Posted
Comments 0

Στο προηγούμενο άρθρο μας, είχαμε δει την απογοητευτική εικόνα της online ασφάλειας των sites των ελληνικών τραπεζών.
Επανερχόμαστε στο ίδιο θέμα εξετάζοντας αυτή τη φορά την online ασφάλεια των sites των εταιριών κινητής τηλεφωνίας που δραστηριοποιούνται στην Ελλάδα και συγκεκριμένα της Cosmote, της Vodafone και της Wind. Πόσο ασφαλείς είναι οι συναλλαγές μας μαζί τους; Πόσο εύκολα μπορούν τα sites των συγκεκριμένων εταιριών να γίνουν θύματα υποκλοπής και / ή παραποίησης της φυσιογνωμίας τους;

Χρησιμοποιώντας ξανά τις αναλύσεις από το ανεξάρτητο και υψηλού κύρους The Mozilla Observatory »», τα αποτελέσματα είναι δυστυχώς πολύ κατώτερα των προσδοκιών μας και της κοινής λογικής με ευχάριστη ίσως εξαίρεση την Cosmote!
Η ανάλυση των sites έγινε στις 26/02/2019 από τις 19:50 ως τις 20:45.

Αποτελέσματα:

1η θέση: η Cosmote με βαθμολογία B score 75% (ευτυχώς με HSTS header = On αλλά με ανεπαρκή Content Security Policy και HPKP = Off)

2η + 3η θέση ισότιμα: η Vodafone και η Wind με τις απαράδεκτες βαθμολογίες F score 0%! (με HSTS header = Off, HPKP = Off και με ανύπαρκτη Content Security Policy!).

Οι εταιρείες ενημερώθηκαν άμεσα για τα αποτελέσματα – με εξαίρεση την Vodafone που δεν διαθέτει φόρμα ή email επικοινωνίας! – και αναμένουμε τις απαντήσεις τους αλλά κυρίως την αναβάθμιση των σχετικών sites.

Υπενθυμίζω και τονίζω ότι όπως αναφέρεται και στο άρθρο για τις τράπεζες σύνδεσμος »», οι δοκιμές αυτές και τα κενά ασφάλειας δεν καλύπτουν όλα τα πιθανά σενάρια υποκλοπής. Επίσης είναι ξεκάθαρο ότι δεν υπάρχει κάποιο προσωπικό και / ή ιδιοτελές όφελος και / ή σύγκρουση συμφερόντων με τις συγκεκριμένες εταιρείες κινητής τηλεφωνίας.

Σπύρος Καραμαγκιώλης (info@eftopia.org)

Άδεια Creative Commons Αυτή η εργασία / άρθρο χορηγείται με άδεια Creative Commons Αναφορά Δημιουργού – Μη Εμπορική Χρήση – Παρόμοια Διανομή 4.0 Διεθνές .

Author
Categories ,

Posted
Comments 0

Αφορμή για το παρόν άρθρο στάθηκε η προσπάθεια μου να δημιουργήσω την eftopia.org ως ένα ασφαλή ιστότοπο. Δηλώνοντας απερίφραστα μη ειδικός σε θέματα online ασφάλειας αλλά μάλλον σαν ένας “προχωρημένος” και ανήσυχος χρήστης του διαδικτύου, πέρασα αρκετές ώρες στο internet ψάχνοντας τρόπους θωράκισης του site μου. Για καλή μου τύχη έπεσα πάνω στο μη κερδοσκοπικό ανεξάρτητο οργανισμό Observatory by Mozilla (το Mozilla είναι ο πάροχος του εξαιρετικού browser Firefox) ο οποίος προσφέρει δωρεάν σύστημα ανίχνευσης κενών ασφαλείας και προτάσεων για την βελτίωση ενός ιστοτόπου – σχετικός σύνδεσμος
Ο Mozilla Observatory (Παρατηρητήριο) σε συνεργασία με τρίτους δημοφιλείς διεθνείς παρόχους κυβερνο-ασφάλειας, αξιολογεί δεκάδες υποχρεωτικές παραμέτρους και τιμές που χρακτηρίζουν τον κώδικα κάθε ιστοσελίδας και συνθέτει μια τελική βαθμολογία (score) από άριστα ως χάλια, αντίστοιχα από A ως F με τα A, B, C, D να παίρνουν και ενδιάμεσες τιμές + και – πχ C-, A+.
Ακολουθώντας τις συστάσεις του, έχω πετύχει ως τώρα (η προσπάθεια αναβάθμισης συνεχίζεται) ο ιστοχώρος της Ευτοπίας eftopia.org να έχει score B+ = 80% που θεωρείται αρκετά καλό.
Εδώ και 20 σχεδόν χρόνια είμαι φανατικός χρήστης των online συναλλαγών και ευτυχώς μέχρι τώρα δεν έχω πέσει θύμα απάτης ή υποκλοπής των στοιχείων μου και των συναλλαγών μου. Με βάση λοιπόν όλα τα προαναφερθέντα είχα έντονα την περιέργεια τι βαθμό θα έπαιρναν οι ιστότοποι των πιο γνωστών ελληνικών τραπεζών θεωρώντας ότι οι περισσότερες αν όχι όλες θα είχαν βαθμολογία μεγαλύτερη του 80%, κοντά στο 100%.
Δυστυχώς ήρθε η απογοήτευση!
Οι τράπεζες μας με τόσο κεφάλαιο, με εξειδικευμένο προσωπικό online ασφαλείας κλπ κλπ είχαν όλες βαθμολογία κατώτερη της δικής μου(!), δηλαδή λιγότερο από 80%…
Πριν δείξω τα αποτελέσματα τα οποία μπορεί οποιοσδήποτε να αναπαραγάγει στο συγκεκριμένο site Observatory by Mozilla να δηλώσω κατηγορηματικά ότι δεν υπάρχει κανένα προσωπικό ή ιδιοτελές όφελος και / ή σύγκρουση συμφερόντων με οποιαδήποτε τράπεζα.

Η έρευνα έγινε στις 11/02/2019 από ώρα 16:50 ως 17:30.

Η βαθμολογία – score (φθίνουσα σειρά, καλύτερος προς χειρότερος):

1. Τράπεζα Eurobank: αρχική σελίδα B score = 70%, σελίδα e-banking B score = 70% (διαθέτει HSTS header – HTTP Strict Transport Security)
2. Τράπεζα Αττικής – Attica Bank: αρχική σελίδα B- score = 65%, σελίδα e-banking C score = 55% (διαθέτει HSTS header αλλά μόνο στην αρχική σελίδα!)
3. Τράπεζα Alpha Bank: αρχική σελίδα C+ score = 60%, σελίδα e-banking C+ score = 60% (διαθέτει HSTS header)

- Όλες οι επόμενες επειδή έχουν την ίδια απαράδεκτη βαθμολογία – F score< 20% τόσο στην αρχική σελίδα όσο και στην σελίδα e-banking, καταλαμβάνουν ισότιμα την 4η θέση!
4. Τράπεζα Πειραιώς, Εθνική Τράπεζα, HSBC Bank, CITIBANK, Praxia Bank, IBG Bank (Επενδυτική Τράπεζα Ελλάδος) – μάλιστα με εξαίρεση την Praxia-bank καμια δεν διαθέτει HSTS header!

Για την ιστορία, ο ιστότοπος της Ελληνικής Ένωσης Τραπεζών (hba.gr) λαμβάνει βαθμολογία F-score = 0% και ο ιστότοπος της Τράπεζας της Ελλάδος (bankofgreece.gr) F-score = 0%.
Επίσης δοκιμάζοντας το εκτός Ελλάδος μεγαθήριο την Deutsche Bank (deutsche-bank.de): αρχική σελίδα D+ score = 40% και η σελίδα e-banking C+ score = 60% (διαθέτει HSTS header) άρα τα χάλια δεν είναι μόνο δικά μας!

Σημειώσεις:
α) Καμιά τράπεζα δεν διαθέτει HTTP Public Key Pinning (HPKP) header ενώ η άκρως σημαντική παράμετρος Content Security Policy (CSP) header είναι σε όλες ανεπαρκής με αποτέλεσμα οι ιστότοποι τους να είναι δυνητικά ευάλωτοι σε επιθέσεις, αλλοιώσεις στοιχείων και υποκλοπές…
β) Όπως αναφέρεται και στις FAQ του Observatory by Mozilla δεν εξετάζονται άλλες σημαντικές δυνητικές ευπάθειες του συστήματος σαν τις βάσεις δεδομένων, πρόσθετα, κλπ.

Συμπερασματικά χρειάζεται γενναία βελτίωση των τεχνικών ασφαλείας των sites των τραπεζών και μεγάλη προσοχή από μέρους μας.
Αναμένοντας τα σχόλια ή παρατηρήσεις σας.

Ευχαριστώ
Σπύρος Καραμαγκιώλης

——-

Άδεια Creative Commons
Το έργο με τίτλο “Πόσο ασφαλή είναι τα sites των ελληνικών τραπεζών;” από τον δημιουργό Spyridon Karamagkiolis διατίθεται με την άδεια Creative Commons Αναφορά Δημιουργού – Μη Εμπορική Χρήση – Παρόμοια Διανομή 4.0 Διεθνές . Βασισμένο σε έργο στο https://www.eftopia.org/articles/greek-financial-banks-online-security-score.
Παροχή δικαιωμάτων πέρα από τα πλαίσια αυτής της άδειας μπορεί να είναι διαθέσιμη στο https://eftopia.org.

Author
Categories ,

Posted
Comments 0

Σύμφωνα με το ανεξάρτητο και μη κερδοσκοπικό site Observatory by Mozilla, ο βαθμός ασφαλείας του ιστοχώρου μας ανέρχεται σε B+ = 80% (!), αρκετά καλός βαθμός προστασίας τόσο για εμάς όσο και για τους επισκέπτες ή με άλλα λόγια είναι αρκετά δύσκολη και επίπονη η προσπάθεια αλλοίωσης της φυσιογνωμίας και των πληροφοριών του ιστοτόπου και η υποκλοπή των όποιων δεδομένων του. Όπως θα δείξουμε σε προσεχές άρθρο οι ελληνικές τράπεζες έχουν στο σύνολο τους, κατώτερο βαθμό από εμάς!!!

Author
Categories ,