Компания ActiveCloud, занимающая в Беларуси лидирующие позиции на рынке облачных решений и виртуального хостинга, сравнила сайты 27 белорусских банков и определила из них наиболее защищенные для интернет-пользователей.
Предметом исследования стало наличие у сайта банка актуальных цифровых сертификатов SSL, защищающих соединение между браузером пользователя и сервером сайта. Для корректной работы каждого сертификата используются специальные протоколы, один из которых летом 2015 года был объявлен небезопасным и больше не обеспечивает должную защиту – в нем найдена критическая уязвимость.
Специалисты компании ActiveCloud решили оценить возможные риски, поскольку SSL-сертификаты необходимы для систем интернет-банкинга, где требуется обеспечивать безопасность платежных и личных данных клиента. Для оценки сайтов интернет-банкинга специалисты использовали инструмент проверки Qualys SSL Labs.
По результатам тестов было выявлено, что наилучшую защиту своих интернет-банкингов обеспечивают БСБ Банк и МТБанк, получившие оценку «А» в SSL Server Test. Высокий рейтинг присвоен за использование самого безопасного на данный момент протокола TLS 1.2 и корректную защиту от распространенных уязвимостей. Такой же протокол используют еще 8 систем интернет-банкинга, однако они получили меньшую оценку.
«К сожалению, 30% проверенных нами сайтов получили общую оценку «F», поскольку имеют уязвимость POODLE. Она позволяет злоумышленникам перехватывать информацию, передаваемую между клиентом и сервером», – прокомментировал результаты продукт-менеджер компании ActiveCloud Евгений Мороз. «При этом подавляющее большинство банков используют алгоритм хеширования SHA-1, которому некоторые веб-браузеры с 2015 года присваивают сайтам статусы «небезопасно» либо «безопасно, но с ошибками». В этом случае пользователь видит вместо желаемой страницы предупреждение браузера о возможных угрозах. Мы рекомендуем таким банкам перевыпустить сертификаты, используя новый алгоритмом шифрования ключа SHA-256. Большинство вендоров делают это бесплатно в течение срока действия ранее приобретенного сертификата».
Часть сайтов, получивших оценку F, также подвержены атакам DH (Diffie-Hellman), при которых злоумышленники могут читать, копировать и изменять данные, отправленные пользователем. В этой ситуации наибольшее опасение вызывают формы онлайн-заявок на кредит, с помощью которых клиенты отправляют на предварительное рассмотрение паспортные данные, информацию о доходах и месте проживания, контактные номера телефонов и так далее. Ряд банков получают данные из онлайн-форм по незащищенным каналам – со страниц своих сайтов без использования шифрования информации.
Чтобы защитить данные клиентов, четыре белорусских банка – Приорбанк, Технобанк, Альфа-Банк и Идея Банк – установили SSL-сертификаты на своих основных сайтах, а не только на страницах интернет-банкинга. При этом сайт Технобанка получил максимальную оценку в абсолютном сравнении со всеми сайтами белорусских банков и систем интернет-банкинга. «Оценка «А» получена благодаря использованию сертификата с расширенной проверкой (EV), и правильным настройкам сервера, на котором расположен сайт банка», – отметил Евгений Мороз.
В ActiveCloud подсчитали, что сертификат с расширенной проверкой (EV) используют 11 банков. Получить его могут только те компании, которые успешно прошли расширенную проверку издателя сертификата. Как правило, вендор проверяет регистрационные документы клиента, наличие его в международных базах DUNS, права на использование домена и запрашивает дополнительные документы.
При использовании такого сертификата, сайт банка можно без труда отличить от сайта-двойника, созданного злоумышленниками для сбора личных данных клиентов, по зеленой адресной строке с указанием юрлица, которому выдан сертификат и символу закрытого замка.
Что касается сертификационных центров, то самыми популярными среди белорусских банков являются сертификаты от американской компании Thawte. Лишь несколько банков отдали предпочтение сертификатам от Geotrust и Comodo. Впрочем, результаты тестирования показывают, что степень защиты не зависит от выбора вендора.
Специалисты ActiveCloud проанализировали рекомендации Qualys SSL Labs по устранению выявленных проблем и подобрали наиболее актуальные для сайтов белорусских банков:
- Устранить уязвимость POODLE поможет установка патча или отключение протоколов SSL 2 и SSL 3, вместо которых следует использовать TLS 1.2;
- Устранить уязвимость FREAK можно деактивировав поддержку экспорта наборов шифров;
- Отказаться от использования шифрования SHA-1 в пользу SHA-256;
- Настроить Forward Secrecy и убедиться, что функция работает для большинства современных браузеров.
«Выбирая SSL-сертификаты, белорусские банки в первую очередь ориентируются на степень защищенности, а не на стоимость, поскольку это вопрос безопасности и имиджа банка. Однако технологии совершенствуются, растут угрозы атак, поэтому мы рекомендуем своевременно обновлять сертификаты, а затем обязательно обращаться к специалистам за дополнительной настройкой SSL», – отметил исполнительный директор компании ActiveCloud Артем Коханевич.
Проверить свой сайт при помощи SSL Server Test можно здесь за несколько минут.
