v



InfoBank.by – Все банки Беларуси  >  Все статьи по финансам и банкам  >  Сколько «дыр» в защите белорусских интернет-банков?

Сколько «дыр» в защите белорусских интернет-банков?

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
3483

На сегодняшний день множество людей и организаций пользуются услугой Интернет-банкинг, но при этом пользователи не всегда знают, хорошо ли защищено соединение с Интернет-банком, которым они привыкли пользоваться. Несмотря на то, что банки периодически проводят аудиты безопасности своих систем и их «апгрейд», зачастую использование устаревших и слабых криптоалгоритмов, а также неустраненение известных уязвимостей ставит под угрозу безопасность платежей, совершаемых пользователями в Интернет-банках.
Справочно:  Безопасность подключения пользователей к интернет-банкам обеспечивается использованием протоколов SSL/ TLS. На текущий момент известны «громкие» уязвимости SSL/ TLS, которым даже были даны имена и/ или логотипы (Beast, Poodle, Heartbleed, Freak, Logjam). Известные уязвимости SSL/ TLS в том числе позволяют расшифровывать сессии, перехватывать и подменять данные, передаваемые между пользователем и сервером, что в силу очевидных причин упускается из внимания большинством пользователей. 
В данной статье на основе публикации от 2015 года на ресурсе «ХабраХабр» мы оценим защищенность подключений к онлайн-сервисам белорусских банков. При этом хочу отметить, что вся представленная информация находится в открытом доступе.
 
Уровень защищенности SSL/ TLS белорусских банков
 
Для оценки уровня защищенности конфигурации SSL/ TLS на серверах можно использовать бесплатный инструмент «SSL Server Test» от «Qualys SSL Labs». С помощью данного инструмента независимый исследователь Трой Хант сделал свод по соответствующему уровню защищенности австралийских банков.

В комментариях к статье Троя можно увидеть ссылки на аналогичные таблицы для разных стран: Литва, Дания, Голландия, Голландия-2, Чехия, Великобритания.
 
Мной была подготовлена аналогичная таблица (от 06.10.2016) для банков Республики Беларусь.

С момента обнаружения указанных уязвимостей и проблем протоколов/ криптоалгоритмов прошло довольно много времени, что как минимум свидетельствует об отсутствии со стороны некоторых банков периодического контроля защищенности своих веб-ресурсов либо проведения соответствующих компенсирующих мероприятий. В целом ситуацию нельзя назвать критичной.
 
Каждому веб-ресурсу присвоена оценка «SSL Server Test» со шкалой от A до F. Плюс и зеленый цвет означают отсутствие соответствующей уязвимости/ проблемы. Минус и красный цвет свидетельствуют об обратном. 

 
  
 Основные выводы
 
Наилучшие оценки – А и А+ получили следующие банки:
 
  • МТБанк
  • Альфа Банк
  • Белагропромбанк
  • БСБ Банк
  • БТА Банк
  • Приорбанк
 
Это может свидетельствовать о серьезном отношении к безопасности подключений к своим ресурсам данных банков.
 
Оценки А- получили следующие банки: Белгазпромбанк и Банк ВТБ.
 
У них, как и в подавляющем числе банков, не реализована или реализована частично настройка безопасности протоколов согласования ключа — Forward Secrecy. При использовании Forward Secrecy сессионные ключи не будут скомпрометированы при компрометации закрытого ключа. Ресурсы, не использующие Forward Secrecy для большинства современных браузеров, отмечены минусами в столбце «FS». Хотелось бы отметить, что это не является критичным.
 
Оценку B получили следующие банки:
  • БелВЭБ
  • Банк Москва-Минск
  • БПС-Сбербанк
  • Идея Банк
  • Технобанк
 
У всех присутствует проблема с настройкой Forward Secrecy (FS), описанная выше. Также при настройке протокола обмена ключами «Diffie-Hellman» используется длина секретного ключа в 1024 бит. В настоящее время рекомендуется использовать длину ключа в 2048 бит. Данные ресурсы отмечены минусами в столбце «DH».
 
Оценку C получил Белинвестбанк.
 
У него по-прежнему используются шифры RC4, что снизило их общую оценку до «B». Уязвимость RC4 связана с недостаточной случайностью потока битов, которым скремблируется сообщение, что позволяет расшифровать перехваченные данные. Ресурсы с поддержкой шифра RC4 отмечены минусами в столбце «RC4». Помимо этого у него также присутствует проблема с настройкой FS. Также у него не реализована поддержка современного протокола TLS1.2, вследствие чего оценка снижена до «C».
 
Оценка F. Данную оценку получили 5 банков. В данном пункте пройдемся по каждому из них.
 
Банк Решение.  Данный банк по-прежнему поддерживает устаревшие и не безопасные протоколы SSL2 (что автоматически снижает оценку до «F») и SSL3, а также не имеет поддержки протокола TLS1.2. Также имеются описанныя выше проблемы с использованием шифра RC4 и настройкой Forward Secrecy (FS).
 
Беларусбанк.  Имеется стандартная для большинства банков проблема с настройкой Forward Secrecy (FS). Но больше всего удивили наличие незакрытой уязвимости «POODLE» в протоколе TLS, что автоматически снизило оценку до «F». С помощью данной уязвимости злоумышленники могут получить доступ к зашифрованной информации, передаваемой между клиентом и сервером. О данной уязвимости известно с 2014 года. Данная проблема решается установкой патчей для соответствующего протокола.
 
Белорусский народный банк.  Данный банк не поддерживает протокол TLS1.2, что автоматически снижает оценку до «B», и также имеет проблему с настройкой Forward Secrecy (FS) и уязвимость «POODLE» в протоколе TLS1.0.
 
Франсабанк.  Данный банк по-прежнему поддерживает устаревший и не безопасный протокол SSL3, что автоматически снижает оценку до «B». Не реализована поддержка протокола TLS1.2, что снижает оценку до «С». По-прежнему используются шифры RC4. Не реализована поддержка Forward Secrecy (FS). Банк уязвим к FREAK-атакам, что снизило общую оценку до «F». С помощью данной уязвимости злоумышленники могут форсировать использование клиентским браузером слабой криптографии из «экспортного» набора шифров RSA.
 
Паритетбанк.  Банк по-прежнему поддерживает устаревшие и не безопасные протоколы SSL2 (что автоматически снижает оценку до «F») и SSL3. Не реализована поддержка протокола TLS1.2. Банк использует небезопасные параметры обмена ключами Diffie-Hellman с длиной ключа 512 бит. Используются шифры RC4. Не реализована поддержка Forward Secrecy (FS). Имеется незакрытая уязвимость «POODLE». Это единственный банк, где была обнаружена уязвимость «Logjam». Как и уязвимость FREAK, Logjam позволяет злоумышленнику форсировать использование клиентским браузером слабой криптографии DH с 512-битными ключами. Данный банк показал самый слабый результат.
 
Приведенные оценки со временем теряют свою актуальность, что может потребовать их перепроверки с помощью «SSL Server Test».
  
Рекомендации
 
В результате проверок «SSL Server Test» приведены рекомендации по устранению выявленных проблем, которые можно обобщить в требования к настройке SSL/ TLS на веб-серверах:

- Отключить поддержку небезопасных протоколов SSL2, SSL3
- Включить поддержку наиболее совершенного протокола TLS 1.2
- Отказаться от использования сертификатов SHA-1
- Отказаться от использования шифра RC4
- Настроить Forward Secrecy и убедиться, что функция работает для большинства современных браузеров
- Устранить уязвимость Poodle путем отключения протокола SSL3 или путем установки патча при уязвимости протокола TLS
- Устранить уязвимость Logjam путем отключения поддержки экспорта наборов шифров и генерации уникальной 2048-битной группы Diffie-Hellman
 
Пользователям же рекомендуется осторожно отключить в настройках браузера SSL 2.0 и SSL 3.0 и включить поддержку TLS 1.0, TLS 1.1 и TLS 1.2 (осторожно, потому что встречались банки, поддерживающие со стороны сервера только SSL 3.0). И, конечно же, при подключении пользователям стоит внимательнее смотреть на сертификат сервера и его статус в браузере. 
 
Андрей Грицук


Источник: www.infobank.by

Понравилось? Отправь друзьям!


Оставить комментарий
  
А кто автор статьи? Я имею в виду Андрей Грицук в обычной жизни чем занимается, что дает экспертную оценку таким серьезным вещам?
olga_garkovich 13/10/2016 18:08
Администратор:
В данной статье нигде не было указано, что даётся экспертная оценка и автор статьи не является экспертом в области защиты информации :-)
 
Данная статья - является анализом защищенности подключений к интернет-банкингам Беларуси.
 
Анализ ,как указывалось в статье, производился на основании результатов, которые может получить абсолютно любой человек.

Автор имеет отношение к  IT и безопасности информации.
Даже по сравнению с РФ овощесовхоз.
OTP, GateKeeper, google authenticator? Не не слышали...
У меня есть ИБ и карта мальтийского банка, тот и то OTP умеет.
Подтверждения входа по SMS или OTP нет. Пароли на SBS банк из 5 символов, из ПЯТИ КАРЛ!
Коды в SMS подтверждениях из букв и цифр, пожилой человек не
в в состоянии прочитать ваши шифровки 1 это или l, 0 или O. Нормальные банки уже перешли только на цифры.

Лимиты по картам появились только в последние несколько месяцев с внедрение новых интернет банков.
(_|_) что системы антифрода тоже самые дешевые и допотопные.
Не ломают наверное только потому, что клиенты бедные и беларуские банки не кому не нужны.
У меня пока всё...
jmvz06q 07/10/2016 23:41
пользуюсь интернет-банкингом одного из перечисленных банков. Прочитал статью. Вы думаете для простого человека эта информация понятна?..
6644588 07/10/2016 13:28
Администратор: Материал написан в основном для банков. Что бы вы и дальше могли пользоваться интернет банком без всяких неприятностей :-)
Смотрите также

Наши сервисы:
Только в этом разделе — самые актуальные и выгодные курсы покупки и продажи доллара, евро и российского рубля, а также — наиболее распространенных цветных валют. Теперь вам не нужно искать обменники на карте или в интернете. Для вашего удобства анимированная карта встроена в наш раздел. Но и это еще не все — в разделе вы легко найдете  кросс - курсы обмена валют, курсы обмена по карточкам, курсы валют от Нацбанка и несколько простейших графиков, чтобы отследить изменения на валютном рынке.
Накопили определенную сумму в белорусских рублях или долларах? Сомневаетесь, в какой банк ее отнести, чтобы получить наилучший процент? Подозреваете, что процентный доход в вашем банке не самый лучший? Тогда наш калькулятор создан для вас. Просто введите вашу сумму, валюту вклада и срок, на который хотите разместить средства, наше приложение само подберет вам лучшие депозиты во всех банках Беларуси. Вам останется только пойти в банк.
Нужен кредит? Не знаете, какой банк выбрать? Кредитный калькулятор поможет в любой ситуации. Вам нужно просто ввести сумму, которую вы хотите взять, назвать срок кредитования и время, за которое вы хотите получить кредит.  Наш калькулятор выберет для вас самую НИЗКУЮ ставку, рассчитает график платежей, перечислит особенности, на которые стоит обратить внимание. И, конечно же, произведет расчет переплаты и полной процентной ставки.  С Кредитным калькулятором от Infobank.by брать кредиты стало выгоднее!
Никто не хочет потерять сбережения на очередной девальвации! Но что делать, когда доходность рублевых депозитов выше, чем долларовых? Ответ прост — держать деньги на вкладе в белорусских рублях, а когда курс доллара начнет расти, перевести вклад в валюту. Когда же это сделать? Чтобы ответить на этот вопрос, мы создали Калькулятор валютных рисков рублевого вклада. Он проводит сравнение доходности по рублевому и валютному вкладу, а также — анализирует динамику вашего дохода в зависимости от изменения курса доллара! 
Когда нас обижают хулиганы, мы пишем заявление в милицию? А что делать, если обидел банк? Как достучаться до его руководства в Минске, если вы живете в небольшом белорусском городке? Ведь банк большой, клиентов у него много и услышать ваш крик о помощи  или вашу жалобу руководитель банка просто не сможет. Выскажите свое мнение в нашем разделе «Отзывы о банках». Подробно опишите, где и когда вы столкнулись с трудностями, поставьте оценку банку (не стесняйтесь!) и ждите реакции. Она обязательно будет! А может быть, вы хотите похвалить банк или его сотрудников, тогда вам снова в наши «Отзывы»!!!
Депозиты приносят существенный доход их владельцам, а также помогают сберечь деньги от посторонних глаз. Но, согласитесь, не всегда есть время, чтобы зайти в банк и снять нужную сумму, если она вдруг понадобится. К тому же, по депозитам, чаще всего, предусмотрено понижение процентного дохода в случае досрочного снятия части средств. Обидно? Конечно! Но к счастью банки предлагают сберегательные карточки, проценты по которым практически не уступают ставке по  депозитам, а деньги доступны 24 часа 7 дней в неделю. Выбрать сберегательную карточку вам поможет наш уникальный сервис.
 
Банки, как и люди, очень по-разному относятся к новым клиентам. Если вы решили оформить депозит или карточку, перевести деньги родным, оплатить коммунальные платежи в незнакомом банке, вам не нужно «покупать кота в мешке». Достаточно заглянуть на страницы проекта «Потребительский опыт», и узнать, чего же стоит ожидать от сотрудников того или иного банка. Наши корреспонденты уже проникли во многие банковские отделения и делятся с вами своими впечатлениями…
 


сундук