Šifrovaná komunikácia medzi klientom a serverom predstavuje alfu a omegu všetkých bánk pri lákaní klientov na ich internet banking. Nielen zakúpenie certifikátu, ktorý šifrovanú komunikáciu umožňuje, však stačí pre vysokú bezpečnosť komunikácie. Ako sú na tom slovenské a české banky?
Ak vám chýbajú základné znalosti ohľadom certifikátov a šifrovacích protokolov používaných pre bezpečnú komunikáciu, odporúčam vám si prečítať rozsiahly článok na Wikipedii.
Ivan Ristić, autor populárneho WAF (web application firewall) pre Apache, ModSecurity, dnes sprístupnil službu, ktorou je možné online otestovať SSL certifikát vybraného webu a zistiť tak jeho kvalitu ako aj nastavenia samotného servera. Výsledkom je hodnotenie ako v americkej škole, teda najlepšou známkou je A, najhoršou F, a celé je to skombinované s bodovým hodnotením, ktoré je rovnaké ako percentuálne. Ristić celý systém bodovania podrobne vysvetlil v dokumente, ktorý je možné voľne stiahnuť (pdf).
Aby bolo jasné, táto služba nepredstavuje žiadnu novinku. Existuje tisíc rovnakých riešení, či už v podobe testovacích aplikácií, alebo webových služieb, no väčšinou sú spoplatňované.
Nielen samotný certifikát ale aj nastavenie servera ovplyvňuje kvalitu šifrovanej komunikácie. Veľký pozor si je potrebné dávať na certifikáty, ktoré používajú slabý kľúč, slabé šifrovanie, MD5 hash, alebo podporujú komunikáciu SSL vo verzii 2. Takáto komunikácia môže byť dešifrovaná a tým narušená bezpečnosť servera/klienta. U bánk je samozrejme dôležitá aj spoločnosť, ktorá certifikát vystavila, ako aj typ certifikátu, ktorý používa. Banka, ako dnes jedna z najnapádanejších inštitúcií na internete, by mala brať bezpečnosť veľmi vážne a nešetriť ani na certifikátoch.
Bohužiaľ, ja som ilúziu o bezpečnosti slovenských a českých bánk dávno stratil, no i tak pevne verím, že banky, ktoré v teste dopadli zle sa postarajú o okamžitú nápravu.
Slovenské banky
Zoznam slovenských bánk som čerpal tu. Nebral som do úvahy všetky banky, len tie najznámejšie, zvyšné si môžete otestovať sami.
Zoradené podľa výsledkov od najlepšieho po najhorší
- Tatra banka A [85]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - Dexia A [84]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - Mbank A [81]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - Citibank B [69]
Využíva štandardný certifikát od spoločnosti VeriSign - Poštová banka B [69]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - VOLKSBANK B [69]
Využíva štandardný certifikát od spoločnosti VeriSign - UniCredit Bank C [64]
Využíva štandardný certifikát od spoločnosti VeriSign - Slovenská sporiteľňa C [60]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - VÚB C [60]
Využíva štandardný certifikát od spoločnosti Entrust.net - ČSOB F [Zero]
Využíva štandardný certifikát spoločnosti I.CA
Certifikáty OTP banky a Komerční banky otestovať nešli, kvôli problému s pripojením testovacieho servera.
Ako môžete sami vidieť, len tri banky získali najlepšie hodnotenie, pričom presná polovica z testovaných bánk používa najvyšší možný certifikát EV SSL.
České banky
Zoznam českých bánk som čerpal tu. Opäť som vyberal banky podľa dôležitosti, zvyšné si v prípade záujmu môžete otestovať sami.
- HSBC A [85]
Využíva certifikát tretej triedy od spoločnosti VeriSign - Komerční banka A [84]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - mBank A [81]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - Citibank A [81]
Využíva štandardný certifikát od spoločnosti VeriSign - Raiffeisenbank A [81]
Využíva štandardný certifikát od spoločnosti VeriSign - Česká spořitelna * A [81]
Využíva štandardný certifikát od spoločnosti VeriSign - GE Money Bank B [67]
Využíva rozšírený EV SSL certifikát od spoločnosti VeriSign - Volksbank C [64]
Využíva štandardný certifikát od spoločnosti VeriSign - UniCredit Bank C [64]
Využíva štandardný certifikát od spoločnosti VeriSign - ČSOB F [Zero]
Využíva štandardný certifikát spoločnosti I.CA
* pri hodnotení došlo k chybe identifikácie vydavateľa certifikátu, výsledok je odvodený od ostatných testov
Až šesť bánk dosiahlo výborné hodnotenie, čo je oproti slovenským bankám dvojnásobok, pričom len 3 z 10 testovaných bánk používa rozšírený, EV SSL certifikát.
Záver
Výsledok testu vôbec neprekvapil, no určite moc nepotešil. I keď výber českých bánk bol na tom pomerne lepšie ako výber slovenských bánk, je veľmi nepríjemné, že inštitúcie, ktorým by malo primárne záležať na bezpečnosti ju často krát podceňujú a tak degradujú zmysel iných bezpečnostných prvkov, ktoré sú nasadené v kombinácií na ochranu klientov banky. Ešte horší výsledok je pri testovaní bánk na ochranu proti ClickJackingu, kedy len jediná slovneská a tri české banky (strana 18) majú (ku dňu 22.03.2009) ochranu proti tomuto útoku.
Ozaj pekny clanok.
Co je vsak alarmujuce, ze clovek ktory sa nevyzna neak extra v danej oblasti SSL certifikatov, kupi si jeden u GoDaddy za neakych $12.50 a na googli najde link na tutorial ako ho nakonfigurovat na lighttpd-e dostane v teste C (64) s celkova spotreba casu na nakonfigurovanie a nasadenie < 60 minut
(https://www.ssllabs.com/ssldb/analyze.html?d=www.b314.com)
(Niektore) Slovenske banky by sa nad sebou mali VAZNE zamysliet
#1 b314: pekne si to napisal. lenze banky sa nad sebou zamyslat nebudu, ved zakaznici su spokojni, no nie?
CSOB rulez – ten ich shitovy certifikat, co nejde ani overit, pouzivaju uz pekne dlho.
Neskusal si kontaktovat finacne orientovane periodika (v cr napriklad finexpert, mesec a tak), pre ktore by sa toto dalo napisat? Fakt tragicke :(
ano, mali by sa zamysliet zakaznici..
#3 MadCap: ja som to kedysi napisal pre etrend.sk, kde som pouzil oznacenie asi taketo: to ze sa niekto oznaci za certifikacnu autoritu neznamena, ze nou skutocne je.
na to sa ozvali pani z firmy, ze splnaju podmienky stanovene nbu, jak sk tak cz. k tomu som sa snazil vysvetlit, ze to je sice fajn, ale vo svetovom meritku to skutocne znamena velky prt, lenze to akosi nik uz pocut nechcel.
ked som sa pred par mesiacmi motal okolo csob, narazil som na niekolko zamestnancov, ktori mi potvrdili, ze drvivu vacsinu technickych staznosti tvoria problemy pristupu na IB skrz certifikat. nechapem, ako moze niekto v podstate umyselne sabotovat svoj biznis tym, ze sa rozhodne investovat do takehoto certifikatu, aj napriek tomu, ze poznam vztah medzi I.CA a CSOB.
Nezabudajte, ze taky bankovy manazer, ktory vydeluje peniaze na bezpecnost servera, nemusi byt prave odbornik na SSL.
Mozno by stacilo poslat bankam tento clanok ako tip na zkvalitnenie ich sluzieb… Poslat to priamo nejakemu generalnemu riaditelovi…
#6 Martin: toto som uz pocul mnohokrat ako vyhovorku. nezabudaj, ze aj bankovy manazer ma nastroje, ktorymi si vie taketo nieco zistit. napriklad audity od roznych firiem. ak je to napriklad taka csob, ktora vie o tychto problemoch uz od zaciatku ako nasadila tento certifikat, tak tam nepomoze ani takato vyhovorka. jednoducho, bankovy manazer, aj ked nie je odbornik, musi vediet najst cestu, ako si takeho zabezpecit a nechat ho poriadne preskumat vsetky moznosti.
oooo:
1. nehovor k nim stylom “to ze sa niekto oznaci za certifikacnu autoritu neznamena, ze nou skutocne je”. skus nieco taketo: certifikaty firmy XY sa spravaju tak, ze bezpecnost je mozne nalomit “takto, takto a takto” a klientom banky to sposobuje “take, take a take” problemy a bezpecnostne rizika.
Ty si im v podstate povedal “chlapci, radsej to nerobte lebo to neviete” namiesto, aby si vysvetli, co mozu zlepsit…
2. uz vobec nema zmysel takuto informaciu komunikovat vydavatelom certifikatu… ten, kto je skodny a teda by sa mal snazit o napravu je banka.
Treba nonstop mysliet na to, ze hovoris k ludom, ktori prakticky nemaju tusenie o com hovoris… A ked spustis stylom “robite to zle…” tak ta budu povazovat za fagana, co si otvara usta… Mozno by pomohlo aj rozpravat len o tom, ako sa to da robit lepsie, cize vynechat frazy, ktore zdoraznuju ich chyby… Davaj im porovnania: tento styl je mozne prelomit takto za 1-2 dni. S tymto certifikatom a tymi nastaveniami to bude v dohladnej dome takmer nemozne lebo “…” …
#8 Martin: viem ze to myslis dobre, ale hovoris tak, ako keby na mne stala komunikacia s bankou, co nestoji. klientovi by som to tak samozrejme nepodal. to oznacenie patrilo na vydavatela certifikatu, nie na banku. vztah csob a i.ca je spaty cez konkretnu osobu, takze csob urcite certifikat nevymeni. u ostatnych je to relativne zbytocne, i ked by som bol rad, keby vsetky banky mali ev ssl. dolezite je samozrejme nastavenie serveraa.
Ja som skusil sk-nic, vysledok F
#10 Tom@S: to je samozrejme, kedze je to rovnaky certifikat ako u csob
a vyplyva z toho nieco? Je ten web lahko napadnutelny, alebo mozne nejake podvrhnutie?
Pozri sa na datum expiracie toho certifikatu CSOB. Cez vikend maju technicku odstavku, som zvedavy, ci s nim nieco urobia. Pockame tyzden a mozno budes mat namet na dalsi clanok – ako ten pred rokom v trende. :o)
IMHO jedina cesta pre aplikacie internet bankingu je EV SSL certifikat, kde uzivatel priamo v browseri uvidi nazov spolocnosti (nie len domenu), komu ten certifikat patri. Toto bolo zrejme uz davno a som prekvapeny, ze ho nemaju vsetky banky. Zas az taky drahy nie je.
Nedalo mi to a trochu som preskumal co to za certifikat tam maju.
Aby bola I.CA doveryhodna, tak splnila Microsoft Root Certificate program a ma svoj korenovy certifikat ulozeny vo Windows by default. Takze minimalne IE by mal akceptovat certifikat pre ib24.csob.sk. Nerobi to vsak, a tak som zistoval preco. I.CA ma totiz tych korenovych certifikatov vydanych viac. A certifikat internet bankingu nie je vydany tou “doveryhodnou” CA ale CA, ktora vydava “kvalifikovane certifikaty”.
Kvalifikovany certifikat je nas pravny pojem a hovori o certifikate, ktory moze clovek vyuzit na zaruceny el. podpis – pravne na urovni vlastnorucneho el. podpisu. Co je v tomto pripade implementacie skutocne zbytocne.
Takze windows nevie najst korenovu CA ich certifikatu a preto tak mu nedoveruje. Napriek tomu, ze I.CA sa hrdi tym, ze ma svoj korenovy certifikat vo Windows.
Predpokladam, ze potrebu toho kvalifikovaneho certifikatu im to poradil nejaky fundovany interny pravnik. Ale aspon I.CA im mala vysvetlit, co vlastne potrebuju. Alebo to mali po mesiaci problemov na hotline zmenit.
Takze, teraz nieco pre panov z uvedenej banky (pokial toto citaju).
Ked uz silou mocou chcete certifikat od I.CA, tak nekupujte “kvalifikovany certifikat” ten vam je na nic. Kupte obycajny certifikat pre server vydany CAckou, ktora splnila MS Root Certificate program a jej koren je nainstalovany vo Windowsoch. Ale este lepsie urobite, ked sa na I.CA vykaslete a kupite EV SSL certifikat od Verisignu.
Ale pohnite si, uz mate len tyzden.
Este par liniek:
CAcky, ktore su akceptovane M$ftom. http://download.microsoft.com/download/1/4/f/14f7067b-69d3-473a-ba5e-70d04aea5929/windows%20root%20certificate%20program%20members.pdf
korenove certifikaty I.CA: http://www.ica.cz/cz/menu/23/prace-s-certifikaty/korenove-certifikaty-i-ca/
PS: Skoro ma porazilo, vsak oni medzi sebou spolupracuju (http://www.ica.cz/cz/menu/6/aktuality/clanek-129-zmena-site-verejnych-registracnich-autorit/). To su fakt taki blbi, ze nevedeli ten certifikat vymenit uz davno ???
#13 maxoixo: suhlasim, ev ssl je podla mna jedina cesta pre banky a podobne institucie, hlavnne ak stoji take peniaze ake stoji, co si skutocne moze dovolit takmer kazda spolocnost. uvidime, ci im stihne vyprsat cert ale nemyslim si to, lebo snad si na to daju pozor, snad
#12 Tom@S: no existuje riziko podvrhnutia ineho certifikatu a teda tzv. mitm utoku, kedy utocnik dokaze odpocuvat tvoju komunikaciu s bankou. rovnako ak je takto zly certifikat, je web nachylny na phishing daleko viac, ako ine weby, lebo si uzivatel pamata, ze tam bol problem s certifikatom a phishingova stranka tak moze celu situaciu dokonale vyuzit, atd. jednotlive utoky boli davno popisane, najdes iich urcite kade-tade na nete
#12 Tom@s: Ide o to, ze pokial browser nerozpozna certifikat tak user vo vacsine pripadov nedokaze preverit jeho pravost. Ale ked sa nauci ze ked odklika par hlasok, pripadne doinstaluje vynimku (vo FF), ze mu to pojde, tak potom bude rovnaky postup bezducho pouzivat vsade a to je koniec bezpecnosti cez PKI a otvorena cesta pre MITM utoky.
Nechces cezo mna tunelovat svoj internet banking? Budem ti opravovat chyby, co tam urobis (cisla uctov a tak…). :-)
#14 maxoixo: vyborny komentar. pekne si to spracoval. tvoje detektivne vysetrovanie, ak dovolis, pouzijem v rozsirenom clanku, ktory mam napisat pre jedno medium.
Pozrite sa na IB CSOB. Od dnes maju certifikaty od nejakeho GlobalSign. Neviem ci je to lepsie alebo horsie, ale cosi sa udialo :D
Dobra praca. Len tak dalej … podobnych testov tu potrebujeme. Nase banky duplom.
Len tak zo srandy som skusil aj mail.google.com :D ocividne to este nikomu nenapadlo …
https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Fmail.google.com
Skoro som spadol zo stolicky, ked sa mi dnes pri prihlasovani do internetbankingu CSOB zafarbil riadok na zeleno – uznavana certifikacna autorita. Konecne sa spamatali :-)
A co takhle webhostingové společnosti, můj má C 64
Certificate 100
Protocol Support 55
Key Exchange 80
Cipher Strength 60
#1 b314: dik za tip
Mna dost sklamal SSL certifikat WebSupportu dostal F.
OK. Takze treba priznat, ze CSOB uz na certifikate zapracovala a zmenili ho. Je platny uz spred vydania tohoto clanku, takze na nom mozno zapracovali nezavisle od clanku a nasich kometarov.
Ale aspon sa nieco pohlo dopredu. Uz maju poriadny EV SSL certifikat.
Clanok vysiel 23.7, CSOB zmenila certifikat 24.7 :-) Ale srali na to dlhodobo predtym, nejeden clanok bol napisany na tu temu.
Hej, certifikat bol zmeneny po vydani clanku. Ale datum vydania certifikatu je 21.7.2009. A to znamena ze on poziadali a CAcka ho vydala este pred clankom. Akurat, ze ho nasadili pocas planovanej odstavky 24.7.
Ale suhlasim s tebou ze na vymenu blbeho certifikatu netreba rok. Asi od nich nejaky dmnt z mgmt vyzadoval, aby uz dovyuzivali to, co mali nasadene.
ako je mozne ze ceska a slovenska citina s jednym a tym istym benkingom dosiahli dva rozne vysledky?
#27 konik: rozne certifikaty.
https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Fe-banking.jtbank.cz%2F (Bcko)