Atak na polskie banki możliwy!
Specjaliści z Poznańskiego Centrum Superkomputerowo - Sieciowego opublikowali wyniki badania stanu bezpieczeństwa polskich banków. Wnioski płynące z raportu są zatrważające!
Zespół bezpieczeństwa Poznańskiego Centrum Superkomputerowo - Sieciowego testował aktualność oprogramowania i podatność serwerów polskich banków na ataki dotyczące bezpieczeństwa transakcji szyfrowanych przy użyciu protokołu SSL.
Fachowcy przetestowali 41 portali należących do 31 banków. Po testach okazało się, że aż 24 z testowanych stron, wymieniających poufne dane z klientami, obsługuje przestarzałą i niebezpieczną wersję 2.0 protokołu SSL. (SSL 2.0 nie jest zalecany do użytku od 10 lat!).
Prawie połowa (46%) polskich banków do tej pory nie skorzystała z łatki naprawiającej błąd w protokole, mimo, że od jej opublikowania minęło ponad 4 miesiące! Dodatkowo, ponad połowa polskich banków korzysta z niezalecanych i słabych (przez co łatwiejszych do złamania) wersji protokołów szyfrujących. Żeby było ciekawie, dwa z banków umożliwiają całkowicie nieszyfrowane połączenia (sic!).
W aż 11 przypadkach poznańskim specjalistom udało się przeprowadzić skuteczny atak typu Men in the middle (SSL 2.0 rollback) na sesję przeglądarki, zmuszając ją do szyfrowania połączenia słabym, łatwym do złamania kluczem. Raport uchyla także inne kulisy testowania stron banków i zawiera przykładowe scenariusze ataków.
Specjaliści zwracają również uwagę na kiepski stan innych zabezpieczeń polskich banków. Podczas przypuszczania ataków, bankowe systemy detekcji intruzów i zapobiegania incydentom (IDS/IPS) nie wykryły, ani nie zablokowały, żadnego z działań poznańskich badaczy.
Jak wynika z raportu, nawet bezpieczna technologia może zostać źle użyta. Kolejny raz potwierdza się zasada, że to człowiek jest najsłabszym ogniwem w łańcuchu bezpieczeństwa. W świetle tak kiepskich zabezpieczeń "zewnętrznych" zastanawiający jest również stan bezpieczeństwa w środku systemu bankowego...
Podczas logowania i korzystania ze swojego konta bankowego, przed każdą akcją (wysyłanie, odbieranie danych) sprawdzaj z jakiej wersji SSL korzysta przeglądarka (idealnie SSL 3.0) i jakiego algorytmu szyfrowania używa (idealnie AES 256 bit).