Сигурност на интернет банкирането на ПИБ. Да, Да!
от Михаил през 2008 в Welcome to Bulgaria, Лични мнения Добавете коментарВсички знаем, че Първа Инвестиционна Банка се отнася много сериозно към сигурността на интернет банкирането. За да не ги обвини някой в нещо, даже за много от операциите си изискват и електронен подпис.
Не знам до колко платените пари и неудобството на мъкненето на електронния четец наистина правят клиентите по-сигурни. Но може би е така.
Но много клиенти засега предпочитат да не плащат (доста значителната) годишна сума на Инфонотари и се авторизират пред системата с сертификат, име и парола. Което значи, че е жизнено важно те да са тайна, нали?
Е при големите вълнения при "усъвършенстването" на банкирането, много хора са се заключили. И следователно имат нужда от нови пароли. След посещение в банката, за да си заявите нова парола, тя ви се изпраща… по мейла!
Да, истина е. Ако все още не ви се вярва, погледнете картинката (кликнете за пълен размер):
Не, спрете да търсите за криптиране или каквато и да била сигурност. Името и паролата са си там - в plain text, достъпни за всеки!
Ми браво!
P.S. Преди някой да ме обвини в търсене на вол под телето, ще кажа, че първо
сме клиенти на банката от доста години и второ не пускам тази информация, за да злепоставям който и да е, а за да си поправят огромният пропуск. А той наистина е недопустим!
А ако просто се обадя на телефона и кажа, че това е неприемливо, никой няма да ми обърне внимание. Надявам се, така да се генерира по-голям натиск и да си променят политиката. Разбира се да не ме разберат погрешно и да кажат "ами тогава на ви! Всички - само с УЕП". Сигурността все пак дели територия с удобството и трябва да знаете къде точно да поставите границата.
P.P.S. И хайде си подпишете сертификата като хората. Писна ми като напиша https://fibank.bg, мозилата да ми гърми с невалиден сертификат.
Ако ви се чете още, съседните публикации са:
« БГ-символ? Не вадете от мухъла! || Синузитът… »
Или пробвайте тези:
- ОББ въвежда наказателна такса за собствените си клиенти
- ПИБ - връх на наглостта!
- Що за онлайн банкиране?
- Защо да си сменям WordPress-a?
- Пак за банкирането на ПИБ (статус 27 май)
юли 4th, 2008 at 8:32
Има и по-зле. Един колега ходи в събота да си пусне “ДСК Директ” - електронното банкиране на ДСК. В банковия клон никой не му поискал лична карта или нещо такова - просто си казал ЕГН-то, активирали му услугата и му дали име/парола.
Какво ми пречи да птида и да кажа нечие чуждо ЕГН? И така да получа пълен достъп до всичките му сметки? После ми трябва да направя само един превод на цялата наличност, защото няма ограничение или то е доста по-високо от колкото при банкомат…
юли 4th, 2008 at 9:07
ОК, ти какво предлагаш ? Как да стане смяната на паролата ?
На мен всичко ми се вижда нормално — пращат ти нова парола, ти се логваш с нея, и след това я сменяш. Много сайтове опирират така (въпреки, че не са банки).
После, ако съм прав, парола без сертификат е безполезна, нали така ?
юли 4th, 2008 at 9:48
И по-зле има … :)
После, ако съм прав, парола без сертификат е безполезна, нали така ?
Така е, но сертификата се снифва за части от секундата :)
Като имам в предвид по-зле ще визирам ОББ. Реших един ден да си снифна трафика и познай! Пост заявките с потребителското име и паролата си бяха в чисти plain text не криптирани :) Сертификата също цъфна :) Викам си невъзможно е! Реших да пробвам да вляза и хоп … познайте от 1 път какво се получи :)
юли 4th, 2008 at 9:58
Като чета, направо се плаша от банките. Абе то няма ли някаква стандартизация на подобни интернет услуги - минимум изисквания за сигурност, които трябва да покриваш, за да предлагаш подобна услуга?
юли 4th, 2008 at 10:09
Ми уж би трябвало да имат ама … С некадърни девелопери за по-малко пари …
Иначе за това иде реч:
http://free.ezua.com/images/5296891192511.JPG
http://free.ezua.com/images/619332.JPG
http://free.ezua.com/images/3964493238331.JPG
юли 4th, 2008 at 10:35
@run-time, ако измислиш как да sniff-неш сертификат, докат върви транзакция с него, сигурно ще получиш нобелова награда. Точно това е идеята на сертификата - може да се ползва и в/у незащитена връзка и пак няма как да бъде изваден. Иди прочети какво е challenge-response authentication.
Тук проблема е, че има интервал между пращането на паролата и сменянето и, в който тя е използваема, ако някой има и сертификата. Понеже опазването на сертификата е отговорност на клиента и паролата без него за нищо не може да се използва, в общи линии няма _толкова_ голям проблем.
(което не го прави по-малко грозно, аз бих направил вариант с това банката да каже “добре, ей-сега ще можете да си reset-нете паролата”, влизате в една страничка със сертификата, дето са ви продиктували по телефона (даже докато сте още на телефона) и ви показва новата).
юли 4th, 2008 at 10:40
И ако всичко това за ПИБ е за “новия” им софтуер, дето изглежда като че ученик в 5-ти клас или баба на 70 години са го писали и който съзнателно реших да не използвам (разбирай услугите на банката), въпреки че ги ползвах поне от 2001-ва - супер!!!
юли 4th, 2008 at 10:42
@Vasil - точно моята мисъл. А и сертификат се експортира прекалено лесно.
юли 4th, 2008 at 10:47
@Михаил, извинявай, ама това са глупости. Сертификата ти е защитен с passphrase, с която си го направил (например с паролата на security device в firefox-а), т.е. криприран с нея и изваждането му без да се знае паролата се свежда до налучкването и.
Ако потребителя е малоумен идиот, който не си защитава сертификатите и държи некриприрано копие на cd на бюрото си, си заслужава всичко, което му се случва. В противен случай ако сертификата се ползва правилно, е толкова сигурен, колкото и великия ни Универсален Електронен Подпис, само дето не изисква странно устройство към машината.
юли 4th, 2008 at 10:55
@Vasil Kolev: Сега разбираш ли защо е толкова зле положението в България, като опре до създаване на какъвто и да е, и особено банков софтуер :) ?
@Михаил: Как точно ти гърми мозилата, като напишеш http://каквото_и_да_е? Сертификат се ползва само при криптирана връзка?
Иначе през https:// мрънка и още как. Явно ПИБ няма $150 за истински сертификат от trusted authority, та си ползва свой самоподписан, и то на всичкото отгоре само за http://www.fibank.bg :)
юли 4th, 2008 at 11:08
Пак за ПИБ - понеже бях един от злощастните клиенти със заключени акаунти се наложи да платя 10лв за да ми пратят нова (да, по мейла).
Хората обаче ми бяха объркали мейл адреса (защо по дяволите трябва да се попълва мейл в молбата за нова парола при положение, че в акаунта ми го има?!?!) и се наложи да им звъня по телефона. Новата парола ми беше продиктувана по телефона - за целта ми беше поискано потребителското име…
Нямам думи…
юли 4th, 2008 at 11:12
Ето ти ги снифнати сертификати: http://free.ezua.com/images/401738cert.JPG
Сега достоен ли съм за нобелова награда? Ти им споделяш те … малоумен те изкарват ..
юли 4th, 2008 at 11:16
run_time, може би знаеш, че за да осъществиш SSL сесия, използваща автентикация с клиентски сертификат ти трябва частния ключ на сертификата.
Това, което си “снифнал” е публична информация. Тя по дефиниция не е тайна.
Чети за PKI.
юли 4th, 2008 at 11:22
Аз няма да конкретизирам. Само бих искал да спомена, че най-големият проблем на системите за банкиране е неясната идентичност на издадения X.509 сертификат. На пръв поглед това звучи като технически проблем, но истината е, че е социален. Доколкото издаденият от системата за банкиране X.509v3 сертификат се използва само за удостоверяване на сесията от клиентския браузър до сървъра, то браузъра най-често (поради политика на самия браузър), не извежда съобщение, че липсва удостоверителския сертификат, а дори да е наличен в сертификатното хранилище, не се извежда съобщение, че не са поставени съответните флагове на доверие върху сертификата. Забележете обаче, че наличието на клиентски X.509 сертификат реално ползва не клиента, а банката, защото чрез електронния подпис върху транзакциите банката е сигурна с голяма вероятност, че извършилия ги е клиента. Клиентът има индиректна сигурност от този сертификат. Той не служи за криптиране, защото криптирането се извършва чрез SSL сесията между сървъра и клиентска браузър, която пък се базира на договорен между тях симетричен ключ при ръкостискането. Клиентският X.509 сертификат се намесва в процеса по-късно и пак повтарям, той само подписва електронно изпращаната от клиента заявка за транзакция от браузъра към сървъра на банката!
Чрез използване на небрежен комерсиален удостоверител, може да се разиграе добра IP измама или DNS измама, засягаща SSL ръкостискането и оттам изобщо да се компрометира услугата. Малко хора изобщо осмислят този факт. За да не пиша фермани, давам URL към описания проблем, надявам се да описанието да бъде полезно за всички:
http://www.vesselin.org/papers/xhtml/x509_fraud.html
Мислите, че написаното горе е трудно? Така си мислите. Всички ползвате кеширащите сървъри на доставчиците. Вие вярвате ли, че те ви дават вярната информация при извършване на рекурсиуя? Да дам един хипарски пример. Много се шумя покрай домейните на кирилица и всички видяха цирка и излагацията на Г. Гачев и психото Базлянков. Че и си купиха домейни. Обаче за да ги виждал някой, видите ли, трябвало да зададе като рекурсивни сървъри за имена тези на някаква фантомна организация Унинет:
http://www.uninet.bg/dns.php
Хайде още една итерация мисъл - ще използвате ли вие тези рекурсивни сървъри за имена? При условие, че аз мога да издам от “легитимен” удостоверител на сертификати “на кило” X.509 сертификат за почти всеки хост на сървър за банкиране:)
юли 4th, 2008 at 11:22
Да ама това не ми попречи да си вляза в сайта с нейното потребителско име … Пък ако не вярваш ела ще ти демонстрирам. Без да имам частния ключ!
юли 4th, 2008 at 11:24
Хех, на Пощенска електронното банкиране нали взе някаква награда 2004 година .. е чи там няма сертификати ;) Имаш си име и парола и това е. Не знам какви точно възможности предлага тяхното банкиране, аама все пак, изглежда ми глупаво.
Някой има ли опит с другите банки — сега вече всички предлагат електронно банкиране
юли 4th, 2008 at 11:26
run_time,
Ако питаш мен, това значи, че SSL сесията не изисква автентикация с клиентски сертификат, а просто се ползва за криптиране на връзката.
Не твърдя, че въпросната банка има добра защита и че не можеш да влезеш в акаунта на колегата ти. Твърдя, че не можеш да “снифнеш сертификат”, както явно ти мислиш, че можеш. Поне не тази част от сертификата, която би ти свършила работа, при условие, че системата е направена както трябва (разбирай - часния ключ).
юли 4th, 2008 at 11:28
Ок .. ще се съглася. Въпроса е принципен :) Има банка има проблем … Признавам си с криптиранията не ме бива много, но пък това което си видях си е доста потресаващо.
А и не е лошо да се споделя :)
юли 4th, 2008 at 11:37
“Много шум за нищо!” - му се вика на това.
И да ти свият сертификата и да ти послушат паролата и потребителското име кво ще направиш с тях?
Верният отговор е малко:
1) ще видиш наличността по сметките
2) можеш да намалиш наличността, но е и да се възползваш от нея - (примерно 200 превода от левова в доларова сметка) - НО: ако съм си играл толкова, че да свия сертификата, само някой кръгъл идиот или съвсем отегчен човек ще си прави тоя труд
Към автора:
“P.S. Преди някой да ме обвини в търсене на вол под телето, ще кажа, че първо
сме клиенти на банката от доста години и второ не пускам тази информация, за да злепоставям който и да е, а за да си поправят огромният пропуск. А той наистина е недопустим!
А ако просто се обадя на телефона и кажа, че това е неприемливо, никой няма да ми обърне внимание. Надявам се, така да се генерира по-голям натиск и да си променят политиката. Разбира се да не ме разберат погрешно и да кажат “ами тогава на ви! Всички - само с УЕП”. Сигурността все пак дели територия с удобството и трябва да знаете къде точно да поставите границата. ”
А защо не пробва и примерно след 1 седмица без отговор тогава да го беше пуснал?
юли 4th, 2008 at 11:43
zloster,
Да дадеш някакви координати да ти препратя един мейл от 9 юни 2008? До шефа на виртуалното банкиране в ПИБ, любезно засягащ точно тези проблеми (или айде, да не са проблеми - забележки) по сигурността на услугата.
Познай дали имам отговор на писмото си. Съвсем правилно го е пуснал в блога си човека.
юли 4th, 2008 at 11:48
@Дончо: Прав си, извинявам се за грешката в бързописа. Така ми се получава, когато от адреса на интернет банкирането (което имам на bookmark) изтрия “е-”, за да отида на основния сайт.
@zloster: Обаждал съм се за други проблеми (с наличностите). Отговор има ли? - познай ти.
юли 4th, 2008 at 12:01
Въпросът ми беше за този проблем. Понеже си говорим за принципни неща :).
Не виждам коментар за другото написано от мен. Какво ще стане ако някой (недброжелател) успее да се оторизира пред системата вместо теб? - затова казвам много шум за нищо.
@Александър Илиев: zloster.the в гмейл-а.
юли 4th, 2008 at 12:09
Защо ли банковите сметки изобщо да са тайна? Хммм….
юли 4th, 2008 at 12:25
Е те сметките няма как да са тайна :-P
Да не могат да изтеглят пари ама по тая логика дай да ги напускаме всякакви случайни в касата ни да гледат .. Пък ако са данъчни ще е още по-хубаво :-D
юли 4th, 2008 at 13:42
@Михаил: :), пак бягаш по тъча. Твърдиш, че не искаш да злепоставяш никой. Но ти не си направил всичко, което зависи от теб по случая.
Като държиш да ти е в тайна съдържанието на банковата ти сметка проверил ли си в колко банки сумите се държат криптирани в базата? И колко им е силна криптацията на връзката между компютрите в клона на банката и централната система? Образовани хора сте, а винаги човешкия фактор се забравя.
Ааа последно - проверявал ли си как си унищожават хартиените документи? :)
юли 4th, 2008 at 14:59
Никакво бягане няма тук.
Написах го защото бях сигурен, че ще се намерят хора, които да ме обвинят именно в това.
Ако открия подобни неща за друга банка - и за нея ще напиша. А колкото до ТЕХНИЯ пропуск, банката може да го разгледа по два начина - като съвестно си поправи процедурата или като се прави на ощипана госпожичка.
Ако на мен ми посочи клиент подобна дупка в процеса (а аз именно с такива неща се занимавам), аз ще му благодаря и веднага ще започна поправки.
Според мен подобни недостатъци трябва да са публични.
юли 4th, 2008 at 21:57
Хехе, около мен пък една “водеща” банка има некриптиран вифи линк между клон и офис и всеки може да слуша на воля. А пък при желание може и терминал да си закачи.
Порнографията е пълна.
юли 5th, 2008 at 17:26
@run_time
По повод снифването на данни за интернет банкиране, вероятната причина да имаш име и парола в некодиран вид е факта че си ползвал абсолютно пиратска програма която извършва незаконни действия. Ако пробваш същото със snort или подобна на нея, ефекта вероятно няма да е същия.
А аз като клиент на ПИБ пробвах да снифна трафика със snort под линукс, и останах доволен че никъде не се открива име и парола, цялата връзка с банката е криптирана.
Така че единствения вероятен проблем е посоченото от автора изпращане на парола в некодиран вид по имейла. Лично аз не съм си губил паролата и такова нещо не ми се е случвало.
юли 5th, 2008 at 18:15
@run_time + останалите, вярващи в “снифенето” на сертификати
При установяването на SSL сесията се разменят публичните ключове на клиента и сървъра, след което, използвайки несиметрично криптиране се изпраща случйно генериран симетричен ключ, който всъщност се използва за криптирането на данните. Обикновено, сървърния сертификат е издаден предварително, а клиентския се генерира сесийно на случаен принцип. Тук е тънкия момент в случая - сървърния сертификат на e-fibank.org не е подписан от доверен удостоверител - нито такъв, регистриран в България, нито някой по света, чиито базов сертификат се намира в браузъра. Това не позволява да се провери сертификата по цялата верига на подписване и отваря възможност за извършване на активна Man-In-The-Middle атака, която Cain, без да знаеш е направил за теб.
Случило се е следното: cain е “отровил” ARP кеша на твоята жертва, която се намира в същата подмрежа като теб. Така всички пакети на жертвата ти, предназначени за рутера минават първо през твоята машина, където можеш да си ги рутираш накъдето първоначално е трябвало да стигнат, или да ги модифицираш.
Когато се опита логване в e-fibank.org по SSL, cain генерира *две* двойки ключове и съответно на теб ти дава единия публичен ключ, вместо публичния на сървъра, а при сървъра отива другия публичен, вместо твоя. Така ефективно се пре-криптира всичко, което минава по канала през теб, като ти дава възможност не само да го подслушаш, но и да го промениш.
Това, че паролите “цъфват” значи, че няма и елементарен challenge-response authorization, което също въобще не е добре. Но дори и да го имаше, session hijacking-a щеше да влезе в действие.
Ако правилно си спомням, банкирането на ПИБ използва и клиентска оторизация със сертификатите и горното описание на събитията там няма да работи, поне ако са си конфигурирали правилно сървърите.
Което, обаче не е случая с ОББ, както лични от screenshoot-овете на run_time.
Иначе, “снифнатите” сертификати са просто фалшивите генерирани сървърни.
Вадете си изводите сами.
юли 8th, 2008 at 10:56
Михаил, извинявай, но аз като реших да ползвам сертификата, и мисля, че паметта не ме лъже, сама си избрах как да ми изпратят паролата. Така че не знам защо търсиш в ПИБ проблема. Ти не си ли посочил в крайна сметка как искаш да получиш паролата си?
юли 8th, 2008 at 11:49
По мейла в plain text не трябва да е опция. Колко му е да предложат поне криптиране.
Хората може и да си мислят, че е удобно, но всеки може да им вземе паролата.
Виж оторизацията на Пиреос например колко е по-сигурна - пращат ти sms с код, валиден само няколко минути.
Виж и коментар 6 - отново - хем все още удобно, хем поне малко по-сигурно.
Но като чета коментарите за ОББ, май все пак може и по-зле.
юли 9th, 2008 at 10:10
Може и да си прав за това, което казваш. Защо не им предложиш опции в блога на банката. Може пък да се вслушат и да допринесеш за някое полезно подобрение.
юли 10th, 2008 at 21:52
zloster, кво се правиш на луд… просто е брутално да се пуска парола по имеил особено за банкова сметка
юли 11th, 2008 at 20:35
Михаил е напълно прав, тук изобщо няма място за коментар. От ПИБ ако претендират, че са сериозна банка - незабавно трябва да вземат мерки - пращането на парола по e-mail в plain text е абсолютно недопустимо и е в разрез с всяккави правила за сигурност на информацията.
Според мен в такъв случай паролата трябва да се дава лично, срещу представяне на лична карта или в най-лошия случай - по-телефона, след верификация от страна на банката, че човекът, който се обажда е точно този за когото се представя.
Мога да дам и друг пример за банка в България (а може би има и други такива банки), които изпращат извлечения по движения на кредитни карти по e-mail диретно в plain text - и това е общо взето единствения начин да си получиш извлечението - в този случай една криптировка на PDF с парола би била повече от достатъчна, но уви!
Всичко ще си дойде на мястото, когато от ЕС бъдат наложени стандарти за преносимост на банкова информация. В България банките има още много хляб да ядат на тази тема и нехаят, но много скоро всичко ще трябва да се промени.
юли 15th, 2008 at 14:09
От опит знам, че временната парола може да се изпраща по мейл, само ако не можеш да си я получиш по друг начин. Аз имах такъв случай с ПИБ, помолих да ми я пратят, но трябваше изрично да декларирам, че съм наясно с рисковете от преноса на тази информация. Освен това те не споменваха потребителско име в мейла до мен! Абе, напрактика ти нали ползваш УЕП, защото не можеш да се логнеш в системата без него и ПИН, няма страшно, не си изложен на риск. А и не се съмнявай - в банките знаят как от правна гледна точка да си връзват гащите, не ги подценявай.
септември 9th, 2008 at 22:09
http://asl-bg.com/t13080
на този адрес има описани множество проблеми открити при работа с интернет банкирането на ПИБ