13 diciembre 2011

Banca electrónica y SSL ¿quién aprueba en España?

Este es la segunda parte del artículo Bancos y SSL ¿quién aprueba? escrito por Yago hace más de un año, he creído conveniente realizar una actualización de ese artículo que tanto me gustó. En este estudio se analizan las diferentes cajas y bancos surgidos en España tras las fusiones hasta el momento. El listado se ha sacado de CECA y se han añadido algunos bancos más que no pertenecen a dicha entidad. Además, hace más de un año del primer estudio y han surgido nuevas vulnerabilidades a tener en cuenta como criterios a valorar.

Como ya indicaba Yago en el primer estudio, la banca online debería ser un ejemplo a la hora de implantar SSL en sus servicios por dos motivos:
  1. Son entidades que manejan mucha inversión
  2. El tipo de actividad a que se dedican requiere todas las garantías
Yo añadiría un tercer motivo:

3. Por cumplimiento normativo (PCI DSS, SGSI) e imagen.

Pero ni el cumplimiento normativo, ni la inversión, ni las garantías necesarias indican de forma clara que características debe cumplir el servicio SSL. Sin pretender ser una guía detallada pero que sirva como pequeño referente a la hora de proporcionar un servicio SSL a la banca online, estos son los criterios que se han evaluado en el estudio que se muestra a continuación:
Este es el resultado en la banca española (click en la imagen para verlo completo):


(extracto del análisis)

De las 38 entidades analizadas sólo 6 cumplen correctamente con todos los criterios anteriores, 2 de ellas tienen una configuración SSL muy deficiente, y todas las demás aprobarían el test SSL de qualys con el que se ha realizado este estudio pero tendrían alguna debilidad que podría solucionarse.

Algunos datos curiosos encontrados durante el análisis son:
  • Sólo 5 entidades tienen un sello de la ISO 27001 en su banca electrónica.
  • Todas las entidades tienen el certificado SSL del mismo proveedor menos una.
  • Una entidad tenía un certificado SSL EV para un dominio que tan sólo realizaba una redirección y el certificado de la página de login destino no era SSL EV.
  • Unas pocas entidades contienen enlaces externos en su página principal apuntando a sitios de terceros.
  • El software de los servidores web es muy diverso y entre ellos hay versiones antiguas con vulnerabilidades públicas.
Falta aún mucha concienciación en los departamentos de sistemas y tecnología en cuanto a la seguridad, pero también es necesario desarrollar guías de buenas prácticas cómo las de OWASP, en las que se detallen procedimientos o checklists a cumplir como en este caso, más allá de las vagas recomendaciones de normativas anteriormente citadas. Qué no sea por desconocimiento el que nuestros sistemas sean vulnerables.

Artículo cortesía de Emilio Casbas

17 comments :

Vaxman dijo...

Muy buen artículo!!! hace unos días en Hacktimes.com hablamos de lo mismo y con el ejemplo de los bancos también. Pongo el link por si alguien quiere ver información relacionada: http://www.hacktimes.com/certificados_ssl_tls/

Braguitas_calientes dijo...

Muy interesante el articulo, como la mayoria de los que publicais.

Curiosamente, ayer vi algo muy parecido en hacktimes.com

Saludos,

Txalo Rodrigo dijo...

¿Como se evalua si un banco es vulnerable a ataques ddos?

Borja Ferrer dijo...

No hay pruebas sobre SabadellAtlantico?
Esta el Santander, pero no el Sabadell (https://www.bancsabadell.com/)

laProbeta dijo...

¡Gracias por aclarar y promover estos temas!

¿Qué criterio habéis utilizado para decidir si las entidades son vulnerables a BEAST? O sólo estáis indicando que no son vulnerables porque estén utilizando alguna medida para mitigarlo (p. ej. prioridad para utilizar la suite de cifrado RC4).

Según tengo entendido, la única posibilidad de solventar por completo los posibles ataques BEAST es exigir uso de TLS 1.1 y no creo que sea algo que se pueda pedir a los navegadores de clientes.

CLaboral dijo...

Me gustaría si podéis añadir a CajaLaboral al listado

Emilio dijo...

#Vaxman, gracias por el apunte, interesante, no conocía esas herramientas.

#Txalo, no se evalúa si un banco es vulnerable a DDoS, sino la configuración de la configuración SSL y su respuesta a la negociación: https://community.qualys.com/blogs/securitylabs/2011/10/31/tls-renegotiation-and-denial-of-service-attacks
obviamente detrás suele haber appliance tipo WAFs, alta disponibilidad de capa 7 con protección DoS, etc.

Emilio dijo...

#Borja, #CLaboral, actualizaré los datos con esas entidades.

#laProbeta, gracias! :-) eso es, según tengo entendido el test de Qualys para BEAST busca dos condiciones: que el servidor pueda elegir el juego de cifrado y que elija RC4 sí esta entre ellos.
Y como dices, actualmente no hay solución a BEAST que funcione sin romper funcionalides. Este paper es muy interesante sobre como se investigo el ataque:
http://www.grc.com/sn/sn-321.pdf

Javier dijo...

Hola, Ya puestos a completar la lista de entidades http://www.oficinadirecta.com/

Invitada dijo...

Genial! Molaría ver http://www.bankinter.com 

Triodos Bank dijo...

Te falta Triodos Bank: https://banking.triodos.es/isum/Main?ISUM_SCR=login&loginType=accesoSeguro&ISUM_Portal=93&acceso_idioma=es_ES

Saludos,

bbb dijo...

Los datos de BBK son erroneos, Qualys lo califica con 84 puntos

Borja Ferrer dijo...

Muchisimas gracias,

Una vez mas, un articulo impecable, y encima actualizados los resultados de un dia para otro. Ojala pasara mas a menudo. Gracias una vez mas.

Otra cosa es que, como es que la que precisamente te pedia SabadellAtlantico, tiene una cualificacion de 90 si falla en ataques DoS?
Hay otras que NO fallan en ese punto y tienen las demas cualificaciones igual, pero obtienen peor nota. Es que hay valores de esas cualificaciones internos?
Bueno me alegra saber que mi banco saca buena nota ^^ jejejeje ojala hubiera mas estudios y valoraciones para mas servicios.

Keep Going! Excelent job!

B.

Bbb dijo...

Los de caja navarra tb, es 48

Emilio dijo...

#Javier, actualizado.
#bbb gracias ha surtido efecto, bbk ha reforzado su configuración :-)#Borja, gracias por tus comentarios. Respecto a lo que preguntas esta es la guía de como se calcula el scoring https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdfen el caso del sabadell la puntuación subirá por el juego de cifrados que ofrece.Gracias!

wol dijo...

Caja España se ha actualizado y ahora obtiene una puntuación de 88

Lupe Ester dijo...

Estos datos sobre ssl deberían salir en los periódicos. Esto sí que son noticias y no las cosas que vemos cada día, datos importantes que pueden perjudicarnos