Menu

Vlog

Sleduj ma

alian.info

Twitter

Ako sú na tom Slovenské banky s HTTPS je lepšie nevedieť

Piatkový večer, búrka a dážď mi pokazili plány na večer. Tak som sa dostal aspoň k tomu, čo som už celkom dlho plánoval – ako a či vôbec banky používajú HTTPS. V dnešnej dobe ide takmer o povinnosť na bežných weboch, dôvodov je niekoľko – od lepšej pozície až po tú bezpečnosť a spísal som ich v článku 4 dôvody, prečo používať HTTPS na bežnom webe.

S rozmachom Let‘s Encrypt a výhod HTTP/2 nejde o žiadnu veľkú vedu a Domain Validation (DV) certifikát je tak dostupný naozaj každému. Pre eshopy a finančné portály je odporúčaný Extended validation (EV) certifikát. To je taký ten zelený prúžok vo vašom prehliadači. Jeho získanie je náročnejšie nakoľko sa overuje subjekt pre ktorý sa vydáva a autorita za to ručí.

Jedna vec je teda nasadenie HTTPS a druhou správne nasadenie. Za posledné roky sa našlo veľa bezpečnostných problémov – stačí spomenúť Heartbleed, na ktorý som otestoval viac ako 300 tisíc .SK domén, alebo POODLE attack.

Normálne by človek povedal, že subjekty ako banky musia mať toto vychytané, veď aj obyčajný blog ako je tento môže mať hodnotenie A+ od Qualys a ich SSL Labs. Opak je ale pravdou.

Ako test prebiehal

Banky so sídlom na Slovensku

</tr>
<tr>
    <td>Poštová banka, a.s.</td>
    <td><a href="https://www.postovabanka.sk/" target="_blank">www.postovabanka.sk</a></td>
    <td style="background-color:#6AD232;">A-</td>
    <td><a href="https://moja.postovabanka.sk/" target="_blank">moja.postovabanka.sk</a></td>
    <td style="background-color:#6AD232;">A-</td>
</tr>
<tr>
    <td>Prima banka Slovensko, a. s.</td>
    <td><a href="https://www.primabanka.sk/" target="_blank">www.primabanka.sk</a></td>
    <td style="background-color:#6AD232;">A+</td>
    <td><a href="https://ib.primabanka.sk" target="_blank">ib.primabanka.sk</a></td>
    <td style="background-color:#FF3A20;">F</td>

</tr>
<tr>
    <td>Privatbanka, a. s.</td>
    <td><a href="https://www.privatbanka.sk/" target="_blank">www.privatbanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ibank.privatbanka.sk/" target="_blank">ibank.privatbanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Prvá stavebná sporiteľňa, a. s.</td>
    <td><a href="https://www.pss.sk/" target="_blank">www.pss.sk</a></td>
    <td style="background-color:#6AD232;">A+</td>
    <td><a href="https://moja.pss.sk/" target="_blank">moja.pss.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Raiffeisen BANK (Tatra banka a.s.</a></td>
    <td><a href="https://www.raiffeisen.sk" target="_blank">www.raiffeisen.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.raiffeisen.sk/" target="_blank">ib.raiffeisen.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Sberbank Slovensko, a. s.</td>
    <td><a href="http://www.sberbank.sk/" target="_blank">www.sberbank.sk</a></td>
    <td style="background-color:#FF3A20;">nemá HTTPS</td>
    <td><a href="https://ibs.sberbank.sk/" target="_blank">ibs.sberbank.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Slovenská sporiteľňa, a. s.</td>
    <td><a href="https://www.slsp.sk/" target="_blank">www.slsp.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.slsp.sk/" target="_blank">ib.slsp.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Slovenská záručná a rozvojová banka, a. s.</td>
    <td><a href="https://www.szrb.sk/" target="_blank">www.szrb.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
    <td><a href="https://www.szrb.sk/sk/internet-banking/" target="_blank">www.szrb.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
</tr>
<tr>
    <td>Tatra banka, a. s.</td>
    <td><a href="http://www.tatrabanka.sk/" target="_blank">www.tatrabanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://moja.tatrabanka.sk/" target="_blank">moja.tatrabanka.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Všeobecná úverová banka, a. s.</td>
    <td><a href="https://www.vub.sk/" target="_blank">www.vub.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
    <td><a href="https://ib.vub.sk/" target="_blank">ib.vub.sk</a></td>
    <td style="background-color:#6AD232;">A</td>
</tr>
<tr>
    <td>Wüstenrot stavebná sporiteľňa, a. s.</td>
    <td><a href="http://www.wuestenrot.sk/" target="_blank">www.wuestenrot.sk</a></td>
    <td style="background-color:#FFD030;">C</td>
    <td>x</td>
    <td>x</td>
</tr>
Názov banky Web banky SSL report Internet banking SSL report
Československá obchodná banka, a.s. www.csob.sk A+ ib24.csob.sk A-
ČSOB stavebná sporiteľňa, a. s. www.csob.sk A+ x x
OTP Banka Slovensko, a. s. www.otpbanka.sk B otpdirekt.otpbanka.sk A

Zoznam zahraničných bánk

Názov banky Web banky SSL report Internet banking SSL report
Banco Banif Mais, S. A. www.cofidis.sk F x x
BKS Bank AG www.bksbank.sk mismatch x x
Citibank Europe plc citibank.com C x x
COMMERZBANK Aktiengesellschaft www.commerzbank.sk A cbportal.commerzbank.com A
Fio banka, a.s. www.fio.sk A www.fio.sk A
ING Bank N. V. www.ingwholesalebanking.sk mismatch x x
J&T BANKA, a. s. www.jtbanka.sk A e-portal.jtbank.cz A
KDB Bank Europe Ltd. sk.kdbbank.eu nemá HTTPS netbank.kdbbank.eu F
Komerční banka, a.s. www.koba.sk A+ x x
mBank S.A. www.mbank.sk nemá HTTPS online.mbank.sk A+
Oberbank AG www.oberbank.sk mismatch banking.oberbank.sk A-
The Royal Bank of Scotland N. V. x x access.rbsm.com C
UniCredit Bank Czech Republic and Slovakia, a. s. www.unicreditbank.sk C sk.unicreditbanking.net A+
ZUNO BANK AG www.zuno.sk A moje.zuno.sk A-
* BKS Bank AG používa certifikát vydaný pre bks.at * Citibank ma homepage na SSL, ale Slovenská podstránka nie je na HTTPS * ING Bank N. V. používa certifikát vydaný pre ingwb.com * Oberbank AG používa certifikát vydaný pre oberbank.at

Zhrnutie

Priznám sa, že osobne som očakával zelené pole. Myslím, že tolerantnejší môžeme byť pri webových prezentáciách bánk, no pri internet bankingu treba byť nekompromisný.

Samozrejme je možné sa v tom vŕtať hlbšie. Či nájdené problémy sú naozaj reálne, aký útok je možné zneužiť a či vôbec a podobne. To už nechávam na samoštúdium. Myslím, že je sa od čoho odpichnúť. Pri hľadaní podobných testov som narazil na jeden z Českej republiky, ktorý tak isto stojí za pozornosť.

Kapitolou samou o sebe sú bezpečnostné hlavičky, ktoré majú tak isto svoju váhu. Celkom komplexný nástroj nájdete na securityheaders.io. Do tohto sa už nebudem púšťat radšej vôbec, lebo by mi bolo ešte viac smutno.

Mohli by vás zaujímať aj tieto články

Prilákajte hackerov na med a pozrite sa im pod prsty | VLOG #43

Každé zariadenie vystavené do internetu je vystavené pokusu o útok. Dnes si predstavíme, čo to je honeypot a ako vám môže pomôcť zistiť, o čo útočník

Weekly #27

Technológie MongoDB security tips The Dark Side of MongoDB’s New License Oracle Database 18c XE now available! The differing definitions of “serverles

62% PHP webov čaká bezpečnostný problém | VLOG #39

Až 78.9% internetových stránok podľa w3techs.com poháňa PHP. Z nich verzia 5.x tvorí až 61.6% čo je - povedzme si na rovinu obrovské číslo. Poslednou

Publikované 08.08.2016

Tagy

security 🔓internet

Zdieľaj článok

TOPlist TOPlist