Reakce na článek o bezpečnosti internetbankingu

Reakce na článek o bezpečnosti internetbankingu
Waldviertler Sparkasse von 1842 a Živnostenská banka se po uveřejnění našeho článku "Test bezpečnosti internetbankingu: zklamání" ohradily vůči některým uvedeným údajům. Jejich reakce a komentář autora zmíněného článku si teď můžete přečíst a zhodnotit.

Z důvodu přehlednosti postupně uvádíme kritizované části původního textu, které se přímo týkají jedné či druhé banky. Vždy následuje komentář banky resp. dodavatele internetbankingu banky a vysvětlení Antonína Beneše, autora kritizovaného textu.

Kritika ze strany dodavatele internetbankingu Waldviertler Sparkasse von 1842 (profil, názory)

Peníze.CZ napsaly: Výjimku potvrzující pravidlo tvoří Waldviertler Sparkasse, jejich systém komunikuje prostřednictvím zpráv šifrovaných na aplikační úrovni. Dodavatel aplikace sice též tvrdí, že používá SSL, ale klient SSL spojení s bankou v průběhu testu opravdu nenavazoval. Bohužel, klíč, od kterého se šifrování odvozuje je asymetrický klíč poměrně malé délky (do 512 bitů). K dosažení reálné bezpečnosti přenášených dat je to málo.
Jakými klíči se prokazuje server banky? Od kvality těchto klíčů se odvíjí jistota, že uživatel komunikuje opravdu se serverem banky a ne s útočníkem, který se za banku vydává. Navíc při použití SSL protokolu se od těchto klíčů odvíjejí dříve zkoumané šifrovací klíče pro ochranu spojení, takže pokud je něco v nepořádku zde, nelze spoléhat ani na důvěrnost dat.
Waldviertler Sparkasse získala druhý černý puntík, neboť shora popsané klíče jsou v tomto směru dvojchybou. Certifikáty ostatních bank jsou bez větších problémů.

Pavel Macháč ze společnosti ComTech, dodavatel internetbankingu Waldviertler Sparkasse von 1842, komentuje: Naše internetové bankovnictví skutečně SSL používá. Pokud by se autor namáhal, zjistil by to poměrně jednoduše, pomocí programů pro sledování sítě např. ethereal nebo ssldump. Autor zřejmě očekával použití HTTPS na vyšší úrovni protokolu. Vzhledem k tomu, že se nedočkal usoudil, že SSL není použito.
SSL, Security Socket Layer je vrstva, která leží pod aplikační vrstvou TCP/IP stacku. Není tedy bezpodmínečně nutné, na vyšší úrovni, používat protokol HTTPS. Jako certifikační autorita je použit datový server banky. Vzhledem k tomu, že se jedná primárně o spojení "klient – banka", je tento způsob více než dostatečný a nejbezpečnější, certifikát obdrží klient přímo od banky. Je třeba si uvědomit, že SSL není všeobjímající řešení. Většina aplikací totiž vrstvu SSL používá k autorizaci spojení pouze jedním směrem, autorizuje se server. Teoreticky lze použít SSL i pro autorizaci opačným směrem.
Nevím, jakým způsobem došel autor článku k délce klíčů asymetrického šifrování 512 bitů. Stačí se totiž zaregistrovat na serveru banky. Z dokladu o registraci jednoznačně vyplývá, že délka klíčů je 1024 bitů. Autor článku to zřejmě nepovažoval za důležité.

Kritizovaný článek

Redakce některé sporné formulace upravila. Přečtěte si současnou podobu textu Test bezpečnosti internetbankingu: zklamání.

P.CZ: Kapitolu samu pro sebe tvoří Waldviertler Sparkasse, jejíž aplikace komunikuje prostřednictvím šifrovaných zpráv. Na začátku zadané heslo se pravděpodobně použije k aktivaci klíče, neboť aplikace pozná vadné heslo bez komunikace s bankou. Klíče jsou v každém případě uloženy v souboru, který lze přesouvat.

P.M.: Velice zajímavý názor. Zajímalo by nás, z kterého palce si tyto "informace" autor vycucal. Zřejmě nenašel vpravo dole ve svém MS IE symbol zamčeného zámku a usoudil, že je vše špatně. Možná by neškodilo, kdyby si prohlédl zdrojový text stránky. Možná by pochopil, že celý systém je postaven trochu jinak, než předpokládá. Možná by se zeptal.
Stručně se zmíním o systému autentizace klienta vůči serveru a naopak. Jak jsem uvedl výše, SSL má dvě úlohy, autorizuje spojení, jedním směrem, a provádí šifrování dat na lince, nic více a nic méně. Protože máme k dispozici prvky asymetrického šifrování, pro zabezpečení podání pokynů, můžeme autorizovat spojení oběma směry. Vytváříme tedy prostřednictvím SSL tunel, v rámci kterého je provedena následná autorizace a šifrování. Pokud vám to připomíná KB jste na správné stopě. Tento systém je totiž standardní pro toho, kdo používá mechanismus elektronického podpisu.

P.CZ: Vypršení limitu jsem nepozoroval u eBanky, Waldviertler Sparkasse, Volksbank, Raiffeisenbank, za což si všichni jmenovaní zaslouží opovržení.

P.M.: Nevím, jak autor článku zjišťoval vypršení limitu. Pokud čekal, že se mu objeví pole odpočítávající čas do přerušení spojení s naším serverem, pak byl jistě zklamán. Dovoluji si ho však ubezpečit, že vypršení časového limitu je v našem internetbankingu implementováno a klient je od serveru odpojen. Navíc po třiceti sekundách probíhá nová autorizace spojení. Je nutné si také uvědomit, že implementace obsahuje elektronický podpis, který je nutný pro jakékoliv aktivní operace.

Reakce autora článku Antonína Beneše na kritiku WSPK:
Jsem si jist, že je pravda to, co bylo napsáno v mém článku. Není pravda, že se autor nenamáhal, autor se namáhal. Za účelem zkoumání, co si vlastně klient s bankou povídá, jsme dokonce na testovací počítač nainstalovali windump, abychom viděli, co teče za komunikaci. Konstatovali jsme tehdy, že klient v rámci kroku zahrnujícího výpis z účtu nenaváže SSL spojení. Namísto toho tam v době testu běžela komunikace, kterou nebylo možné triviálně přiřadit k některému ze známých protokolu, nicméně nepopírám, že vypadala jako šifrovaná.
Také klíč byl ve formátu, který není na první pohled poznat. Nicméně z velikosti kódovaných dat bylo zřejmé, ze uvnitř s největší pravděpodobností nebude 512bitový klíč.
Ovšem od doby hodnocení uplynulo čtvrt roku. Teď bude těžké zjistit, jak vypadala aplikace v době, kdy jsme ji testovali, a zkoumáním té dnešní už nic nezjistíme.

Kritika ze strany Živnostenské banky (profil, názory)

Jan Smítek z odboru Řízení segmentů a produktů retailového bankovnictví Živnostenské banky nám napsal, že jsme v tabulkách uvedli dost nepřesné údaje, "což je potom podáno a negativně hodnoceno i v samotném textu." Jedná se o údaje o způsobu zabezpečení komunikace "banka – klient". Tyto údaje redakce upravila brzy po vydání článku.

Původně bylo v tabulce uvedeno, že banka má vlastní SSL serverový certifikát s délkou klíče 512 a použitý algoritmus md5RSA. Správně mělo být, že serverový certifikát o délce klíče 1024 je od společnosti VeriSign a použitý algoritmus je sha1RSA.
V přehledech uvedený algoritmus md5RSA je potom použitý pro klientské certifikáty (vydávané Certifikační autoritou ŽB), které mají volitelnou délku klíče 512 - 768 - 1024. Navíc byla v článku v souvislosti s ŽB uvedena poznámka o standardu x509 verze 1, přičemž banka používá (a na webu máme také uvedeno) x509 verze 3.

Reakce autora článku na kritiku Živnobanky:
V případě Živnobanky jsem se v textu bohužel skutečně dopustil nepřesnosti. Banka používá 1024bitový klíč serveru a 512bitový klíč klienta.
Jenže ono to není tak jednoduché. Je pravda, že RSA encrypted premaster secret message se posílá šifrovaná veřejným klíčem serveru a že z této zprávy je následně odvozen šifrovací klíč, který chrání spojení. Tedy až dosud mi nezbývá než souhlasit, že skutečně ŽB zajišťuje ochranu komunikace 1024bitovým klíčem, což lze považovat za dostatečné. Omlouvám se za nepřesnost.
Předpokládám, že chyba nastala v důsledku nepřesného přepisování textu podle poznámek pořízených v průběhu testování a velmi mne mrzí.

Své komentáře k tématu, k naší soutěži Internetová banka roku, k zabezpečení vámi používané internetbankingové aplikace apod. nám můžete jako obvykle zanechat

Držíte se udržitelnosti?

Držíte se udržitelnosti?

Generali Česká pořádá soutěž SME EnterPRIZE, která oceňuje udržitelné podnikání. Přihlásit se můžete do 5. dubna.

Sdílejte článek, než ho smažem

Líbil se vám článek?

-3
AnoNe
Vstoupit do diskuze
V diskuzi je celkem 7 komentářů

Diskuze

Příspěvek s nejvíce kladnými hlasy

7. 6. 2005 18:33

Neanonymní HTTPS znamená, že server vyžaduje autentizaci klienta klientským certifikátem - je myšlena anonymita/neanonymita z pohledu klienta. Je pravda že to není tak rozšířené jako anonymní HTTPS, ale docela se mi líbí "průhlednost" a "standardnost" takového řešení (nějak nemusím "security by obscurity" a různá proprietální řešení - princip by měl být IMHO veřejný a na první pohled zřejmý), i když nevýhodou je že klient je nucen vyřizovat si certifikát. Jinak samozřejmě s nutností autentizace serveru máte naprostou pravdu.

Zobrazit celé vlákno

+47
+-
Reagovat na příspěvek

Příspěvek s nejvíce zápornými hlasy

10. 6. 2005 10:32, Michal Kára

Chyba je jednoznacne na strane autora clanku, ktery si vetu "bankovnictvi vyuziva SSL" vylozil jako "bankovnictvi vyuziva HTTPS" (HTTP protokol tunelovany SSL spojenim). A kdyz zadne HTTPS nenasel, tak prohlasil, ze SSL se nepouziva.

Zobrazit celé vlákno

-21
+-
Reagovat na příspěvek
Vstoupit do diskuze
V diskuzi je celkem (7 komentářů) příspěvků.

Nejlevnější aplikace na trhu. Zpracujte si daňové přiznání pro fyzické osoby v roce 2024 v jednoduché online aplikaci. Pro naše čtenáře exkluzivní sleva 10 %.

DníHodinMinutVteřin
Slevový kód: PENIZE1O
Vyplnit přiznání

Pokud chcete řešit daně po staru, máme pro vás chytré formuláře.

A tohle už jste četli?

Kdo získal titul Internetová banka roku?

25. 5. 2005 | Petr Vykoukal | 1 komentář

Kdo získal titul Internetová banka roku?

Chcete vědět, která banka si odnese titul "Internetová banka roku"? Kdo zvítězil v hlasování čtenářů? A kdo nabízí klientům nejlevnější účet? Dozvíte se i ve kterých oblastech byly... celý článek

Internetbanking ve světle sazebníků

19. 5. 2005 | Petr Vykoukal

Internetbanking ve světle sazebníků

Důležitým parametrem jakékoliv bankovní služby je její cena. Z našeho testu vyplývá několik zajímavých věcí. Například banky často vnímané jako drahé jsou schopny nabídnout srovnatelnou,... celý článek

Zabezpečení internetbankingů: tabulky

18. 5. 2005 | Antonín Beneš

Test bezpečnosti internetbankingu: zklamání

18. 5. 2005 | Antonín Beneš | 1 komentář

Test bezpečnosti internetbankingu: zklamání

Které internetbankingové aplikace jsou a nejsou bezpečné? Je zajištěna důvěrnost přenášených dat? Jak banka rozpozná klienta od zlodějského útočníka? Jak je zabezpečeno podání příkazu?... celý článek

Živnobanka: žlutomodrý standard

17. 5. 2005 | Petr Vykoukal

Živnobanka: žlutomodrý standard

Standardní a příjemná aplikace, které by ale neškodilo více funkcí – takové je internetové bankovnictví Živnobanky. Více si přečtěte v našem testu.

Partners Financial Services