Vlákno názorů k článku Je šifrování českých bank bezpečné, nebo je to jen iluze? od hucul - Dobry den, jako Vas cim dal vice nespokojeny klient...
-
hucul (neregistrovaný)
Dobry den,
jako Vas cim dal vice nespokojeny klient zadam vyreseni bezpecnostni chyby MITM na Vasich strankach „www.servis24.cz“
viz.:
https://www.ssllabs.com/ssldb/analyze.html?d=www.servis24.cz
Tato chyba umoznuje za jistych okolnosti ziskat jmeno i heslo.
Take prosim o zamysleni nad urovni zabezpeceni Vaseho online bankingu
- viz predchozi link – „Overall rating“
Dekuji Josef Prokop
…
Dobrý den, pane Prokope,
těší nás důvěra, se kterou jste se obrátil na klientskou schránku České spořitelny, a.s.
Děkuji Vám za Vaše upozornění.
Naše internetové bankovnictví je dobře zabezpečené. Vámi uvedená chyba v protokolu SSL nebyla v praxi využita, protože jejímu zneužití brání technicky náročný způsob provedení. Naše internetové bankovnictví není zabezpečeno jen šifrovacím protokolem SSL, ale celou řadou dalších opatření (povinné autorizační SMS, volitelné přihlašovací SMS a další), které účinně brání zneužití.
Samozřejmě situaci kolem nově objevené slabiny protokolu SSL stejně jako další poznatky v oblasti bezpečnosti pozorně sledujeme a jsme připraveni naše zabezpečení aktualizovat, jakmile to bude nutné.
V případě dalších dotazů a námětů jsme Vám samozřejmě nadále k dispozici.
S přáním příjemného dne
Barbora Adámková
Klientské centrum České spořitelny
<mailto:csas@csas.cz>
pozn. V případě, že se rozhodnete reagovat na tento e-mail, ponechejte, prosím, veškerou dřívější komunikaci.
…
Dobry den,
dovolim si s Vami nesouhlasit v nekolika smerech.
Dekuji za informaci, ze Vase IB je dobre zabezpecene. Nyni muzu klidne
spat a jiz se nikdy nemusim obavat.
Bohuzel nejsem jediny, kdo o urovni Vaseho zabezpeceni ma pochyby.
(viz ssllabs z predchozi komunikace)
Nemate pravdu v tom, ze mnou uvedena chyba v protokolu SSL nebyla v
praxi vyuzita.
http://msmvps.com/blogs/alunj/archive/2009/11/09/1738717.aspx
http://msmvps.com/blogs/alunj/archive/2009/11/11/1739148.aspx
http://msmvps.com/blogs/alunj/archive/2009/11/18/1740656.aspx
Tento argument by mohl obstat u lokalniho webservru domaciho vyuziti.
Take argument „jejímu zneužití brání technicky náročný způsob
provedení.“ je vice nez usmevny.
O tom, ze SSL neni jedinym zabezpecenim jako uzivatel servis24.cz
samozrejme vim.
Jsem rad, ze situaci kolem nove objevene slabiny protokolu SSL stejne
jako dalsi poznatky v oblasti bezpecnosti pozorne sledujete a jste
pripraveni Vase zabezpeceni aktualizovat ihned pote, co tento bug bude
uspesne vyneuzit proti Vasim zakaznikum.
Josef Prokop
…
Dobrý den, pane Prokope,
děkuji Vám za Váš čas, který jste věnoval sepsání této připomínky.
Mohu Vás ujistit, že nepodceňujeme žádné nebezpečí a že zabezpečení služby SERVIS 24 Internetbanking nezaostává za novými poznatky a doporučeními v oblasti bezpečnosti.
Naše internetové bankovnictví není zabezpečeno jen šifrovacím protokolem SSL, ale celou řadou dalších opatření, a proto není možné využít tento nedostatek pro neoprávněné nakládání s prostředky klientů.
Pane Prokope, o situaci víme, monitorujeme ji a řešíme. Děkuji Vám za Vaše postřehy, které jsem předala kompetentním kolegům jako podání č. 1–3912470209.
Pevně věřím, že nám zachováte přízeň a že budete s našimi službami nadále spokojen.
V případě dalších dotazů jsme Vám nadále k dispozici.
S přáním příjemného dne
Barbora Adámková
Klientské centrum České spořitelny
<mailto:csas@csas.cz>
pozn. V případě, že se rozhodnete reagovat na tento e-mail, ponechejte, prosím, veškerou dřívější komunikaci.
-
Ahoj,
rad bych se zastal CS … myslim ze to neni tak spatne jak maluje hucul a ani ne tak spatne jak by se mohlo zdat jen z vysledku testu.
Take mam ucet o CS a take jsem s CS komunikoval ohledne problemum s SSL.
Dostal jsem pomerne zajimave informace:
1) Na servis24 je v planu na podzim uplne zakazat pouziti SSLv2
2) Pri pouziti slabsiho sifrovani < 128 bit se nedostanu do aplikace ale zobrazi se jen varovani o nedostatecne sile sifrovani (Muzete vyzkouset pres nastaveni ssl ve firefoxu about:config )
Tim bych rekl ze je i odstinena nejvetsi slabina SSLv2 – i kdyz se povede nepozorovany MITM downgrade na slabsi sifovani – vysledkem je jenom varovna stranka.
Na popud tohoto clanku CS pravdepodobne jeste behem cervence moznost slabsiho sifrovani vypne uplne, aby se zlepsilo jeji skore ve statistice, ale pravdepodobne se tim bezpecnost nezvysi – bude to jen na ukor komfortu toho maleho procenta klientu, kteri zkusi internet banking na velmi velmi starem pocitaci. (Pravdepodobne ted na helpdesk dochazi vic dotazu proc slabe sifrovani funguje nez proc nefunguje :) ).
Poznamenal bych jen ze puvodni tvrzeni supportu CS bylo ze se do aplikace neni mozne dostat s nizsi verzi protokolu (SSLv2) ale to neni pravda.
3) Co se tyce renegotiation – asi bych v tom ve vztahu k servis24 takovy problem nevidel. Na strankach www.servis24.cz jsem zatim nenasel zadny blog nebo mail formular, ktery by usnadnoval zneuzitelnost renegotiation. Treba casem zmenim nazor a napadne me nejaky kreativni zpusob jak post-request vmestnat do nejakeho formulare nezabezpeceneho posilanim SMS :).
Michal Ambroz
