The Heartbleed Bug и онлайн-банкинг. Банки SSL сертфикаты на серверах менять будут ?
В течение 2012, 2013 и до обнародования уязвимости в первых числах апреля сего года, была возможность увести приватные ключи к SSL сертификатам серверов, работающих с использованием версии openssl 1.0.1.
Пруф: http://habrahabr.ru/post/219109/
После обнародования уязвимости прошло не меньше недели, но похоже что банки обновили только openssl библиотеку.
Перевыпускать сертификаты для серверов онлайн-банкинга, которые вероятно попали в руки "плохих парней", банки что-то не торопятся.
Вопрос к представителям банков: Когда перевыпустите ?
Отвечать лучше официально, приводя ссылки на пресс-релизы.
Пруф: http://habrahabr.ru/post/219109/
После обнародования уязвимости прошло не меньше недели, но похоже что банки обновили только openssl библиотеку.
Перевыпускать сертификаты для серверов онлайн-банкинга, которые вероятно попали в руки "плохих парней", банки что-то не торопятся.
Вопрос к представителям банков: Когда перевыпустите ?
Отвечать лучше официально, приводя ссылки на пресс-релизы.
Как вы считаете, это нормально по SMS каналу рассылать логин и пароль к интернетбанку в связи с данной проблемой?
Это может усугубить проблему, если клиент сразу же не поменяет полученный таким образом пароль.
Речь о банке "Русский стандарт" ?
Если да, то по теме топика констатирую - SSL сертификат сервера они не сменили. За это им - незачот.
Пруф: https://online.rsb.ru сертификат выпущен: 6/15/12
На этом форуме такие сложные темы, мне кажется, не взлетят
Может стоит здесь начать публиковать список не сменивших ?
Клиентам ведь полезно знать про такое.
Для примера - Сбербанк.
Сбербанк онлайн - незачот
Пруф: https://online.sberbank.ru сертификат выпущен: 11/28/12
[Сообщение изменено пользователем 14.04.2014 11:34]
Это что получается что всем банкам работающим на строй версии протокола безопасности нужно провести обновление сертификатов?
Напоминает глобальную рекламную акцию компании разработчика сертификатов
Напоминает глобальную рекламную акцию компании разработчика сертификатов
Это что получается что всем банкам работающим на строй версии протокола безопасности нужно провести обновление сертификатов?
Не "работающим", а "работавшим" в 2012-1014 годах.
SSL сертификаты их серверов онлайн-банкинга считаются скомпрометированными.
Напоминает глобальную рекламную акцию компании разработчика сертификатов
По мне так это просто проверка профпригодности служб безопасности банков.
Ну и персонально по вашему банку
Уралтрансбанк - незачот
Пруф: https://telebank.utb.ru/ сертификат выпущен: 7/13/12
Речь о банке "Русский стандарт" ?
Да. Единственное что спасает - SMS кодик. Но, если телефон вдруг ушел, то тут все карты у злоумышленника - и телефон, и пароль, и логин
Может стоит здесь начать публиковать список не сменивших ?
Может будет проще писать о тех, кто заменил сертификат? Есть такие?
Вы в курсе, что не у всех, даже использовавших проблемную библиотеку, система была построена так, что можно было воспользоваться уязвимостью?
[Сообщение изменено пользователем 15.04.2014 00:46]
c
castilio
Как вы считаете, это нормально по SMS каналу рассылать логин и пароль к интернетбанку в связи с данной проблемой?
если используется доп. авторизация кодиком на смс, то вполне, при этом потребовать смену пароля при первом входе.
M
Muxeu
Как вы считаете, это нормально по SMS каналу рассылать логин и пароль к интернетбанку в связи с данной проблемой?
тут баланс между безопасностью и дистанционностью. Если вам выдали аля почтовую карту или бвк да и в некоторых других банках с коробочными продуктами там вы и так логин/пароль на телефон получаете или по телефону восстанавливаете, собственно в некоробочном сбере так же. Так что с этой точки зрения это нормально, другой дело вопрос насколько вообще правильно все замыкать на сотовый.
если используется доп. авторизация кодиком на смс, то вполне, при этом потребовать смену пароля при первом входе.
И чё? Они и требуют сразу пароль поменять. Как это спасет от того, что у злоумышленника все карты на руках?
Ситуация когда телефон ушел налево, а хозяин еще не в курсе этого имеет совсем не нулевую вероятность, а тут еще и банк подарочек подкидывает.
другой дело вопрос насколько вообще правильно все замыкать на сотовый.
Можно хотя бы логин не высылать? Только пароль и, например, номер договора?
Если вам выдали аля почтовую карту или бвк да и в некоторых других банках с коробочными продуктами там вы и так логин/пароль на телефон получаете или по телефону восстанавливаете, собственно в некоробочном сбере так же. Так что с этой точки зрения
это нормально
Это нормально, так как при первом обращении за паролем вменяемые люди инициирующие процесс обычно понимают что делают и телефон находится при них.
Может будет проще писать о тех, кто заменил сертификат? Есть такие?
Действительно проще.
Да, такие есть
Айманибанк: https://iclick.imoneybank.ru/ сертификат выпущен: 4/9/14
Вы в курсе, что не у всех, даже использовавших проблемную библиотеку, система была построена так, что можно было воспользоваться уязвимостью?
Угнать приватный ключ к сертификату сервера, полагаю у всех было можно.
c
castilio
И чё? Они и требуют сразу пароль поменять. Как это спасет от того, что у злоумышленника все карты на руках?
Ситуация когда телефон ушел налево, а хозяин еще не в курсе этого имеет совсем не нулевую вероятность, а тут еще и банк подарочек подкидывает.
Ситуация когда телефон ушел налево, а хозяин еще не в курсе этого имеет совсем не нулевую вероятность, а тут еще и банк подарочек подкидывает.
вероятность того что клиент подключит ДБО (в конкретном банке), именно таким образом (есть другие варианты), у него специально уведут телефон, злоумышленники будут знать все этапы и последовательность действий, клиент не успеет сменить пароль и пр. Должны совпасть временные и организационные моменты, вероятность того что всё сложится именно так мизерна. В любом случае безопасность она заложник удобства и компромисс должен оцениваться на адекватной вероятности рискового события.
castilio
Если не высылать логин совместно с паролем, то вероятность еще уменьшится. Тем более, что сбросился только пароль.
M
Muxeu
Можно хотя бы логин не высылать? Только пароль и, например, номер договора?
можно, но наверняка этот же логин можно запросить типа "забыл". Вообще на месте злоумышленника я бы первом делом "восстанавливал" логин/пароль от ибанка сбера. Дальше смотрел смски с уведомлениями об операциях и пытался восстановить логины/пароли от этих банков.
З.Ы.: А если не выслать логин то смахивает на мошенническую смску, я этот номер договора знать не знаю, помнить не помню.
Версия openssl 1.0.1 далеко не во всех системах используется. Не важно, на какой версии библиотеки выпускались ключи/сертификаты. Важно, какая версия криптобиблиотеки использовалась веб-сервером, при установке ssl-соединений. Зачем банку перевыпускать свои старые серты, если у него на сервере стоит
и всю жизнь стояла криптуха, допустим, от микрософта? Или версия openssl-я, отличная от заявленной в баговой рассылке?..
Версия openssl 1.0.1 далеко не во всех системах используется.
Используется не во всех, но во многих.
Зачем банку перевыпускать свои старые серты, если у него на сервере стоит и всю
жизнь стояла криптуха, допустим, от микрософта? Или версия openssl-я, отличная от заявленной в баговой рассылке?
Незачем.
Кстати, вы хоть один онлайн-банкинг с криптухой от микрософта знаете ?
И
Иезуит резерва
Речь о банке "Русский стандарт" ?
Если да, то по теме топика констатирую - SSL сертификат сервера они не сменили. За это им - незачот.
Если да, то по теме топика констатирую - SSL сертификат сервера они не сменили. За это им - незачот.
Они, видимо, вообще в апреле поменяли программу. Потому, что, как оказалось, теперь через интернет-банк невозможно стало дробно платить налоги. Мы эту беду выявили на собственной шкуре и уже как неделю перед головным офисом поставили задачу ее разрешить, но пока - молчок. Похоже клиенты этого банка налоги платят не часто.
вы хоть один онлайн-банкинг с криптухой от микрософта знаете ?
https://lastpass.com/heartbleed/?h=http%3A%2F%2Fcl...
И, к слову, процитирую:
Все сервисы ТКС Банка изначально не были подвержены уязвимости
Heartbleed, поскольку банк не использовал поддержку технологии Heartbeat протокола SSL ни в одной из систем, взаимодействующих с клиентами и клиентскими данными
Авторизуйтесь, чтобы принять участие в дискуссии.