Segurança em Sites de Bancos: Suas informações estão seguras?

By | 21 de outubro de 2015

Uma recente pesquisa realizada pelo Prof. Diego Aranha (veja aqui) mostrou que a maioria dos aplicativos bancários possuíam deficiência de segurança, que podiam ser exploradas por meio de um ataque MITM (man in the middle).  Mas e os Sites bancários?  Será a segurança em sites de Bancos melhor que nos aplicativos? Parece que não.

Utilizando o mesmo modelo de pesquisa, e com o auxílio da ferramenta da SSL Labs, verifiquei que, com exceção do Santander, todos os sites testados possuem deficiências na criptografia da conexão ao Site. Tais deficiências podem ser exploradas para obter dados que trafegam durante a conexão (usuário, conta, senha, etc) por meio de um ataque MITM. Tal ataque poderia ser realizado enquanto o usuário utiliza o site em uma rede Wifi aberta, por exemplo.

Segue abaixo, ordenado por nota de classificação, o resumo dos sites testados:

  Santander

Nota: A
URL testada: www.santander.com.br  Data do teste:  15 de Fevereiro, 08:15 hrs
Observações: Além de utilizar apenas bons algorítimos, implementou mecanismos de segurança importantes, como Prevenção de ataques de downgrade e Segredo Futuro.

 Itaú

Nota: B
URL Testada: www.itau.com.br
Data do teste:15 de Fevereiro, 08:16 hrs
Observações: Talvez por motivos de compatibilidade, mantém o suporte á MD5 e RC4, o que pode enfraquecer a criptografia da conexão. Possui suporte a Prevenção de ataques de downgrade e Segredo Futuro.

HSBC

Nota: C
URL testada: wwws3.hsbc.com.br  Data do teste:15 de Fevereiro, 08:17 hrs
Observações: Mantém suporte ao SSLv3, o que o torna vulnerável ao ataque SSL Poodle. O algorítimo de assinatura do certificado (SHA1 com RSA) é considerado fraco.

Citibank

Nota: C
URL testada: www.citibank.com.br Data do teste:15 de Fevereiro, 08:18 hrs
Observações: É o caso mais intrigante. De certa forma, não está vulnerável, mas utiliza apenas TLS1.0, que já é um tanto antigo.

Caixa

Nota: C
URL testada: internetbanking.caixa.gov.br Data do teste:15 de Fevereiro, 08:19 hrs
Observações: Teria nota máxima se não mantivesse suporte a SSLv3, o que o torna vulnerável ao SSL Poodle.

Banco do Brasil

Nota: C
URL testada: www2.bancobrasil.com.br Data do teste:15 de Fevereiro, 08:2 hrs
Observações: Utiliza um protocolo morto e outro quase (SSLv3 e TLS 1.0).

Bradesco

Nota: F
URL testada: www.ib2.bradesco.com.br
Data do teste:15 de Fevereiro, 08:21 hrs
Observações:  De longe, a pior nota. Suporta apenas TLS 1.0 e SSLv3. Interessante é que, para o SSLv3 a vulnerabilidade Poodle foi mitigada, mas não foi tratada no TLS 1.0.  Além disso, a chave da criptografia é  fraca (RSA 1024 bits), e a chave da assinatura também é fraca (SHA1 com RSA).

 

Segue abaixo a tabela com os resultados. Itens bons destacados em verde e ruins destacados em vermelho:

BB

Bradesco

Caixa

Citibank

HSBC

Itaú

Santander

Suporta SSL 3

Sim

Sim

Sim

Não

Sim

Não

Não

Emprega TLS 1.0

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Emprega TLS 1.1

Não

Não

Não

Não

Sim

Sim

Sim

Emprega TLS 1.2

Sim

Sim

Sim

Não

Sim

Sim

Sim

Suporta RC4

Sim

Sim

Não

Sim

Não

Sim

Não

Suporta MD5

Sim

Sim

Não

Sim

Não

Sim

Não

Suporta SHA-1

Sim

Sim

Sim

Não

Sim

Sim

Sim

Diffie-Hellman Inseguro

Não

Não

Não

Não

Não

Não

Não

Vulnerável ao POODLE

Sim

Sim

Sim

Não

Sim

Não

Não

Nota (A+ / F)

C

F

C

C

C

B

A