La homepage della mia banca è su http. Nessun SSL. Non è banalmente facile MITM + modificare i collegamenti e ottenere credenziali di accesso?

Question

La homepage della mia banca è su http. Nessun SSL. Non è banalmente facile MITM + modificare i collegamenti e ottenere credenziali di accesso?

#1 da (6 voti)
#2 da (2 voti)

1

Le home page di diverse banche sono disponibili su http. Alcuni hanno motori di ricerca collegati a http.

Questo, mi sembra, rende i loro utenti banalmente vulnerabili agli attacchi del MITM se visitano la banca oltre, ad es. wifi pubblico.

Questo, a mio parere, significa che la sicurezza del conto bancario dipende da "Io spero che accedono ai loro conti bancari da reti domestiche sicure" < crosses fingers > .

Mi sembra che per un esborso di (1) un wifipineapple o altro dispositivo Evil AP e (2) un $ centinaia per pagare qualcuno per personalizzare SSLStrip con versioni false di 3 o 4 siti bancari specifici, posso: / p>

Vai a sederti in un centro commerciale per un paio di giorni con l'ananas
Raccogli l'intero utente del traffico < - > bank
Segui le sessioni e inizia a effettuare i pagamenti

vale a dire: easy-to-mitm-public-wifi + easy-to-spoof-http-homepage = > facile da hackerare.

Cosa ho perso? Non può essere così facile ed economico incidere sui conti bancari, vero?

----------------------------------------

PS Ho sollevato un reclamo con la mia banca e mi hanno richiamato per far notare che la pagina di accesso mi chiede di installare il link ( un prodotto IBM) che apparentemente affronta questo tipo di attacco chiudendo il browser.

Inoltre, non dovrei usare il motore di ricerca per trovare il loro sito web. Ma suppongo che una volta che hai rubato un AP pubblico, l'avvelenamento del DNS è troppo semplice

financial banks tls

posta Chris F Carroll 25.01.2017 - 23:15

fonte

2 risposte

2

Sebbene consideri che la maggior parte della risposta di Herringbone Cat sia molto fuorviante, lui / lei è corretto nel dire che la situazione che descrivi è tutt'altro che ideale. Ma ci sono dei passi che un fornitore di sito può intraprendere per mitigare l'attacco in altri modi.

SSLStripping è stato un metodo di attacco ben noto dal 2009 . La soluzione più efficace fino ad oggi è HSTS in cui un browser capace ricorderà (o verrà detto) quali siti utilizzano esclusivamente HTTPS. Tuttavia:

questa è la chiave del nome di dominio - non è possibile combinare HTTP e HTTPS sullo stesso nome di dominio
solo di recente MSIE (Edge 11) ha implementato il supporto HSTS (molto tempo dopo Chrome, Firefox e Opera)

Esistono altre soluzioni basate su che rileva il tipo di connessione nel browser in fase di esecuzione utilizzando server- logica fornita - ma l'ovvia limitazione è che questa logica è più suscettibile alle manomissioni.

Esistono anche altri metodi più sottili per individuare le frodi che possono essere implementate lato server e sono applicabili ad altri tipi di attacco; sessioni divise, modelli di navigazione insoliti, rilevamento dei bot, schemi di transazioni ... La segretezza di tali metodi è piuttosto importante per la loro efficacia, quindi le banche non pubblicheranno informazioni su cosa siano questi controlli.

Ma non sappiamo se i siti in questione stanno utilizzando tali protezioni.

Un altro punto da tenere a mente, è che l'attacco non deve essere avviato sul sito web della banca stessa (né l'attacco è limitato ai siti web delle banche) ma su qualsiasi pagina web che abbia collegamenti al sito che si desidera eliminare. Il sito di bing.com di Microsoft viene ancora pubblicato su HTTP per impostazione predefinita. IMHO questo è l'abbandono del loro dovere di diligenza nei confronti dei loro clienti.

Tuttavia, anche in assenza di protezione, affinché il tuo attacco abbia successo, devi essere un dispositivo MITM nello stesso momento in cui l'utente si è collegato alla sua banca. Sospetto che un centro commerciale non darebbe un rendimento particolarmente buono.

Quindi, sì, potrebbe essere così facile.

risposta data 26.01.2017 - 14:53

fonte

Leggi altre domande sui tag financial banks tls

Numero massimo di tentativi per il codice 2FA? In che modo la crittografia dell'intero disco protegge da perdite improvvise di energia?

score 6 · Accepted Answer

Sui siti web che registrano grandi quantità di traffico (ad es. siti di consumatori, come banche) gli amministratori hanno deciso di utilizzare implementazioni HTTP e HTTPS miste in testo normale. In genere, HTTP viene utilizzato per le informazioni pubbliche e il passaggio a HTTPS si verifica quando si accede a risorse private come una schermata di accesso.

Questa pratica proveniva in gran parte dai tempi in cui la crittografia / decrittografia SSL (ora TLS) era più costosa (anni '90 e primi anni 2000) dal punto di vista della CPU e poteva rallentare gravemente i tempi di caricamento della pagina.

Ora, con CPU più veloci più abili nell'usare algoritmi di hash come SHA256 e crittografie come AES, questo problema è meno ovvio. Tuttavia, se si esegue un server Web su larga scala che riceve migliaia di accessi al minuto, l'amministratore noterà sicuramente il traffico TLS rispetto al traffico non TLS in termini di CPU utilizzata. Il sito in testo in chiaro richiede meno costi di manutenzione della CPU e IT e, a sua volta, comporta un risparmio per l'organizzazione in termini di spese di hosting. Inoltre, come sottolineato in un commento di @mgjk, anche i costi della gestione dei certificati tra reparti IT delle banche (business contro personale, trading vs altro commercio, livelli di attenuazione WAF e DDoS che devono essere in grado di eseguire la decrittografia SSL, ecc.) Sono significativi e ingombrante in una grande organizzazione e può portare a una riluttanza da parte del management a implementare un sito solo TLS.

Così molte banche continuano a sfruttare i siti Web misti HTTP e HTTPS. Nuove best practice sono state sviluppate per controllare i problemi e attaccare i vettori presenti in questo setup, in particolare gli attacchi MiTM in stile "SSLStrip". Le misure di controllo includono l'uso di intestazioni HSTS e stanno facendo progressi nelle banche, ma devono ancora realizzare un'implementazione commerciale su larga scala da queste entità ampie, generalmente a rischio e avverse al cambiamento.

Per quanto riguarda la situazione specifica che descrivi con un Pineapple WiFi come un Evil AP, questo sarebbe possibile se metti in scena un attacco "SSLStrip" o un altro attacco man-in-the-middle.

Tuttavia, molte banche adottano misure per proteggersi dagli attacchi di hijack di sessione, in particolare scadendo rapidamente la sessione. Se il dispositivo avesse visitato il sito in precedenza e avesse inviato intestazioni HSTS, si sarebbe sicuramente verificato un errore (forse sufficiente a spaventare l'utente medio). Quindi, lo scenario di attacco che descrivi è un po 'semplicistico e richiederebbe un po' più di sofisticazione prima di essere attuabile contro le moderne implementazioni di siti Web bancari.

Tuttavia, sì, quando le banche non impongono l'uso di TLS con HSTS e pinning del certificato, viene aperto un grande vettore di attacco simile a quello che descrivi - e questa pratica dovrebbe essere eliminata gradualmente!