L'accesso al conto bancario su Internet è davvero sicuro?

13

Prima di porre la mia domanda, vorrei accertarmi di aver compreso correttamente le impostazioni.

Quindi, il dato:

  • Un client, utilizzando un browser Web (firefox, ad esempio) - il Client
  • Il server della banca - il Server
  • Il Cliente stabilisce la connessione HTTPS con il Server
  • Viene utilizzato un certificato SSL firmato da una CA ben nota
  • La password di accesso al conto bancario del cliente è buona e ben protetta.

Ora, mi sto chiedendo cosa lo rende invulnerabile all'attacco del MITM? Immagina:

  • Qualcuno ottiene una certificazione SSL legittima firmata da qualsiasi CA ben nota e rilasciata a un determinato computer.
  • Quindi, dobbiamo far passare il traffico HTTP attraverso questa macchina. È possibile se la macchina è configurata per essere un router e si trova da qualche parte vicino agli endpoint: la rete aziendale o il relativo ISP sono quelli che vengono in mente.
  • La macchina funziona come un proxy MITM. Ora, il browser dovrebbe comunque avvertire il Client , perché il certificato presentato viene rilasciato a un host diverso da quello nell'URL, ma l'esame del certificato rivelerebbe che è assolutamente valido ed è rilasciato da un affidabile CA: potrebbe ingannare l'essere umano accettandolo.

Quindi, la mia domanda è questa: è vero che la sicurezza della contabilità online dipende da:

  • La severità del processo di firma dei certificati SSL da parte di ben note CA.
  • La sicurezza dei laboratori IT aziendali e ISP.

Che è in aggiunta al potere della matematica dietro la crittografia, naturalmente.

Grazie.

    
posta mark 19.12.2011 - 18:17
fonte

6 risposte

20

La sicurezza è relativa, ad esempio l'accesso a una banca nella vita reale è molto sicuro? Potresti essere derubato al punto di arma da fuoco. Il tuo bancomat potrebbe avere uno skimmer per rubare i dati dalla tua carta.

Sicuri SSL ha i suoi problemi , PKI ha anche i suoi problemi e persone ci stanno lavorando . Il EFF sta promuovendo "Sovereign Keys" , che in pratica impedisce a paesi come Iran da falsificare un certificato valido per Gmail . La soluzione proposta da Moxie Marlinspike per le CA canaglia è Convergence .

Pochissime persone possono sfruttare un attacco SSL, ma quando si rompe è davvero pessimo. Tuttavia, un attacco MITM non ti farà sparare. Quindi l'online banking è molto più sicuro di qualsiasi altra alternativa che abbiamo attualmente.

    
risposta data 19.12.2011 - 19:13
fonte
8

Come hai scoperto, sì, dipende dal fatto che il sistema SSL sia stato compromesso (o un certificato rilasciato a una parte che non possiede il sito reale o l'iniezione di un falso certificato CA nel client) e per il browser che tenta di connettersi tramite il sito MITM (come proxy, o tramite avvelenamento DNS o iniezione di routing).

O da solo (AFAIK) non consentirà che la connessione venga compromessa in un modo non rilevabile dal client. Si noti che ciò significa che qualsiasi organizzazione che fornisce sia l'instradamento che l'elenco CA iniziale possono compromettere il servizio (gli ISP utilizzati per raggruppare MSIE 4 / Netscape 4 insieme a un CD di installazione per i servizi di accesso remoto, spesso viene ancora installato il software per l'accesso un router ADSL con connessione USB o addirittura di rete, offrendo l'opportunità di armeggiare con l'elenco CA).

"Ora, il browser dovrebbe comunque avvisare il Cliente, perché il certificato presentato viene rilasciato a un host diverso da quello nell'URL" - ma hai detto che l'emissione era "legittima"? Se il certificato non corrisponde al nome host, non è legittimo.

Ma ci sono ancora molti altri modi per minare la sicurezza di un sito web senza andare a queste lunghezze.

    
risposta data 19.12.2011 - 18:31
fonte
5

La tua comprensione è corretta. Un rischio ancora maggiore (in molte situazioni) è il malware sul computer client che si sta utilizzando per effettuare operazioni bancarie online. Il malware può sconfiggere completamente tutte le difese di sicurezza: SSL, anti-virus, il tuo nome. Abbiamo già visto questo tipo di malware utilizzato ampiamente in natura, in genere per rubare denaro alle piccole imprese. Quindi, l'online banking è roba piuttosto spaventosa.

Detto questo, come individuo, utilizzo volentieri le banche online tutto il tempo. Tu sai perché? Perché la mia banca promette che, in caso di accesso non autorizzato, mi renderanno intero. Fintanto che utilizzo pratiche ragionevoli (scegliere una buona password, non dirlo a nessuno, disconnettersi dopo aver effettuato il bonifico bancario), in caso di addebiti non autorizzati sul mio conto, la banca è responsabile per eventuali perdite, non me. Ciò significa che sono al sicuro e non devo preoccuparmi dei rischi.

Ad esempio, qui Politica di Bank of America :

With our Online Banking service, you can be confident that your Bank of America accounts will be secure and protected. Our safe online banking service includes $0 liability protection for any fraudulent activity originating from Online Banking, including Bill Payment. [...]

Bank of America promises you will not be responsible for any fraudulent activity originating from your Online Banking relationship. We will credit you for funds transferred from your accounts up to the amount of your loss when you notify the bank within 60 days of the transaction first appearing on your statement.

Vedi anche il loro accordo di servizio per maggiori dettagli. Per quanto ne so, questo è ampiamente rappresentativo dei tipi di protezioni che molte banche offrono ai singoli conti, sebbene non tutte le banche offrano un linguaggio così concreto, esplicito e protettivo nei loro accordi.

Tuttavia, c'è una cattura significativa. Questa protezione viene offerta solo alle persone. È non disponibile per gli account aziendali. Con gli account aziendali, in caso di frode o violazione della sicurezza, la banca declina ogni responsabilità e lascia il cliente al corrente. Ciò rende il banking online sicuro per gli individui, ma estremamente pericoloso per le imprese, in particolare le piccole imprese, che potrebbero non avere l'esperienza necessaria per difendersi adeguatamente da tali minacce. Sfortunatamente, molte piccole imprese non sono consapevoli dei rischi del banking online e alcuni di essi sono stati martellati dai criminali online. Vedi il blog di Brian Krebs per documentazione estesa del numero di piccole imprese che sono state devastate da questo problema. Per questo motivo, consiglierei alle piccole imprese di considerare il banking online come battistrada molto attentamente .

    
risposta data 22.02.2012 - 03:41
fonte
4

Non mi preoccupo molto del sistema tra me e la banca, immagino che ottenga molta attenzione ed è abbastanza difficile da attaccare.

Non mi preoccupo per la sicurezza della banca perché non c'è nulla che io possa fare al riguardo e sono abbastanza sicuro che siano per lo più responsabili se le persone rubano denaro direttamente dai loro database.

Sono TERRIFICATO per accedere a una banca da un PC Windows. I keylogger nei rootkit sono praticamente impossibili da rilevare, il software di rilevamento dei virus è generalmente un anno dopo la curva sui rootkit (quando possono rilevarli del tutto) e nulla di ciò che fai li può impedire. Puoi stare molto attento, ma alla fine è probabile che entri qualcosa. Ogni tanto, troverai persino pagine del browser in cui la semplice visualizzazione compromette il tuo PC.

SE si riavvia in uno strumento separato che esegue la scansione del disco rigido e SE la firma o il modello del rootkit è contenuto nel database di quel tool, allora si sta abbastanza bene, ma non so abbastanza sul settore per sapere quanto sono grandi questi IF in realtà sono.

Mi sento un po 'più sicuro su OSX / Linux / iOS non perché è impossibile hackerarli o altro, ma è un po' più difficile e so anche che paranoico come lo sono io HANNO finalmente trovato rootkit sui miei PC Windows ma ho ancora per trovarne uno sulle altre piattaforme (corro 4, incluso Android, ma non mi sento al sicuro come vorrei), quindi molte sono solo esperienze personali. Windows 7 potrebbe anche essere più sicuro, non abbastanza dati da sapere per certo ancora.

    
risposta data 19.12.2011 - 22:27
fonte
1

Riguarda quanto le banche lente debbano aggiornare la loro configurazione SSL quando i loro siti sono vulnerabili ad attacchi come Heartbleed e Poodle. Nei test sui server SSL Lab, i siti bancari ottengono punteggi peggiori rispetto ai social network (Twitter e Gmail prendono molto sul serio la sicurezza).

Ho creato questa pagina inserendo i punteggi SSL Labs delle banche britanniche link

    
risposta data 17.05.2015 - 23:47
fonte
-2

Mentre-come SSL e TSL sono progettati per essere sicuri, dipende dalla sicurezza del tuo computer e della rete che ti circonda. Se il tuo computer è stato infettato da malware, potrebbe rubare i tuoi dati di accesso. Se la tua rete è monitorata, è possibile che qualcuno possa copiare il tuo traffico e accedervi in quel modo (se hanno accesso completo per intercettarlo, allora possono intercettare le chiavi SSL e distruggere la tua sicurezza). Dipende dal tuo computer e dalla sicurezza della rete. La tua banca è progettata per essere protetta, ma la sicurezza si affida a te.

    
risposta data 27.11.2015 - 22:50
fonte

Leggi altre domande sui tag