Strona domowa GDR!a Tor Hidden Service

V 3.8



Korespondencja bankowa

(12. 09. 2013)

Od czasu napisania Paranoi mam podgląd na to, którzy korespondenci używają szyfrowania TLS przy wysyłaniu poczty. W szczególny sposób interesuje mnie to w przypadku instytucji finansowych, które lubią udawać elektroniczne fortece. Zrobiłem zestawienie instytucji które wysyłały mi ostatnio korespondencję zawierającą poufne dane. Sprawdziłem następujące parametry:

  • Szyfrowanie między serwerami (SMTPS): wiadomość wysłana z serwerów banku do serwerów obsługujących skrzynkę pocztową klienta powinna być zabezpieczona na czas przesyłania przez internet. W przeciwnym wypadku, treść może zostać podsłuchana na całej trasie.
  • Podpis elektroniczny (S/MIME): klient powinien mieć możliwość zweryfikowania tego, czy wiadomość faktycznie pochodzi od banku. Obecność podpisu elektronicznego pozwala to w szybki sposób zweryfikować.
  • Podpis serwera (DKIM): pozwala bardziej zaawansowanym użytkownikom zweryfikować czy wiadomość została faktycznie wysłana z serwera banku. Może ewentualnie zostać użyta jako nie do końca zaufany podpis elektroniczny dla ubogich.

Banki:

  • mBank: brak szyfrowania między serwerami, wiadomości podpisane za pomocą S/MIME, brak podpisu DKIM, na dodatek nie posiadają swoich serwerów pocztowych a dzierżawią je od Onetu (DNS: mbank.onet.pl)
  • Multi Bank: brak szyfrowania między serwerami, wiadomości podpisane za pomocą S/MIME, brak podpisu DKIM, również używają serwerów Onetu. Natomiast - ciekawostka - email z potwierdzeniem otwarcia konta jest wysyłany TLS-em z własnych serwerów BRE Banku, z nieprwaidłowym podpisem DomainKeys.
  • Inteligo (PKO): brak szyfrowania między serwerami, wiadomości podpisane za pomocą S/MIME, podpis DKIM jest obecny (ale ma jakąś śmiesznie małą na te czasy długość, 256 bądź 512 bitów)
  • Alior Sync: połączenie między serwerami szyfrowane, wiadomości podpisane za pomocą S/MIME, podpis DKIM obecny. Ciężko się przyczepić.
  • Getin Bank: brak szyfrowania między serwerami, wiadomości podpisane za pomocą S/MIME, brak podpisu DKIM.
  • Credit Agricole: brak szyfrowania między serwerami, brak podpisu S/MIME, brak podpisu DKIM.
  • Idea Bank: brak danych nt. szyfrowania, wiadomości podpisane za pomocą S/MIME, brak podpisu DKIM.
  • Paypal: brak szyfrowania między serwerami, wiadomości niepodpisane elektronicznie, podpis DKIM jest obecny
  • PayU: brak szyfrowania między serwerami, wiadomości podpisane za pomocą S/MIME, brak podpisu DKIM
  • Payoneer: połączenie między serwerami szyfrowane, brak podpisu S/MIME, brak podpisu DKIM.

Z powyższych - daje radę jedynie Alior. Szkoda, że przyznają się do sprzedawania danych osobowych.

Nawet jeśli szyfrowanie masz głęboko w dupie, warto zwrócić uwagę na to, jak bank dba o bezpieczeństwo. Żadna poważna załoga do spraw security nie pozwoliłaby na istnienie źle skonfigurowanego serwera pocztowego wysyłąjącego poufne dane. Jeśli Twój bank robi takie rzeczy, to prawdopodobnie twoje dane nie są w nim bezpieczne, bo pieczę nad nimi trzymają amatorzy.

Chętnie poszerzę bazę powyżej - niestety na moją prośbę o udostępnienie danych odzew był nikły (dzięki za pomoc: Mirek, Gosia, Sławek i MySZ).

(komentarzy: 5, ostatni: 22. 01. 2014 - 22:46:26 - GDR!) Skomentuj
Wyswietlen: 6450, komentarzy: 5 Feed z komentarzami


Imię: MySZ (12. 09. 2013 - 17:12:21)

Treść:
MultiBank to ta sama konkfiguracja co mbank, włącznie z teyurn-path wskazującym na mbank ;) Inne moje banki to Inteligo i mBank, które już masz...



Imię: 4551 (13. 09. 2013 - 18:02:28)

Treść:
po co ja tu paczałem ... nie miałem pojecia o tym co Alior wyczynia... ależ sie wkurwiłem.



Imię: jesusbuiltmyvolskwagen (13. 09. 2013 - 23:04:08)

Treść:
1. TLS nie gwarantuje zaszyfrowanego kanału end-to-end, to co ma wnieść? Dobre samopoczucie?

2. Skoro mail jest podpisany S/MIME kluczami należącymi do banku, to jaką informację niesie DKIM?



Imię: GDR! (14. 09. 2013 - 08:28:18)

Treść:
@jesusbuiltmyvolskwagen:

1. Większość ludzi ufa swojemu dostawcy poczty, więc TLS gwarantuje że tylko zaufane strony są w stanie przeczytać wiadomość. Ja jestem swoim własnym dostawcą poczty, więc TLS jest dla mnie równie dobry jak PGP (zakładając że nikt nie uzyska danych z serwera, ale to inna dyskusja). Chyba że chodzi ci o to, że TLS w SMTP jest podatny na downgrade attack - tutaj z kolei zawsze mogę sobie skonfigurować postfixa tak, żeby wymagał od serwerów banku najwyższych standartów.

2. Jeśli mail nie jest podpisany S/MIME, DKIM niesie informację. Przy obecności S/MIME, o DKIM wspominałem tylko dla formalności.



Imię: Sław (22. 01. 2014 - 22:41:21)

Treść:
Mam pytanie jeśli jesteś w stanie mi wytłumaczyć to bardzo proszę. Logowanie do konta bankowego multibanku: zawsze miałem widoczną kłódkę oraz przycisk prawidłowego szyfrowania (zielony napis bre bank) dziś na wszystkich komputerach tego brak. Mozilla w wersji 26.0 i nie było żadnych aktualizacji ostatnio. Dodam ,że strona ma taki adres http://ssl-.moj.multibank.pl/ brak certyfikatów, natomiast znajomy podesłał mi link (miał prawidłowy certyfikat itp) https://moj.multibank.pl/ dwie różne strony? na dodatek na każdej z tych stron czytając "przed zalogowaniem" są inne adresy które powinny być niby prawidłowe. Pozdrawiam i czekam na odpowiedź GDR!



Imię: GDR! (22. 01. 2014 - 22:46:26)

Treść:
@Sław - sorry za problemy z dodawaniem komentarzy.

U mnie http://ssl-.moj.multibank.pl/ nie działa w ogóle, natomiast https://moj.multibank.pl/ ma prawidłowy certyfikat.

Zauważ że ta pierwsza strona ma HTTP na początku - zupełny brak szyfrowania. Nie wiem skąd się taki URL wziął, używaj tego od kolegi.

Sblam! Antyspam
URL encoded in QR Code Statystyki:

Email
Comments