Sigurnost komunikacije hrvatskih online banking servisa

Autor: Sponzorirani članak , 18. veljača 2015. u 09:00
Thinkstock

Dok pretražujete Internet postoji uvijek vjerojatnost da netko „prisluškuje“ komunikaciju između vas i servera na kojem je web stranica koju pregledavate.

Piše:  Dr. sc. Hrvoje Jerković, profesor sa ZŠEM-a

 

Dok pretražujete Internet postoji uvijek vjerojatnost da netko „prisluškuje“ komunikaciju između vas i servera na kojem je web stranica koju pregledavate. Komunikacija između vas i nekog servera sastoji se od Internet paketa koji putuju od vas prema web serveru (u obliku zahtijeva za nekom stranicom recimo) i potom od servera prema vama (odgovor web servera u obliku sadržaja koji ste tražili).

Ti paketi dakle sadrže vašu adresu i sadržaj dok putuju kroz Internet stoga onaj tko ih presretne može dobiti uvid u trenutnu adresu vašeg računala i sadržaj koji pregledavate. No „prisluškivanje“ nije tako jednostavno jer napadač mora imati pristup mreži kroz koju ide vaš promet. Ima još raznih načina, a novije metode uključuju i korištenje smartphonea.

Većina standardnih web servera nema potrebu kriptiranja te komunikacije jer se ne izmjenjuju povjerljive informacije već se uglavnom radi samo o običnom pregledavanju web stranice.

No kakva je situacije sa online servisima kao što su  online banking, email, Facebook i slične web aplikacije? Tu na scenu nastupa kriptiranje. Dakle podaci koji se razmjenjuju između vas i servera se  kriptiraju stoga ako ih netko i presretne ne može ih dešifrirati već može vidjeti samo gomilu besmislenih podataka.

Internet protokoli za kriptiranje podatak se kontinuirano unaprjeđuju jer se često otkrivaju propusti. Npr. početkom 10. mjeseca 2014.g. Googleovi stručnjaci za sigurnost otkrili su opasan propust u starijoj verziji sigurnosnog protokola – SSL verzija 3 (SSLv3) ukoliko se koristi određeni algoritam koji omogućava dešifriranje komunikacije  (CBC algoritam). Da bi napad bio primjenjiv napadač vas mora prisiliti da se spojite kroz mrežu koju on može kontrolirati (npr. njegovu lažnu Wi-fi mrežu). Napadač potom može dešifrirati vaš promet. Propust je nazvan POODLE (eng. Padding Oracle On Downgraded Legacy Encryption).

Zbog toga je SSL protokol u novijim verzijama većine web pretraživača blokiran. Google Chrome, Firefox, Safari i većina ostalih pretraživača imaju opcije osvježavanja automatski podešene stoga se ne morate brinuti oko ručnog osvježavanja pretraživača.

Međutim novi problemi su nastali kada su Googleovi stručnjaci početkom 12. mjeseca 2014.g. otkrili da se prethodno opisani napad na sličan način može primijeniti i na najnoviji sigurnosni protokol (TLS 1.2). Ranjivost se može još lakše iskoristiti jer funkcionira čak i kada se ne forsira prelazak na zastarjeli SSLv3 protokol.

Tvrtka Qualys, koja jedna od vodećih u području IT sigurnosti, izdala je testne aplikacije za testiranje sigurnosti komunikacije  web pretraživača i web servera.

Ukoliko želite testirati vaš pretraživač i vidjeti koliko je siguran za komunikaciju na Internetu kliknite ovdje.

Drugi alat se koristi za testiranje servera. Tim alatom možete testirati razne web stranice te na taj način možete vidjeti koliko je sigurna vaša komunikacija sa dotičnom stranicom. Alat za testiranje ranjivosti komunikacije sa web stranicom ili web aplikacijom nalazi se ovdje.

Korištenjem dotičnog alata može se zaključiti da većina popularnih svjetskih servisa kao što su Gmail, Facebook i slični i dalje omogućavaju korisnicima spajanje preko SSLv3 protokola kako bi osigurali svim korisnicima pristupanje usluzi, no POODLE i slični napadi su onemogućeni. Jasno je da korisnici koji se spajanju sa starijim pretraživačima na dotične stranice nemaju najvišu razinu sigurnosti komunikacije no time komunikacije nije ozbiljno ugrožena. Stoga je većina takvih servisa koje svakodnevno koristima ocjenjena sa ocjenom B (A bi bila najviša razina sigurnosti).

Rezultati ranjivosti

U svjetlu otkrivenih ranjivosti testirali smo usluge online banking sustava nekoliko najvećih banaka koji se koriste u Hrvatskoj. Usporedbe radi, online usluga banke Bank of America (bankofamerica.com)  također ima ocjenu B pa ćemo je koristiti za usporedbu sa našim bankama. Izvještaj o sigurnosti Bank of America možete pogledati ovdje.

Hypo banka – ocjena 5 (A)

Hypo banka ima gotovo maksimalne ocjene iz svih segmenata sigurnosti komunikacije. Ima veću razinu sigurnosti i od Bank of America jer ne podržava slabiji algoritam kriptiranja (RC4). Izvještaj o sadašnjem stanju sigurnosti pogledajte ovdje.

Raiffeisen banka – ocjena 4 (B)

Usluga online bankinga Raiffeisen banke i dalje omogućava korištenje zastarjelog SSLv3 protokola (kod Bank of America i Hypo primjerice ta podrška je ukinuta), no slična je situacija i sa ostalim našim bankama u tom segmentu. Raiffeisen ne koristi posljednji protokol TLS 1.2 već TLS 1.0 no važnije je da nije podržan algoritam koji omogućava iskorištavanje POODLE ranjivosti stoga za taj segment ima ocjenu 70/100 dok recimo Bank of America ima u tom segmentu ocjenu 95/100 kao i Hypo banka. Ukupna ocjena je i dalje visoka – B, jer usluga nije podložna POODLE tipu napada. Izvještaj o sadašnjem stanju sigurnosti pogledajte ovdje.

Erste banka – ocjena 4 (B)

Usluga online bankinga Erste banke ima vrlo sličnu situaciju i ocjene kao i Raiffeisen banka. Izvještaj o sadašnjem stanju sigurnosti pogledajte ovdje.

ZABA banka – ocjena 4 (B)

ZABA također kao i prethodne dvije banke ima visoke ocjene što se tiče procesa razmjene ključeva za enkripciju i snage šifriranja podatak, ali i najjaču ocjenu za sigurnost samog protokola (ocjena 90/100) što će reći da ima najvišu sveukupnu ocjenu nakon Hypo banke. No ovdje je važno napomenut da je 23.1.2015 analiza skeniranja pokazala podložnost POODLE napadu za TLS protokol što automatski podrazumijeva ocjenu 1. Dakle gotovo dva puna mjeseca od otkrivanja ranjivosti ZABA online servis je i dalje bio ranjiv. Izvještaj o sadašnjem stanju sigurnosti pogledajte ovdje.

OTP banka – ocjena 3 (C)

 Usluga online bankinga OTP banke ima iste propuste kao i Raiffeisen i Erste banka no osim toga razmjena ključa za enkripciju (ocjene 40/100) i snaga šifriranja podatak (ocjena 50/100) su značajnije niže ocijenjeni od ostalih banaka koji u tim segmentima imaju ocjene oko 80 ili 90. Izvještaj o sadašnjem stanju sigurnosti pogledajte ovdje.

PBZ banka – ocjena 1 (F)

PBZ ima visoke ocjene što se tiče procesa razmjene ključa za enkripciju i snage šifriranja podatak, no konačna ocjena je najniža moguća jer je server podložan POODLE napadu i to na razini SSLv3 kao i na razini TLS 1.2 zbog izbora ranjivog preferiranog algoritma enkripcije (CBC algoritam). Uz to je detektirani kao poslužitelj „IBM_HTTP_Server“ koji se nalazi na listi uređaja ranjivih na POODLE (TLS).

Dakle 13.2.2015. kada je test izvršen, još uvijek je moguće izvesti POODLE napad. Izvještaj o sadašnjem stanju sigurnosti pogledajte ovdje.

Alat tvrtke Qualis je vjerodostojan alat za provjeru ranjivosti kojeg koriste stručnjaci diljem svijeta no kao i kod bilo koje provjere ranjivosti nekog sustava svaki dobiveni rezultat treba se detaljno ispitati i otkloniti svaku sumnju za tzv. lažnim pozitivom, a to u ovom slučaju mogu samo sistem inženjeri koji održavaju navedene servise.

Postoji još niz faktora na temelju kojih bi mogli analizirati rezultate, ali ovi koje smo naveli su ključni. Kao krajnji korisnici najbolje što možete poduzeti kako biste osigurali vašu komunikaciju je da koristite zadnje verzije web pretraživača te nipošto ne obavljajte uslugu online bankinga sa nesigurnih mreža (wi-fi mreža iz kafića i sl.).

Daljnje korake ka osiguranju komunikacije svakako moraju poduzeti same banke, dakle na drugoj je strani da poduzme ostale mjere kako bi se osigurala maksimalno sigurna komunikacija.

New Report

Close