Segurança em Sites de Bancos: Suas informações estão seguras?

gbernardes — Wed, 21 Oct 2015 18:37:47 +0000

Uma recente pesquisa realizada pelo Prof. Diego Aranha (veja aqui) mostrou que a maioria dos aplicativos bancários possuíam deficiência de segurança, que podiam ser exploradas por meio de um ataque MITM (man in the middle). Mas e os Sites bancários? Será a segurança em sites de Bancos melhor que nos aplicativos? Parece que não.

Utilizando o mesmo modelo de pesquisa, e com o auxílio da ferramenta da SSL Labs, verifiquei que, com exceção do Santander, todos os sites testados possuem deficiências na criptografia da conexão ao Site. Tais deficiências podem ser exploradas para obter dados que trafegam durante a conexão (usuário, conta, senha, etc) por meio de um ataque MITM. Tal ataque poderia ser realizado enquanto o usuário utiliza o site em uma rede Wifi aberta, por exemplo.

Segue abaixo, ordenado por nota de classificação, o resumo dos sites testados:

Santander

Nota: A
URL testada: www.santander.com.br Data do teste: 15 de Fevereiro, 08:15 hrs
Observações: Além de utilizar apenas bons algorítimos, implementou mecanismos de segurança importantes, como Prevenção de ataques de downgrade e Segredo Futuro.

Itaú

Nota: B
URL Testada: www.itau.com.br
Data do teste:15 de Fevereiro, 08:16 hrs
Observações: Talvez por motivos de compatibilidade, mantém o suporte á MD5 e RC4, o que pode enfraquecer a criptografia da conexão. Possui suporte a Prevenção de ataques de downgrade e Segredo Futuro.

HSBC

Nota: C
URL testada: wwws3.hsbc.com.br Data do teste:15 de Fevereiro, 08:17 hrs
Observações: Mantém suporte ao SSLv3, o que o torna vulnerável ao ataque SSL Poodle. O algorítimo de assinatura do certificado (SHA1 com RSA) é considerado fraco.

Citibank

Nota: C
URL testada: www.citibank.com.br Data do teste:15 de Fevereiro, 08:18 hrs
Observações: É o caso mais intrigante. De certa forma, não está vulnerável, mas utiliza apenas TLS1.0, que já é um tanto antigo.

Caixa

Nota: C
URL testada: internetbanking.caixa.gov.br Data do teste:15 de Fevereiro, 08:19 hrs
Observações: Teria nota máxima se não mantivesse suporte a SSLv3, o que o torna vulnerável ao SSL Poodle.

Banco do Brasil

Nota: C
URL testada: www2.bancobrasil.com.br Data do teste:15 de Fevereiro, 08:2 hrs
Observações: Utiliza um protocolo morto e outro quase (SSLv3 e TLS 1.0).

Bradesco

Nota: F
URL testada: www.ib2.bradesco.com.br
Data do teste:15 de Fevereiro, 08:21 hrs
Observações: De longe, a pior nota. Suporta apenas TLS 1.0 e SSLv3. Interessante é que, para o SSLv3 a vulnerabilidade Poodle foi mitigada, mas não foi tratada no TLS 1.0. Além disso, a chave da criptografia é fraca (RSA 1024 bits), e a chave da assinatura também é fraca (SHA1 com RSA).

Segue abaixo a tabela com os resultados. Itens bons destacados em verde e ruins destacados em vermelho:

	BB	Bradesco	Caixa	Citibank	HSBC	Itaú	Santander
Suporta SSL 3	Sim	Sim	Sim	Não	Sim	Não	Não
Emprega TLS 1.0	Sim	Sim	Sim	Sim	Sim	Sim	Sim
Emprega TLS 1.1	Não	Não	Não	Não	Sim	Sim	Sim
Emprega TLS 1.2	Sim	Sim	Sim	Não	Sim	Sim	Sim
Suporta RC4	Sim	Sim	Não	Sim	Não	Sim	Não
Suporta MD5	Sim	Sim	Não	Sim	Não	Sim	Não
Suporta SHA-1	Sim	Sim	Sim	Não	Sim	Sim	Sim
Diffie-Hellman Inseguro	Não	Não	Não	Não	Não	Não	Não
Vulnerável ao POODLE	Sim	Sim	Sim	Não	Sim	Não	Não
Nota (A+ / F)	C	F	C	C	C	B	A

The post Segurança em Sites de Bancos: Suas informações estão seguras? appeared first on Blog do Gesiel Bernardes.

internet banking Archives - Blog do Gesiel Bernardes