Рейтинг найбезпечніших онлайн банків України

безпечні банки

Більшість людей довіряють сервісів інтернет-банкінгу, будучи абсолютно впевненими в тому, що якщо банк пропонує онлайн банкінг, то він просто зобов'язаний бути безпечним.

Але чи так це насправді? проект Roomian.org вирішив розібратися.

Всі користувачі інтернет-банкінгу отримують доступ до сервісу онлайн банкінгу через веб-браузер, такий як, наприклад, Internet Explorer , Firefox або Chrome .

Браузер - це програма, яка дає користувачеві можливість обмінюватися даними з сервером інтернет-банкінгу вашого банку, використовуючи домашній комп'ютер, ноутбук або смартфон.

Безпека комунікацій між користувачем (веб-браузером) та сервером онлайн банку забезпечується за допомогою техніки шифрування даних. Інформація, якою обмінюється браузер з сервером банку шифрується певним чином.

Кращий спосіб перевірити, чи дійсно ваше з'єднання з банком зашифровано - це подивитися на адресний рядок браузера, коли ви зайшли на сайт онлайн банку. Якщо з'єднання зашифровано, то адреса повинен починатися з "httpS: // www ..." замість "http: // www ...", а поруч повинна бути піктограма замка. Це дає користувачеві певний рівень комфорту і розуміння, що обмін інформацією з банком зашифрований і безпечний.

Хочемо відразу відзначити, що ця стаття жодним чином не повинна посіяти паніку серед користувачів дистанційних сервісів банків, які ми протестували. Кожен з цих банків захищений достатнім чином, за допомогою цілого ряду інструментів (наприклад, одноразові паролі), щоб користувачі могли бути впевнені в безпеці своїх коштів.

Ми ж задалися питанням дослідити виключно процес шифрування між браузером користувача та сайтами онлайн банкінгу українських банків. Чи є достатнім шифрування даних? Чи можуть дані користувачів бути перехоплені зловмисниками?

У квітні вперше була виявлена ​​серйозна уразливість в протоколі OpenSSL під назвою Heartbleed , Десь через місяць, в травні, ще одна - можливість MITM-атаки (CVE -2014-0224) проти протоколів OpenSSL і TLS. Саме ці уразливості підштовхнули не тільки розробників, але і звичайних користувачів до вивчення надійності протоколів шифрування даних.

Читайте також: Через Heartbleed Райффайзенбанк і Яндекс рекомендують міняти паролі

Хороша новина - все банки, у яких є системи онлайн банкінгу, вже подбали про усунення проблеми Heartbleed. Також всі онлайн-банки мають у своєму розпорядженні довіреними сертифікатами одного з провідних центрів (наприклад, VeriSign).

Погана новина - ряд українських інтернет-банків залишається вразливим до MITM-атаки (CVE -2014-0224). Чи варто хвилюватися через це? Навряд чи. Хоча б тому, що зловмисник повинен якимось чином "вбудуватися посередині" між користувачем і сервером банку. В принципі, це можливо тільки при використанні користувачем публічних точок Wi-Fi в кафе, аеропортах або готелях.

У цій статті ми хочемо продемонструвати, які з сервісів інтернет-банкінгу в Україні є найбільш безпечними, за допомогою добре відомого в колах фахівців з ІТ-безпеки інструменту під назвою Qualys SSL Labs SSL Test .

Цей інструмент, який сертифікований PCI DSS як загальнодоступного сканера для пошуку вразливостей, може підказати, чи дійсно протокол шифрування даних є безпечним. Фахівці банків з ІТ-безпеки можуть абсолютно безкоштовно використовувати його для здійснення власних тестів.

Qualys - це провайдер систем інформаційної безпеки і конфіденційності даних з Каліфорнії, США. Компанія була заснована в 1999 і стала першою компанією, яка почала пропонувати рішення по управлінню уразливими через інтернет використовуючи модель software as a service (SaaS).

Тестуванням сервісів інтернет-банкінгу ми хочемо почати дискусію про те, чи дійсно банки в Україні серйозно сприймають проблематику ІТ-безпеки? Особливо що стосується публічних сайтів онлайн банкінгу, які взаємодіють з фінансової та персональною інформацією користувачів.

Сьогодні ми подивимося на HTTPS -уязвімості і проаналізуємо 19 українських інтернет-банків. Загальний рейтинг оцінюється за шкалою від A до F.

A - "відмінно", а F - "незадовільно". Рейтинг відображає ступінь уразливості процесу шифрування даних між користувачем і сервером банку і говорить про те, що зловмисники потенційно можуть отримати доспуп до цих даних, якщо сайт інтернет-банку недостатньо захищений.

1) Найкращі результати продемонстрували сайти онлайн банкінгу Фідобанк (А +), Райффайзен Банку Аваль (А), Дельта Банку (A), ПУМБ а (А-), Платинум Банку (А-), Банку Національний Кредит (А-) і УкрСиббанку (А-). Ці банки захистилися як від Heartbleed, так і від атак, пов'язаних з CVE -2014-0224. Крім цього, веб-сайти онлайн банкінгу мають діючими довіреними сертифікатами, вони підтримують найбільш надійний протокол TLS 1.2.

А сайт Фідомаркета навіть підтримує Forward Secrecy, це означає, що сесійні ключі, отримані за допомогою набору ключів довготривалого користування, які не будуть скомпрометовані при компрометації одного з довгострокових ключів.

2) Рейтинг "B" і "С" отримали сайти інтернет-банкінгу Приватбанку (В), ОТП Банку (B), Укрексімбанку (В), Укрсоцбанку (В), Промінвестбанку (В), Ощадбанку Росії (В), Хрещатика (В ), Надра Банку (С) і Альфа-Банку (С). Вони, переважно, незахищені від MITM-атаки (CVE -2014-0224), проте, згідно з Qualys SSL Labs SSL Test, вразливість не є критичною і користувачі можуть без будь-яких побоювань використовувати ці сервіси. Ці банки, як правило, не використовують протокол TLS 1.2, а також Forward Secrecy.

3) Чи не найкращий результат виявився у Ощадбанку (F), Російського Стандарту (F) і ВіЕйБі Банку (F), що відбулося з деяких причин:

• сервер онлайн-банку підтримує SSL 2, який вже сильно застарів і є небезпечним;
• сервер схильний MITM-атаки, оскільки підтримує insecure renegotiation;
• сервер онлайн-банку підтримує тільки старі протоколи, а не новий TLS 1.2;
• сервер не підтримує Forward Secrecy.

підсумок

Сильні стандарти і політики ІТ-безпеки є ключем до захисту даних і безпеки систем онлайн банкінгу. Ми сподіваємося, що ця публікація сприятиме поліпшень у сфері ІТ-безпеки банків України і створить додаткові робочі місця.

Рейтинг безпечних банків. Таблиця:

Втім, в коментарях до даної статті, ОТП Банк рекомендує "для забезпечення більш достовірних результатів використовувати професійні (а не рекламні) версії сканерів вразливостей, які, зокрема, використовуються ОТП Банком і дають зовсім інші, об'єктивні результати. Або використовувати відразу кілька сканерів для надання порівняльної інформації ".

На думку фахівців з ІТ-безпеки Райффайзен Банку Аваль, незважаючи на те, що при аналізі був використаний безкоштовний інструмент Qualys SSL Server Test, отримані результати слід брати до уваги. Найкраще ступінь довіри до інструменту Qualys може бути проілюстрована " магічним квадрантом "Компанії Gartner щодо даного типу засобів. "Але основна цінність Qualys SSL Server Test як інструменту в тому, що він відкритий і доступний всім. Кожен клієнт Райффайзен Банку Аваль може самостійно в будь-який час переконатися в високих стандартах банку щодо безпеки пропонованих сервісів ", - повідомив банк в своєму листі.

На думку фахівців Дельта-Банку, довіряти тесту Qualys SSL Server Test варто, так як він перевіряє не тільки підтримку сервером тих чи інших версій SSL, але і тестує можливі більш небезпечні загрози по уразливості (наприклад, той же HeartBleed). Тому Qualys SSL Server Test - цілком робочий інструмент при тестуванні публічних сервісів підприємства. В цілому ж тестується НЕ SSL, а настройки сервера, цитата "Detailed SSL configuration test of any public SSL server" і вказуються вразливі місця.

Запрошуємо фахівців прокоментувати якість інформації, що надається тестом Qualys SSL Labs SSL Test, а також нюанси проведення сканування вразливостей (використовувані програми, яка використовується практика і порядок тестувань і ін.) На адресу support {пов} roomian. org і ми з задоволенням опублікуємо вашу думку.

Популярні пропозиції (Україна)

гроші від МФО через 15 хвилин

Все, що вам потрібно - це інтернет і банківська картка

кредит готівкою від провідного банку

До 200 тис грн готівкою на будь-які цілі без застави та поручителів

кредитна карта кращого банку безкоштовно!

Успей отримати карту з кредитом до 75 тис грн, грейс 55 днів, до 10% на залишок