Principali banche che utilizzano TLS 1.0

Se la tua banca utilizza TLS 1.0 con una funzione di decodifica SSLv3, è vulnerabile a un attacco MitM utilizzando la vulnerabilità di POODLE.

Se sono vulnerabili, non è più sicuro accedere a servizi bancari online da una determinata posizione, la vulnerabilità è nell'implementazione TLS della banca.

Puoi controllare Poodle Scan per vedere se il loro server è vulnerabile.

Probabilmente un attacco man-in-the-middle non è attualmente possibile con una corretta implementazione di TLS 1.0. Potrebbe essere possibile che alcune agenzie con enormi poteri di calcolo possano catturare il traffico e decrittografarlo in seguito, ma non è certamente alla portata delle persone comuni e non abbastanza veloce da fare attacchi man-in-the-middle.

Man-in-the-middle potrebbe essere possibile se vengono utilizzati cifrari deboli, ma questo non è correlato alla versione del protocollo. Vedi logjam attack per ulteriori informazioni. Potrebbe anche essere possibile con chiavi deboli nei certificati, ma molti browser moderni non accettano nemmeno tali certificati e anche questo non è correlato alla versione del protocollo.

E naturalmente i bug nell'implementazione possono rendere la connessione non sicura, ma questi non sono limitati a TLS 1.0. Sono note le cattive implementazioni del server TLS 1.0+ interessate dal problema POODLE , da Heartbleed , WinShock e ovviamente potresti hanno anche problemi sul lato client come goto fail . Ma questi non sono problemi del protocollo stesso, solo della cattiva implementazione. Questi bug di solito rendono molto più semplice il dirottamento della connessione rispetto al tentativo di decifrare il protocollo stesso.

Quindi, anche se fosse possibile montare un attacco contro il protocollo stesso, le risorse richieste sarebbero probabilmente molto più alte di quelle che l'attaccante potrebbe ottenere montando un attacco man-in-the-middle rompendo il TLS del online connessione bancaria. Quindi probabilmente nessuno lo farebbe perché ci sono modi molto più economici per ottenere gli stessi risultati, come l'uso di trojan bancari, sslstrip o uno degli errori nell'implementazione TLS.

Questo non significa che la banca debba utilizzare solo TLS 1.0. Dovrebbe almeno fornire versioni TLS migliori (tutti i browser moderni supportano TLS 1.2), perché la decrittografia del traffico TLS 1.0 catturato potrebbe essere alla portata di determinate agenzie e gli attacchi migliorano solo. Ma la cosa più importante è che la banca usa un'implementazione non influenzata dagli errori citati e usa anche HSTS per applicare la crittografia. E ovviamente dovrebbe avere la necessaria sicurezza interna in modo che i server non vengano compromessi e i dati degli utenti vengano compromessi. E non dimenticare di proteggere adeguatamente il tuo cliente contro i trojan bancari ecc.

Come alcuni degli altri utenti hanno spiegato, a seconda dell'implementazione di TLS 1.0 la tua connessione alla banca potrebbe essere potenzialmente vulnerabile.

Puoi verificare le vulnerabilità TLS / SSL dall'utilità online di Qualys: link

Ad esempio, dai un'occhiata a bankofamerica.com - oggi ci sono tre voci, una con un grado A e le altre due con una C. Anche se TLS 1.2 è in uso ci sono altre potenziali vulnerabilità in uso.

Questo significa che Bank of America non è sicuro? Forse sì, forse no ma quello che sappiamo è che per gli indirizzi IP scansionati che hanno ricevuto un voto C ci sono alcuni potenziali problemi di sicurezza. Se tali siti sono fisicamente separati o non collegati alle informazioni del tuo account in alcun modo, è probabile che tu non sia vulnerabile.

Il rovescio della medaglia, se un'organizzazione utilizza la crittografia a livello di trasporto strong ma non hashing e salting delle password o non crittografa correttamente i dati memorizzati nei loro database - solo per citarne alcuni - allora potresti essere estremamente vulnerabile anche se il tuo la connessione all'organizzazione è sicura.