На сегодняшний день множество людей пользуются услугами интернет-банкинга.

Банки периодически проводят аудиты безопасности своих систем, выпускают инструкции и рекомендации по безопасной работе с интернет-банком, но при этом пользователи не всегда знают – хорошо ли защищено соединение с интернет-банком, которым они привыкли пользоваться.
Компания Andromeda Cloud, inc. (☁AC™) - Провела проверку топ 3 наиболее известных банков России (по активам).
Сегодня мы оценим защищенность подключений к всеми известным банкам РФ:
1. Сбербанк - Самый популярный банк в России.
Лидер банковского сектора
Сбербанк сегодня — это кровеносная система российской экономики, треть ее банковской системы. Банк дает работу и источник дохода каждой 150-й российской семье.
2. ВТБ Банк - Группа ВТБ сегодня обладает уникальной для российских банков международной сетью, которая насчитывает более 30 банков и финансовых компаний более чем в 20 странах мира
3. "Газпромбанк" (Акционерное общество) – один из крупнейших универсальных финансовых институтов России, предоставляющий широкий спектр банковских, финансовых, инвестиционных продуктов и услуг корпоративным и частным клиентам, финансовым институтам, институциональным и частным инвесторам.
Безопасность подключения пользователей к интернет-банкам обеспечивается использованием протоколов SSL/TLS.
На текущий момент известны «громкие» уязвимости SSL/TLS, которым даже были даны имена и/или логотипы (Beast, Poodle, Heartbleed, Freak, Logjam). Известные уязвимости SSL/TLS в том числе позволяют расшифровывать сессии, перехватывать и подменять данные, передаваемые между пользователем и сервером, что в силу очевидных причин упускается из внимания большинством пользователей.
Зачастую проблема заключается в использовании устаревших и слабых при текущем уровне вычислительных мощностей крипто-алгоритмов, а где-то наличием неустраненных уязвимостей используемого ПО. Все это ставит под угрозу безопасность платежей, совершаемых пользователями в интернет-банках.
Уровень защищенности SSL/TLS российских банков
Для оценки уровня защищенности конфигурации SSL/TLS на серверах мы будем использовать наилучший инструмент «SSL Server Test» от Qualys SSL Labs.
И так;
Банк номер один: "Сбербанк России": sberbank.ru Не смотря на рейтинг этого банка, исследование нами показывали шокирующий, отрицательный результат: Официальный сайт Сбербанка России не только уязвим к TLS/SSL атакам, но и использует сертификат подписки кода "HTTPS" в цепочке Ц.С, которого, используется устаревший алгоритм шифрования - SHA1!
1) Цепочка сертификата этого банка, состоится из 3 сертификатов:
1 - Сам сертификат: sberbank.ru - c подпиской хеширования SHA256.
2 - Посредник: Geotrust SSL CA G3 - c подпиской хеширования SHA256.
3. Главный ЦС: Geotrust Global CA - с подпиской хеширования SHA1!!!
Хотим отметить, что даже если сертификат устроен с подпиской SHA256, но "Цепочка" сертификата содержит подпись SHA1, - то уязвимость открывается для всех сертификатов "SHA256", подписанных сертификатом с устаревшим методом хеширования. Информационная безопасность Andromeda Cloud, inc. (☁AC™) доказывает, что ключ к сертификату с подпиской SHA1 - можно подобрать в течении от 15 минут, до 10 дней.
2) - Банк "Сбербанк России" использует 2048 битный SSL сертификат в то время, когда наималейший рекомендуемый размер ключа сертификата для банков и онлайн магазинов - это 4096 бит.
3) - Банк использует неправильный подпись HPKP пин кода для подписки ключа, в целях подтверждения подлинности сертификата. - 1aAzXOlcD2gSBegdf1GJQanNQbEuBoVg+9UlHjSZHY= - который является самоподписанным.
А вот и правильные пин коды "HPKP" Сбербанка России, которые соответствуют с подпиской сертификата "Chain" цепочки:
1. GeoTrust SSL CA - G3 "PbNCVpVasMJxps3IqFfLTRKkVnRCLrTlZVc5kspqlkw="
2. GeoTrust Global CA.
"h6801m+z8v3zbgkRHpq6L29Esgfzhj89C1SyUCOQmqU="
4) Сбербанк России уязвим к типу атаки "OpenSSL Padding Oracle vulnerability (CVE-2016-2107)". Риск уязвимости данного типа, является Выше чем использование подписки кода SHA1 в цепочке SSL.
Общая оценка рейтинга безопасности сайта "SBERBANK.RU" - оценивается как: "F".
Так-же Вы сами можете проверить безопасность сайта SBERBANK.RU и других ресурсов, перейдя по ссылке - https://comodo.ssllabs.com/analyze.html?d=www.sberbank.ru

Банк номер два: "ВТБ Банк России": https://www.vtb.ru/ Обнаруженные проблемы: 1) Сервер не скрывает версию "NGINX" оставляя включенным сигнатуру подписки NGINX. - Уязвимость является в том, что узнав характеристику работы сервера и версию открытого исходника "NGINX" - опытный хакер может найти уязвимости по соответствующему версию "NGINX" и использовать их в целях нанесения вреда ресурсу: https://www.vtb.ru. 2) Как и Сбербанк, так и VTB банк России использует сертификат безопасности с подпиской SHA1. Но в отличии от СБЕРБАНКА, VTB банк использует в Chain цепочке - двое сертификатов с подпиской SHA1, включая главный сертификат: "VTB.RU" отвечающий за шифрование трафика сайта. Цепочка сертификата этого банка, состоится из 3 сертификатов: 1 - Сам сертификат: VTB.RU - c подпиской хеширования SHA1!!! 2 - Посредник: Comodo high-assurance secure server CA - c подпиской хеширования SHA1!!! 3. Главный ЦС: The User trust Network - с подпиской хеширования SHA256! Как выше мы отметили, подписка хеширования с "SHA1" - открывает критическую уязвимость на сервере, из-за которого можно подобрать ключ сертификата в течении краткой времени. 3) ВТБ Банк России тоже уязвим к типу атаки "OpenSSL Padding Oracle vulnerability (CVE-2016-2107)". Риск уязвимости данного типа, является Выше чем использование подписки кода SHA1 в цепочке SSL. 4) Сайт ВТБ Банка России, вообще не предоставляет ПИН код подписки сертификата для домена VTB.RU - что оценивается лучше, чем предоставление НЕПРАВИЛЬНОГО пин кода подписки сертификата. Однако, это не означает что игнорирование "HPKP" подписки кода не ухудшает алгоритм шифрования сервера. 5) - "ВТБ банк России" использует 2048 битный SSL сертификат в то время, когда наималейший рекомендуемый размер ключа сертификата для банков и онлайн магазинов - это 4096 бит. Общая оценка рейтинга безопасности сайта "VTB.RU" - оценивается как: "F". Так-же Вы сами можете проверить безопасность сайта VTB.RU и других ресурсов, перейдя по ссылке - https://comodo.ssllabs.com/analyze.html?d=www.vtb.ru

На сегодняшний день множество людей пользуются услугами интернет-банкинга. - 835930212157

Банк номер три: "Газпромбанк" У нас такое впечатление, что администраторы этого банка усердно постарались достичь наихудшему результату шифрования "SSL" до такого уровня, что ни одному браузеру не получается открывать сайт https://www.gazprombank.ru в режиме HTTPS. 1) Во первых, сайт использует не доверенный SSL сертификат. Это означает, что SSL сертификат данного ресурса является самоподписанным и его валидность не было проверенно ни одним доверенным центром сертификации "ЦС". 2) Сайт уязвим для атаки под названием POODLE. Уязвимость под кодовым названием POODLE («пудель», Padding Oracle On Downgraded Legacy Encryption, CVE-2014-3566) позволяет расшифровать содержимое защищённого канала коммуникации. SSL 3.0 (RFC6101), использующий шифр RC4, устарел примерно на 15 лет. На замену ему создали TLS 1.0, TLS 1.1 и TLS 1.2, но он до сих пор широко используется в браузерах, веб-серверах и т.д. 3) Сайт использует устаревший характер шифрования протокола DH "Диффи Хелмана", который разрешает пользователям игнорировать ключ шифрования сайта. В этом случае, протокол HTTPS будет считаться опасней чем протокол HTTP. 4) Как и вышеуказанные банки так и Газпрмбанк, использует сертификат безопасности с подпиской SHA1. В отличии от всех вышеуказанных банков, подписка этого сертификата НЕ имеет цепочки, так-как сертификат является самоподписанной. 5) Приватный ключ сервера имеет неправильную сигнатуру. Т.е. файл не может быть использован как ключ сертификата безопасности. - Определилась по неправильной подписи открытого ключа сертификата. 6) Сервер сайта "Газпромбанк" России, принимает подключение по устаревшему протоколу "RC4 cipher", - который является уязвимым к многим типам атак. 7) Сервер уязвим к Forward secrecy — секретность будущих сообщений. Секретность будущих сообщений означает, что при утечке приватного ключа в асимметрическом шифровании (private key), все будущие сообщения можно будет расшифровать «на лету». Секретность прошлых сообщений означает, что при утечке приватного ключа в асимметрическом шифровании (private key), все прошлые сообщения записанные хакером (network attacker threat model) можно будет расшифровать. Необходимо отметить, что имеется ввиду приватный ключ сервера, а не клиента. Банк "Газпромбанк" использует 1024 битный SSL сертификат в то время, когда наималейший рекомендуемый размер ключа сертификата для банков и онлайн магазинов - это 4096 бит. К тому-же, ключ к 1024 битному SSL сертификату с подпиской SHA1 - можно подобрать всего-лишь за 15 минут. Общая оценка рейтинга безопасности сайта "gazprombank.ru" - оценивается как: "T". Так-же Вы сами можете проверить безопасность сайта GAZPROMBANK.RU и других ресурсов, перейдя по ссылке - https://comodo.ssllabs.com/analyze.html?d=www.gazprombank.ru

На сегодняшний день множество людей пользуются услугами интернет-банкинга. - 835931897149

Вывод: Как и по рейтингу, так и по оценке безопасности сайта, на первом месте остается сайт Сбербанка России. https://sberbank.ru, однако всё-ровно, оно не является полноценно безопасным и имеет ряды уязвимостей. Честно говоря, мы НЕ ожидали столь низкий показатель рейтинга шифрования данных, официальных сайтов крупнейших ТОП 3 банков России. А какой рейтинг ожидали мы? Конечно-же высокий, A+ рейтинг шифрования данных, учитывая тот факт, что администрация крупнейших банков строго относятся к сохранению безопасности данных своих клиентов. Но, к сожалению, такова результат наших проверок. А какой же рейтинг шифрования имеет ресурс Andromeda Cloud, inc? Конечно-же A+! - Мы используем строго военные технологии шифрование данных. Наш сертификат состоит из 4 цепочек Chain SSL - мы используем наиболее безопасные протоколы TLS. В отличии от 516 битных DH параметров вышеуказанных банков, - мы используем 35360 битный ключ параметров Диффи Хелмана и так-же наш сертификат подписан с 256 битным шрифтом, который содержит закрытый ключ не 1024 - 2048 бита, а целых 8192 бита. - Подбор ключа 8192 битного SSL сертификата, на данный момент потребует от "Хакеров" несколько сотен миллиардов лет, а к тому-же времени, мы уже будем жить в другой галактике, а не то, что на Марсе. Хотим отметить, что не смотря на какой срок не были бы выпущены SSL сертификаты для наших ресурсов, - мы все-ровно перевыпускаем сертификаты наших ресурсов раз в два месяца, изменив их ключ шифрования. Это обеспечивает доп. защиту от НЛО! =) На данный момент рейтинг безопасности официального сайта нашей компании https://andromedacenter.com - оценивается как A+ Еще ни одному ресурсу не удалось добыть 100+100+100+100%-ому уровню безопасности в SSLLabs. Даже самим создателям проекта. Однако, компания Andromeda Cloud, inc - сделает все возможное, чтобы добится таким показателям результатов не только для нас, но и для наших клиентов. На данный момент рейтинг безопасности нашей компании повышает рейтинг безопасности сайтов ВСЕХ наших конкурентов, включая GoDaddy, Comodo, GlobalSign, VerySign, Google inc, CloudFlare и даже Facebook. P.S. Всем вышеуказанным банкам будут отправлены письма с предложением помощи по улучшению технологий шифрования данных от имени нашей компании. Стоимость данной услуги: 350,000 рублей для каждого физического сервера. Однако, сервера всех пользователей нашей компании УЖЕ имеют высокий рейтинг и строгие характеристики шифрования данных по протоколам TLS/HTTPS по умолчанию, за которого мы не списываем доп. уплату. С Уважением, Andromeda Cloud, inc. (

AC™).

Andromeda Cloud, inc. (☁AC™) - Creating Trust Online. ®

Компания Andromeda Cloud, inc. - Мировой лидер в области решений для защиты от киберугроз! Хостинг Провайдер, Выделенные сервера и SSL Центр Аудитории. Andromeda Cloud, inc. (☁AC™) - Является одни...

andromedacenter.com