže ano, slabá šifrování v nastavení serveru nemají co dělat, jsem rád, že na to autor článku upozornil, ale jinak je bezpečnostní riziko de facto nulové a článek lehce ztrácí smysl.
U FIO je to samé; rychlá změna:
SSL Report: www.fio.cz (194.228.44.198)
Assessed on: Thu Jul 08 06:04:27 UTC 2010
Overall Rating: A 85
Těžko si lze myslet, že ihned po přečtení nějakého článku na nějakém rootu poběží správce serveru přenastavit bezpečnostní nastavení tak klíčové aplikace jako je IB, aby zlepšil hodnocení v nějakém testu. Za tu dobu by nestihl ani zorganizovat video míting s Belgií. Navíc podle rylís kalendáře se budou další změny aplikovat v listopadu… :-)
Tak nevim – mam pocit ze EV certifikaty jsou jen dalsi pokus tahat lidem (firmam) penize z kapes do kapes certifikacnich autorit, ostatne stejne jako cele tohle X.509. Prilis nechapu proc bych mel verit nejake certifikacni autorite. Nebylo by jednodussi, aby mi banka dala rovnou pri zrizovani uctu fingerprint sveho verejneho klice? Samozrejme s tim, ze bych si mohl treba na nejakych keyserverech overit, ze jeste nekdo dalsi si mysli, ze toto je verejny klic me banky.
-Yenya
Však oni ji ověřují i u těch standardních certifikátů (minimálně ta moje), nestačí mít přístup k e-mailu v dané doméně (nebo ve WHOISu). EV je prostě takové „nadstandardně důkladné“ ověření totožnosti.
Samozřejmě, že je to způsob, jak si říct o další peníze (i když dealer kdejaké CA bude tvrdit, že to tak není a že EV potřebuješ a je strašně super a když ho nebudeš mít, tak jsi socka a máš nezabezpečené stránky).
Ale celkem je chápu, konkurence na trhu CA je velká a je přirozené se chtít nějak odlišit a nabídnout něco víc. Přijde mi to v pořádku, že je tu víc úrovní ověření.
Dobry den,
jako Vas cim dal vice nespokojeny klient zadam vyreseni bezpecnostni chyby MITM na Vasich strankach „www.servis24.cz“
viz.:
https://www.ssllabs.com/ssldb/analyze.html?d=www.servis24.cz
Tato chyba umoznuje za jistych okolnosti ziskat jmeno i heslo.
Take prosim o zamysleni nad urovni zabezpeceni Vaseho online bankingu
- viz predchozi link – „Overall rating“
Dekuji Josef Prokop
…
Dobrý den, pane Prokope,
těší nás důvěra, se kterou jste se obrátil na klientskou schránku České spořitelny, a.s.
Děkuji Vám za Vaše upozornění.
Naše internetové bankovnictví je dobře zabezpečené. Vámi uvedená chyba v protokolu SSL nebyla v praxi využita, protože jejímu zneužití brání technicky náročný způsob provedení. Naše internetové bankovnictví není zabezpečeno jen šifrovacím protokolem SSL, ale celou řadou dalších opatření (povinné autorizační SMS, volitelné přihlašovací SMS a další), které účinně brání zneužití.
Samozřejmě situaci kolem nově objevené slabiny protokolu SSL stejně jako další poznatky v oblasti bezpečnosti pozorně sledujeme a jsme připraveni naše zabezpečení aktualizovat, jakmile to bude nutné.
V případě dalších dotazů a námětů jsme Vám samozřejmě nadále k dispozici.
S přáním příjemného dne
Barbora Adámková
Klientské centrum České spořitelny
<mailto:csas@csas.cz>
pozn. V případě, že se rozhodnete reagovat na tento e-mail, ponechejte, prosím, veškerou dřívější komunikaci.
…
Dobry den,
dovolim si s Vami nesouhlasit v nekolika smerech.
Dekuji za informaci, ze Vase IB je dobre zabezpecene. Nyni muzu klidne
spat a jiz se nikdy nemusim obavat.
Bohuzel nejsem jediny, kdo o urovni Vaseho zabezpeceni ma pochyby.
(viz ssllabs z predchozi komunikace)
Nemate pravdu v tom, ze mnou uvedena chyba v protokolu SSL nebyla v
praxi vyuzita.
http://msmvps.com/blogs/alunj/archive/2009/11/09/1738717.aspx
http://msmvps.com/blogs/alunj/archive/2009/11/11/1739148.aspx
http://msmvps.com/blogs/alunj/archive/2009/11/18/1740656.aspx
Tento argument by mohl obstat u lokalniho webservru domaciho vyuziti.
Take argument „jejímu zneužití brání technicky náročný způsob
provedení.“ je vice nez usmevny.
O tom, ze SSL neni jedinym zabezpecenim jako uzivatel servis24.cz
samozrejme vim.
Jsem rad, ze situaci kolem nove objevene slabiny protokolu SSL stejne
jako dalsi poznatky v oblasti bezpecnosti pozorne sledujete a jste
pripraveni Vase zabezpeceni aktualizovat ihned pote, co tento bug bude
uspesne vyneuzit proti Vasim zakaznikum.
Josef Prokop
…
Dobrý den, pane Prokope,
děkuji Vám za Váš čas, který jste věnoval sepsání této připomínky.
Mohu Vás ujistit, že nepodceňujeme žádné nebezpečí a že zabezpečení služby SERVIS 24 Internetbanking nezaostává za novými poznatky a doporučeními v oblasti bezpečnosti.
Naše internetové bankovnictví není zabezpečeno jen šifrovacím protokolem SSL, ale celou řadou dalších opatření, a proto není možné využít tento nedostatek pro neoprávněné nakládání s prostředky klientů.
Pane Prokope, o situaci víme, monitorujeme ji a řešíme. Děkuji Vám za Vaše postřehy, které jsem předala kompetentním kolegům jako podání č. 1–3912470209.
Pevně věřím, že nám zachováte přízeň a že budete s našimi službami nadále spokojen.
V případě dalších dotazů jsme Vám nadále k dispozici.
S přáním příjemného dne
Barbora Adámková
Klientské centrum České spořitelny
<mailto:csas@csas.cz>
pozn. V případě, že se rozhodnete reagovat na tento e-mail, ponechejte, prosím, veškerou dřívější komunikaci.
Ahoj,
rad bych se zastal CS … myslim ze to neni tak spatne jak maluje hucul a ani ne tak spatne jak by se mohlo zdat jen z vysledku testu.
Take mam ucet o CS a take jsem s CS komunikoval ohledne problemum s SSL.
Dostal jsem pomerne zajimave informace:
1) Na servis24 je v planu na podzim uplne zakazat pouziti SSLv2
2) Pri pouziti slabsiho sifrovani < 128 bit se nedostanu do aplikace ale zobrazi se jen varovani o nedostatecne sile sifrovani (Muzete vyzkouset pres nastaveni ssl ve firefoxu about:config )
Tim bych rekl ze je i odstinena nejvetsi slabina SSLv2 – i kdyz se povede nepozorovany MITM downgrade na slabsi sifovani – vysledkem je jenom varovna stranka.
Na popud tohoto clanku CS pravdepodobne jeste behem cervence moznost slabsiho sifrovani vypne uplne, aby se zlepsilo jeji skore ve statistice, ale pravdepodobne se tim bezpecnost nezvysi – bude to jen na ukor komfortu toho maleho procenta klientu, kteri zkusi internet banking na velmi velmi starem pocitaci. (Pravdepodobne ted na helpdesk dochazi vic dotazu proc slabe sifrovani funguje nez proc nefunguje :) ).
Poznamenal bych jen ze puvodni tvrzeni supportu CS bylo ze se do aplikace neni mozne dostat s nizsi verzi protokolu (SSLv2) ale to neni pravda.
3) Co se tyce renegotiation – asi bych v tom ve vztahu k servis24 takovy problem nevidel. Na strankach www.servis24.cz jsem zatim nenasel zadny blog nebo mail formular, ktery by usnadnoval zneuzitelnost renegotiation. Treba casem zmenim nazor a napadne me nejaky kreativni zpusob jak post-request vmestnat do nejakeho formulare nezabezpeceneho posilanim SMS :).
Michal Ambroz
Já to pochopil tak, že autorovi příspěvku který popisuje komunikaci s ČS asi nešlo o to udělat ze sebe „bezpečnostního experta“ ale o to ukázat jak na problematiku zabezpečení Spořitelna „háže bobek“. Co se týká vlastního „ostrého testu“, kdy by se pokusil uskutečnit útok, pravděpodobně by tímto pokusničením porušil zákon.
K autorizační SMS ČS – například při převodu peněz z debetního na kreditní účet není toto zabezpečení vůbec využito. Věřím že podobných výjimek by se našlo víc a ke zneužití by dojít mohlo.
„pravděpodobně by tímto pokusničením porušil zákon.“
Přesně tak – tohle si může dovolit leda hacker s bílým kloboukem, kterého si najala banka – ale u něj se zase předpokládá, že řekne výsledky jen jí a nikde to nerozkecá. Jinak je to moc práce (aby se na to nepřišlo) a člověk se pak ani nemůže pochlubit výsledky své práce :-) Leda si udělat vlastní server s identickou konfigurací a simulovat útok proti vlastnímu stroji.
Předem říkám, že nejsem právník a neorientuji se nějak zvlášť dobře v příslušných zákonech.
Pokud se nemýlím, tak dříve nebyl trestný útok jako takový, ale až nějaké způsobení škod. Takže třeba i získání citlivých informací bylo legální, dokud nebyly zneužity.
Dnes je nelegální i získání neoprávněného přístupu k počítačovému systému. Nejsem si jist, zda by do toho šlo napasovat odposlech cizí komunikace. Odposlech vlastní komunikace ale zcela určitě sem nepatří. Podobně by IMHO šlo legálně za určitých podmínek testovat XSS něco CSRF. Anebo je tu nějaký jiný (možná novější) zákon nebo je někde chyba v mém výkladu.
Se zveřejněním by to již asi bylo horší. Tam by se to dalo klasifikovat jako nějaké napomáhání trestnému činu. A to možná i informace „tito nejsou bezpeční, podrobnosti neřeknu“ by mohlo být bráno jako „tady je příležitost k útoku, prozkoumejte si to sami“.
moje komunikace s Ceskou sporitelnou nema s clankem nic spolecneho. Jen jsem si pri cteni clanku vzpomnel na usmevnou vymenu mailu s pani Adamkovou a tak jsem se podelil. Do Ceske sporitelny jsem psal z ciste sobeckych pohnutek, protoze u nich mam stale ucet. Bohuzel mbank, ktera je mou primarni bankou, nema mezinarodni identifikaci, takze by mi nemela kam chodit vyplata. Navic jsme museli MITM problem resit s nasim zakaznikem a na stole z pocatku bylo i pozastaveni IB a navic jsem byl zvedavy, jak se k problemu postavi konkurence.
Dobry den,
Zastupujem Saxo Bank a chcel by som podotknut na neuplnost informacii v tomto prieskume:
- Saxo Bank nerobi online bankovnictvo
- Zo Saxo Bank si moze vybrat peniaze iba na vlastny ucet a teda 3 osoba si nijako nemoze prist k Vasim peniazom ( funadamentalna zabezpeka je lepsia ako akekolvek sifrovanie;) )
- Na individualnej baze ponukame sifrovanie cez tzv grid kartu ( O com Root.cz nemoze nic vediet, pretoze to je dostupne len na poziadanie ). Od aprila 09 sme mali 0 poziadaviek na takuto sluzbu…
Dakujem za pozornost.
Zajímavé řešení na komunikaci s klienty má Hypoteční banka. Klient dostane PIN – 5ti místné číslo. Tento PIN slouží k ověření identity při volání na infolinku. Zároveň se tento PIN používá na „šifrování“ výpisu z hypotečního účtu, který je posílán e-mailem. Výsledek? Každý, kdo se k e-mailu dostane a PIN rozlouskne (stáhnutí dema passwordcracku + spuštění na zip soubor – 10 minut práce) se dostane nejen k výpisu z hypotéky, ale i k PINu, s kterým může provést majiteli účtu nějakou neplechu …
Nevěříte, stačí když mně svůj výpis pošlete ;-)
poslal jsem jim email s linkem na článek a napsali mi
„Výsledek testu pomocí nástroje společnosti Qualys v žádném případě neodráží celkovou bezpečnost internetového bankovnictví ČSOB. ČSOB věnuje zabezpečení svých internetových aplikací dostatečnou pozornost, mimo jiné například simuluje útoky hackerů. Nedostatky, které v rámci těchto testů identifikujeme, jsou podle míry závažnosti postupně odstraňovány. Článek o bezpečnosti ELB jednotlivých bank náhodou vyšel v době, kdy ČSOB prováděla úpravu zařízení, takže se bezpečnost spojení mohla zdát narušena. Bezpečnostní standard elektronického bankovnictví ČSOB však dlouhodobě dosahuje velmi vysokých hodnot, není se tedy třeba obávat žádných výpadků“
Pro pobavení posílám vyjádření ČSOB:
Dobrý den,
děkujeme Vám za důvěru, s kterou se obracíte na útvar podpory Elektronického bankovnictví ČSOB.
„Výsledek testu pomocí nástroje společnosti Qualys v žádném případě neodráží celkovou bezpečnost internetového bankovnictví ČSOB. ČSOB věnuje zabezpečení svých internetových aplikací dostatečnou pozornost, mimo jiné například simuluje útoky hackerů. Nedostatky, které v rámci těchto testů identifikujeme, jsou podle míry závažnosti postupně odstraňovány. Článek o bezpečnosti ELB jednotlivých bank náhodou vyšel v době, kdy ČSOB prováděla úpravu zařízení, takže se bezpečnost spojení mohla zdát narušena. Bezpečnostní standard elektronického bankovnictví ČSOB však dlouhodobě dosahuje velmi vysokých hodnot, není se tedy třeba obávat žádných výpadků“
S pozdravem
…
Pokud by někdo hledal nějaký nástroj který umožní ověření šifrovacích algoritmů služeb běžících na jiných portech tak může zkusit SSL Cipher Enumeration and Scanning Project – http://code.google.com/p/ssl-enum/
Děkuji za upozornění na oblast kterou jsem trochu přehlížel.
No v den ze ktereho pochazi tahle tabulka jsme nasazovali novou verzi IB cca od 22 hodiny byli servry dole. pokud je to hodnoceni z teto hodiny tak to vysvetluje proc hodnoceni 0. kdyz ted kliknete na ten link v tabulce tak zjistite ze hodnoceni 88 bodu a znamka A. tudis sme na tom stejne jako AXA na prvnim miste.
Preji krasny den ;)
Moc nechápu jak někdo může vypublikovat tu tabulku s hodnoceníma a neověřit si správnost výsledků. Několik z nich je očividně nesmyslnejch (viz ČSOB) a autor to klidně vypustí do světa. To mi přijde jako amatérismus, vážně by někdo uvěřil, že tak frekventovaně používaný bankovnictví od tak velký společnosti má 0? Nevim co dodat…
takze..
1) banka muze dostat 0 bodu, protoze pouziva ca nezname pro ssl labs. napr. i.ca. coz je naprosto mimo, kvalifikovane certifikaty vydavane i.ca maji v cechach platnost stejnou jako papirovy podpis
2) bodove hodnoceni klesa, protoze server podporuje ssl 2.0. nicmene panove jiz nehodnoti, nepouziva-li se pouze a jen na ssl 2.0 compatible hello (java).
3) vsichni asi vime, ze vetsina certifikacnich autorit je neduveryhodna. otazkou je, proc firma povazuje verisign za tolik duveryhodny. me tak nepripada.
Pochybuji, že běžný uživatel do adresy zadá na začátek i „https://“, když to přece „funguje úplně stejně i bez toho“. A když třeba *** (jméno vynecháno) ve své příručce píše adresu bez protokolu… (Již jsem nejmenovaným psal, odpověděli mi něco ve smyslu, že děkují za zajímavý námět, více nevím.)
K přesměrování na https verzi sice dojde, ale samotné přesměrování probíhá nezabezpečenou cestou (http). V této chvíli má útočník nejjednodušší šanci. Pokud uživatel po zadání adresy ji již dále kontrolovat nebude anebo si nevšimne, že spojení najednou není šifrované, je jakékoli SSL bezpředmětné.
Že je tu ještě SMS? To považuji za takovou druhou linii, která by neměla být potřeba. Má-li to být stavebním kamenem zabezpečení (nechtěl bych), pak nevidím smysl v SSL.
Nechápu, proč je tomuto problému věnováno tak málo pozornosti.
Já si třeba pro ebanking vytvořil speciální profil prohlížeče s domovskou stránkou ebankingu, čímž:
* řeším problémy se špatnou adresou (překlep) a řeším relativně málo (pro bankovní účely) zabezpečenou synchronizaci záložek, kterou by šla (v případě použití záložek) podstrčit jiná adresa
* řeším CSRF, clickjacking a případně další útoky mezi stránkami (jasně, toto by měla řešit banka, toto je spíše pojistka)
* možná odstíním část nepříliš do detailů (kvůli 20/80) navržených útoků na prohlížeč od bankovního účtu.
Něco podobného už se diskutovalo: https://www.abclinuxu.cz/blog/jenda/2009/8/man-in-the-middle-nyni-jeste-primovejsi
Ad SMS: http://www.dsl.sk/article.php?article=9511 :-P
Tak fajn, tak nejsem první, koho to napadlo. Bohužel jsem ale asi stále jeden z mála, kdo to řeší. Chtělo by to na tento problém nějak dobře upozornit. Do akce se až tak nehrnu – na domácí síti by to nemělo až takový efekt a na univerzitní síti by takovéto aktivity měly prý velmi rychlý efekt, kterého ale nechci dosáhnout. Navíc by se to dalo asi klasifikovat jako získání neoprávněného přístupu k cizímu počítačovému systému.
K SMS jasně, v praxi by to ale asi nebylo až tak jednoduché. Teoreticky, pokud by SMS z banky byly posílány bezdrátově z jednoho místa, dalo by se dekódovat velké množství dat a získat tu SMS. Asi by potřebný HW poskytující dostatečný výkon nebyl úplně levný. A pokud to budou posílat třeba přímo operátorovi zabezpečenou cestou, je tato možnost vyloučena. Druhá možnost by bylo zjistit, kde jsem já, a sniffovat tam. Zjistit to by ale taky nebylo zrovna jednoduché.
Navíc nevím, jak jde identifikovat konkrétního příjemce, možná by tu byl taky problém vyžadující dekódovat vše…
Samozřejmě, jak jsem psal, SMS považuji za takovou druhou linii, na které zabezpečení nestojí, ale která útok dovede znesnadnit.
Stačí sniffovat GSM provoz někde, kde chodí bankovní SMS často. Centrum města například.
Osobně odhaduji, že alespoň třetina Windows počítačů v sobě má nějakého červa. Pak je pravděpodobnost, že jsem chytnul SMS a zároveň je počítač, na kterém je vykonávána ta transakce, děravý, docela vysoká.
Ale přiznám se, že kdybych chtěl rychle nelegálně získat peníze, tak radši napíšu nějaký phishing, který bude konečně správně česky a vůbec vypadat důvěryhodně.