Uma recente pesquisa realizada pelo Prof. Diego Aranha (veja aqui) mostrou que a maioria dos aplicativos bancários possuíam deficiência de segurança, que podiam ser exploradas por meio de um ataque MITM (man in the middle). Mas e os Sites bancários? Será a segurança em sites de Bancos melhor que nos aplicativos? Parece que não.
Utilizando o mesmo modelo de pesquisa, e com o auxílio da ferramenta da SSL Labs, verifiquei que, com exceção do Santander, todos os sites testados possuem deficiências na criptografia da conexão ao Site. Tais deficiências podem ser exploradas para obter dados que trafegam durante a conexão (usuário, conta, senha, etc) por meio de um ataque MITM. Tal ataque poderia ser realizado enquanto o usuário utiliza o site em uma rede Wifi aberta, por exemplo.
Segue abaixo, ordenado por nota de classificação, o resumo dos sites testados:
Santander
Nota: A
URL testada: www.santander.com.br Data do teste: 15 de Fevereiro, 08:15 hrs
Observações: Além de utilizar apenas bons algorítimos, implementou mecanismos de segurança importantes, como Prevenção de ataques de downgrade e Segredo Futuro.
Itaú
Nota: B
URL Testada: www.itau.com.br
Data do teste:15 de Fevereiro, 08:16 hrs
Observações: Talvez por motivos de compatibilidade, mantém o suporte á MD5 e RC4, o que pode enfraquecer a criptografia da conexão. Possui suporte a Prevenção de ataques de downgrade e Segredo Futuro.
HSBC
Nota: C
URL testada: wwws3.hsbc.com.br Data do teste:15 de Fevereiro, 08:17 hrs
Observações: Mantém suporte ao SSLv3, o que o torna vulnerável ao ataque SSL Poodle. O algorítimo de assinatura do certificado (SHA1 com RSA) é considerado fraco.
Citibank
Nota: C
URL testada: www.citibank.com.br Data do teste:15 de Fevereiro, 08:18 hrs
Observações: É o caso mais intrigante. De certa forma, não está vulnerável, mas utiliza apenas TLS1.0, que já é um tanto antigo.
Caixa
Nota: C
URL testada: internetbanking.caixa.gov.br Data do teste:15 de Fevereiro, 08:19 hrs
Observações: Teria nota máxima se não mantivesse suporte a SSLv3, o que o torna vulnerável ao SSL Poodle.
Banco do Brasil
Nota: C
URL testada: www2.bancobrasil.com.br Data do teste:15 de Fevereiro, 08:2 hrs
Observações: Utiliza um protocolo morto e outro quase (SSLv3 e TLS 1.0).
Bradesco
Nota: F
URL testada: www.ib2.bradesco.com.br
Data do teste:15 de Fevereiro, 08:21 hrs
Observações: De longe, a pior nota. Suporta apenas TLS 1.0 e SSLv3. Interessante é que, para o SSLv3 a vulnerabilidade Poodle foi mitigada, mas não foi tratada no TLS 1.0. Além disso, a chave da criptografia é fraca (RSA 1024 bits), e a chave da assinatura também é fraca (SHA1 com RSA).
Segue abaixo a tabela com os resultados. Itens bons destacados em verde e ruins destacados em vermelho:
|
BB |
Bradesco |
Caixa |
Citibank |
HSBC |
Itaú |
Santander |
|
|
Suporta SSL 3 |
Sim |
Sim |
Sim |
Não |
Sim |
Não |
Não |
|
Emprega TLS 1.0 |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
Sim |
|
Emprega TLS 1.1 |
Não |
Não |
Não |
Não |
Sim |
Sim |
Sim |
|
Emprega TLS 1.2 |
Sim |
Sim |
Sim |
Não |
Sim |
Sim |
Sim |
|
Suporta RC4 |
Sim |
Sim |
Não |
Sim |
Não |
Sim |
Não |
|
Suporta MD5 |
Sim |
Sim |
Não |
Sim |
Não |
Sim |
Não |
|
Suporta SHA-1 |
Sim |
Sim |
Sim |
Não |
Sim |
Sim |
Sim |
|
Diffie-Hellman Inseguro |
Não |
Não |
Não |
Não |
Não |
Não |
Não |
|
Vulnerável ao POODLE |
Sim |
Sim |
Sim |
Não |
Sim |
Não |
Não |
|
Nota (A+ / F) |
C |
F |
C |
C |
C |
B |
A |