Latest posts for the topic "Dự án "The EFF SSL Observatory""

Dự án "The EFF SSL Observatory"

mrro — GMT

Hi bà con, Hôm nay một người bạn gửi cho thông tin về một dự án khá thú vị:

The EFF SSL Observatory is a project to investigate the certificates used to secure all of the sites encrypted with HTTPS on the Web. We have downloaded a dataset of all of the publicly-visible SSL certificates, and will be making that data available to the research community in the near future. This project is not fully launched yet, because we are currently engaging in vulnerability disclosure for around 28,000 websites that we observed to be using extremely weak private keys generated by a buggy version of OpenSSL.

Một số kết luận rút ra từ nội dung họ trình bày ở DEF CON 18:

* In addition to the implausibly large and diverse group of CAs you trust, you also completely trust all the intermediary signers they they've signed. Including, of course, DHS (slide 42). (See also: Soghoian and Stamm, "Certified Lies".) Windows and Firefox trust 1,482 CA certs (651 organizations). * Of 16 M IPs listening on 443, 10.8 M started SSL handshake; of those, 4.3 M used CA-signed cert chains (slide 14). Thus, the majority of servers use "invalid"/invalid/self-signed certs. * The invalid certs contain all kinds of bad stuff (see slide 16). * The valid certs contain all kinds of bad stuff (see the rest of the slide deck). * CAs re-use keypairs in new certs to prolong the effective life (slide 28). * Many CAs sign reserved/private names. Several CAs have signed e.g. 192.168.1.2. That host is certified to live in many countries by many CAs. One CA thinks its identity is the same as a public/routable IP. * The single most often signed name is "localhost" (6K distinct certs for that subject name). Many CAs have signed that name many times; a few CAs only signed it once. This suggests many CAs don't even track the names they've signed to make sure they don't get tricked into signing a name twice. Never mind the fact that they shouldn't be signing private names in the first place...A colleague of mine got a CA-signed cert for "mail". Could that be a problem? :) * Your browser trusts two signing certs that use a 512-bit RSA key (slide 32). * The bad Debian keys are not dead, and 530 are CA-signed. 73 of the 530 are revoked.

Mình nghĩ đây là một đề tài nghiên cứu thú vị, bạn nào có hứng thú thì thử đào sâu theo các hướng sau: * Dựa vào nguồn dữ liệu sắp được công bố, còn những vấn đề nào khác nữa mà tác giả của các dự án chưa tìm hiểu hay không? * Mở rộng tìm hiểu sao các giao thức khác như SMTPS, IMAPS, POP3S hoặc là StartTLS extension của các giao thức này. * Tập trung điều nghiên các web site trong giới hạn các máy chủ Web ở VN hoặc trực thuộc các doanh nghiệp, tập đoàn, tổ chức tài chính ngân hàng ở VN. Hồi trước (khoảng 09/2009), mình cũng có làm một cái survey nho nhỏ về việc cấu hình SSL/TLS trên các web site thuộc các ngân hàng và tổ chức tài chính ở VN (sử dụng một công cụ tương tự như https://www.ssllabs.com/). Kết quả mà mình quan sát được là hầu hết các web site này đều cấu hình SSL/TLS sai. Nên mình nghĩ nếu làm theo hướng này, nhiều khả năng sẽ thu được những kết quả thú vị. Xem thêm: http://www.eff.org/observatory -m

Dự án "The EFF SSL Observatory"

K4i — GMT

Kết quả mà mình quan sát được là hầu hết các web site này đều cấu hình SSL/TLS sai.

mrro có làm tổng kết về vụ này không? Nếu có thì có thể chia sẻ cho mọi người biết được không?

Dự án "The EFF SSL Observatory"

mrro — GMT

@K4i: mình có làm, nhưng rất tiếc là đã để lạc ở đâu đó rồi. Hiện giờ mình thấy bọn SSLLabs làm khá tốt, vừa có công cụ, vừa có tài liệu mô tả, nên ai mà muốn làm một cái survey tương tự thì chỉ cần dùng SSLLabs là được. Bạn nào muốn làm thử mấy cái nghiên cứu nho nhỏ mà mình nói ở trên, thì cứ trả lời ở đây, mình sẽ hướng dẫn chi tiết hơn. -m

Dự án "The EFF SSL Observatory"

myquartz — GMT

Mình cũng làm 1 cái survey, lâu lâu rồi, về các loại Internet banking của các Ngân hàng ở VN. Kết luận là kiến thức bảo mật của ngành ngân hàng phải nói lúc đó là thiếu và yếu. Kết quả nó đây: Date checked: 2008-05-06 == SSL signed with Verisign or other Trusted CAs == VCB (Verisign Class 3) http://www.vietcombank.com.vn/EBanking/ ICB (Verisign Class 3) http://www.icb.com.vn/ Techcombank F@st i-bank (Verisign Class 3 Extended Validation) https://tib.techcombank.com.vn/ DongABank (Verisign Class 3 Extended Validation) https://ebanking.dongabank.com.vn/login.jsp Sacombank (Verisign Class 3) https://www.e-sacombank.com.vn/sacomweb/index.stb SaiGon-Hanoi (Verisign Class 3) http://www.shb.com.vn == SSL signed by non-Trusted CA == ACB (VASC CA Class 3) http://www.acb.com.vn Eximbank (self-CA??) http://www.eximbank.com.vn/vietnam/ Nam Viet Bank (self-CA??) https://www.navibank.com.vn/eserenvn/ == Non-SSL Internet Banking == VIB http://www.vib.com.vn Phuong Nam http://ebank.southernbank.com.vn/ An Binh Bank http://www.abbank.vn/ Quan Doi http://ibanking.militarybank.com.vn Hang Hai http://www.msb.com.vn SaiGonBank http://www.saigonbank.com.vn/ib_login.jsp == No Internet banking Service == Nong nghiep http://www.vbard.com.vn/ BIDV http://www.bidv.com.vn/ Chinh sach XH http://www.vbsp.org.vn/ VPBank http://www.vpb.com.vn/ SeaBank http://www.seabank.com.vn/ Nam A Bank http://www.nab.com.vn/ Phuong Dong http://www.ocb.com.vn/ Bac A http://www.nasbank.com.vn OceanBank http://www.oceanbank.vn (dang nhap kiem tra tai khoan khong hoat dong) Habubank (email banking??) http://www.habubank.com.vn MHB http://www.mhb.com.vn KienLong Bank http://www.kienlongbank.com.vn Tớ còn 1 câu chuyện sẽ post sau liên quan đến VASC CA, CA nội địa có khách hàng lớn nhất là ... ACB. ACB là ngân hàng hàng đầu của VN, dùng VASC CA thì đủ biết VASC CA mạnh cỡ nào :-D.

Dự án "The EFF SSL Observatory"

cvhainb — GMT

Hi vọng chủ đề này xôm tụ vì đây cũng là vấn đề tớ muốn học :-) Thân,

Dự án "The EFF SSL Observatory"

conmale — GMT

Matty có viết một cái script (bash) rất hay để kiểm tra server cert ở http://prefetch.net/code/ssl-cert-check Thử tạo danh sách các host mà myquartz đã cung cấp: Code:

[conmale@home ~]$ cat sites
www.vietcombank.com.vn
www.icb.com.vn
www.e-sacombank.com.vn
www.shb.com.vn
www.acb.com.vn
www.eximbank.com.vn
www.navibank.com.vn
www.vib.com.vn
ebank.southernbank.com.vn
www.abbank.vn
ibanking.militarybank.com.vn
www.msb.com.vn
www.saigonbank.com.vn
www.vbard.com.vn
www.bidv.com.vn
www.vbsp.org.vn
www.vpb.com.vn
www.seabank.com.vn
www.nab.com.vn
www.ocb.com.vn
www.nasbank.com.vn
www.oceanbank.vn
www.habubank.com.vn
www.mhb.com.vn
www.kienlongbank.com.vn

Thử chạy cái script:

[comale@home ~]$ for each in `cat sites`; do ./ssl-cert-check -s $each -i -p 443; done Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.vietcombank.com.vn:443 VeriSign, Inc. Valid Jun 6 2012 665 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.icb.com.vn:443 VeriSign, Inc. Valid Nov 22 2011 468 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.e-sacombank.com.vn:443 VeriSign, Inc. Valid Nov 16 2010 97 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.shb.com.vn:443 VeriSign, Inc. Valid Mar 1 2011 202 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3079063260:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078969052:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078461148:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077588700:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.acb.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.eximbank.com.vn:443 VeriSign, Inc. Valid Nov 19 2010 100 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.navibank.com.vn:443 SomeOrganization Expired Jan 29 2009 -559 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3079505628:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077986012:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078121180:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077514972:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.vib.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3078199004:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078280924:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077727964:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077527260:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE ebank.southernbank.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3078182620:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077605084:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077703388:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3079325404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.abbank.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- ibanking.militarybank.com.vn:443 SWsoft, Inc. Expired Apr 2 2009 -496 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.msb.com.vn:443 VeriSign Trust Ne Valid Feb 23 2013 927 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.saigonbank.com.vn:443 SaigonBank Expired Mar 8 2010 -156 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.vbard.com.vn:443 SomeOrganization Valid Jul 26 2011 349 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.bidv.com.vn:443 SSL handshake failed Unknown Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3077654236:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078293212:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078973148:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078919900:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.vbsp.org.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.vpb.com.vn:443 Connection refused Unknown Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.seabank.com.vn:443 Connection refused Unknown Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3077961436:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078526684:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078788828:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078981340:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.nab.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3078395612:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078387420:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078338268:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3079026396:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.ocb.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3078846172:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078489820:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077527260:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077502684:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.nasbank.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.oceanbank.vn:443 Valid Mar 11 2011 212 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3077560028:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077568220:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077899996:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078567644:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.habubank.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3079161564:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077523164:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077568220:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3079403228:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.mhb.com.vn:443 Expired -2455420 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- unable to load certificate 3078780636:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3077551836:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078244060:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE unable to load certificate 3078244060:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE www.kienlongbank.com.vn:443 Expired -2455420

Mèn đét ơi :( Chỉ có 6 cái trong 25 cái là coi được. Kiểu này thì làm sao mà "thương mại điện tử"?

Dự án "The EFF SSL Observatory"

conmale — GMT

Tò mò tiếp tục thử các nhà băng ở Úc: Code:

[conmale@home ~]$ cat aus-banks
www.nab.com.au
www.westpac.com.au
www.commbank.com.au
www.stgeorge.com.au
www.anz.com
www.hsbc.com.au
www.citibank.com.au
ibs.bankwest.com.au
www.bendigobank.com.au
www.boq.com.au
internetbanking.suncorpmetway.com.au
www.arabbank.com.au
www.banksa.com.au
www.macquarie.com.au

Rồi thử:

[conmale@home ~]$ for each in `cat aus-banks`; do ./ssl-cert-check -s $each -i -p 443; done Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.nab.com.au:443 VeriSign Trust Ne Valid Feb 8 2011 181 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.westpac.com.au:443 VeriSign, Inc. Valid Jun 12 2011 305 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.commbank.com.au:443 VeriSign Trust Ne Valid Apr 12 2011 244 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.stgeorge.com.au:443 VeriSign, Inc. Valid Mar 31 2011 232 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.anz.com:443 VeriSign Trust Ne Valid Nov 11 2010 92 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.hsbc.com.au:443 VeriSign, Inc. Valid Jan 8 2011 150 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.citibank.com.au:443 VeriSign Trust Ne Valid Aug 20 2011 374 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- ibs.bankwest.com.au:443 VeriSign, Inc. Valid Mar 9 2012 576 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.bendigobank.com.au:443 VeriSign Trust Ne Valid Nov 27 2010 108 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.boq.com.au:443 VeriSign Trust Ne Valid Feb 2 2011 175 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- internetbanking.suncorpmetway.com.au:443 VeriSign Trust Ne Valid May 6 2011 268 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.arabbank.com.au:443 Equifax Valid Sep 20 2011 405 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.banksa.com.au:443 VeriSign, Inc. Valid Mar 31 2011 232 Host Issuer Status Expires Days ----------------------------------- ----------------- -------- ----------- ---- www.macquarie.com.au:443 VeriSign Trust Ne Valid Oct 22 2010 72

Mèn.

Dự án "The EFF SSL Observatory"

Z0rr0 — GMT

Nhiều chú sài SSL chỉ đơn giản vì nó đi kèm với software system lúc cài đặt cho đúng bài, certificate dạng self-signed và rồi từ đó về sau quên béng nó là gì. Thậm chí còn nói "expired thì nó vẫn mã hoá ầm ầm, vẫn an toàn chán" mà không hiểu nó còn đi kèm với hình ảnh và mức độ tin cậy của doanh nghiệp mình :)

Dự án "The EFF SSL Observatory"

vikjava — GMT

Hi anh ! Cái script anh test về việc áp dụng SSL trong thương mại điện tử, kết quả với nhiều ngân hàng thật sự không chính xác. vidu: https://www.acbonline.com.vn/index_c.html --> ebanking của ACB https://ebanking.abbank.vn/scripts/t24tib -->> an bình bank, ngân hàng này áp dụng toàn hàng microsoft https://ebanking.mbbank.com.vn/ -->> ngân hàng quân đội Test thử mấy ngâng hàng mà anh conmale coi được trên ssllabs.com , thì đa phần đạt loại F( thấp nhất) Một chú ý là các ngân hàng việt nam có vụ phân biệt giữa ibanking và ebanking. Ibanking là giai đoạn đầu của việc triển khai ngân hàng điện tử , nó chỉ có chức năng truy vấn số dư như SMS banking mà thôi. Giai đoạn 2 mới là ebanking cho phép chuyển tiền ( việc chuyển tiền này lại chia thành 2 giai đoạn : chuyển nội bộ và chuyển liên ngân hàng ) Dùng từ " thương mại điện tử " đối với cac ngân hàng việt nam là chưa chính xác. Vì các ngân hàng đang trong quá trình xây dựng, rất nhiều ngân hàng đang hoạt động với cơ sở dữ liệu phân tán, hoặc cũng rất nhiều ngân hàng mới triển khai xong hệ thống Core Banking.

Dự án "The EFF SSL Observatory"

conmale — GMT

vikjava wrote:

Hi anh ! Cái script anh test về việc áp dụng SSL trong thương mại điện tử, kết quả với nhiều ngân hàng thật sự không chính xác. vidu: https://www.acbonline.com.vn/index_c.html --> ebanking của ACB https://ebanking.abbank.vn/scripts/t24tib -->> an bình bank, ngân hàng này áp dụng toàn hàng microsoft https://ebanking.mbbank.com.vn/ -->> ngân hàng quân đội Test thử mấy ngâng hàng mà anh conmale coi được trên ssllabs.com , thì đa phần đạt loại F( thấp nhất) Một chú ý là các ngân hàng việt nam có vụ phân biệt giữa ibanking và ebanking. Ibanking là giai đoạn đầu của việc triển khai ngân hàng điện tử , nó chỉ có chức năng truy vấn số dư như SMS banking mà thôi. Giai đoạn 2 mới là ebanking cho phép chuyển tiền ( việc chuyển tiền này lại chia thành 2 giai đoạn : chuyển nội bộ và chuyển liên ngân hàng ) Dùng từ " thương mại điện tử " đối với cac ngân hàng việt nam là chưa chính xác. Vì các ngân hàng đang trong quá trình xây dựng, rất nhiều ngân hàng đang hoạt động với cơ sở dữ liệu phân tán, hoặc cũng rất nhiều ngân hàng mới triển khai xong hệ thống Core Banking.

Đúng vậy. Cái script anh giới thiệu chỉ đơn thuần nhằm xác định self-sign hoặc certificates bị quá hạn thôi em. Để thực hiện như SSLlabs thì đòi hỏi nhiều thứ hơn và sâu hơn. Về việc dùng cụm "thương mại điện tử" thì quả thật anh không có gán cho họ mà vì họ có cả "giao dịch ngân hàng trực tuyến cho doanh nghiệp" và họ dùng từ là e-banking đó em :P .

Dự án "The EFF SSL Observatory"

hvthang — GMT

@Conmale: Những kết quả kiểm tra của anh đối với ngân hàng VN và ngân hàng ở Úc cho thấy rằng: - Các ngân hàng ở VN hiện này không chú trọng đến vấn đề an toàn trong giao dịch giữa khách hàng với họ - Một số thậm chí còn không triển khai việc bảo đảm an toàn (họ không sử dụng https - hoặc do họ chưa có mấy cái gọi là ibanking hay ebanking). Em muốn hỏi anh một số điểm: - Việc họ làm vậy có khả năng gây ra thiệt hại cho khách hàng không? (Kinh nghiệm của anh đã gặp trường hợp sự cố nào xoay quanh việc này chưa ạ?) - Nếu anh có chức năng liên quan đến việc xử lý vấn đề này, anh sẽ làm sao để cho các ngân hàng VN được đồng bộ tốt như ở Úc. (trên phương diện quản lý vĩ mô chẳng hạn) P/s: Việc đa số ngân hàng bị lỗi qua bước kiểm tra của anh một phần lớn là do các ngân hàng triển khai các dịch vụ online trên domain khác với domain anh kiểm tra và một số không có hỗ trợ https. Tuy nhiên, dễ dàng nhận thấy họ cấu hình quá "ẩu" và tuỳ tiện. Cảm ơn anh.

Dự án "The EFF SSL Observatory"

myquartz — GMT

Có, 1 số Bank tại VN cũng ko tệ lắm, điểm cao, ví dụ Đông Á của Mrro đang làm việc. https://ebanking.dongabank.com.vn ACB nó có 2 site, 1 cái cũ, 1 cái mới. www.acbonline.com.vn là mới, cái cũ nó là online.acb.com.vn (trước nó còn dùng VASC CA cơ, vui ơi là vui). Phải vào các website của ngân hàng ở VN, họ thường không dùng tên miền www.xxx để làm e-banking hay i-banking. Thường là tên khác, ví dụ ebanking.xxx, ibank, onlinebank... Bạn nào rảnh làm survey thử coi, xem các NH từ năm tớ khảo sát tới nay có gì khác không. Ai rảnh, xong vụ website, làm thêm cái survey về mail của các ngân hàng. Một số ngân hàng cho phép check mail = pop3, imap, gửi bằng SMTP, hoặc dùng RPC over HTTP. Tuy nhiên có support TLS/SLL thì hiếm, hơn nữa mua chứng chỉ số cho mấy cái đó lại càng ... hiếm. 1 số NH dùng Exchange, cẩn thận không thèm cho nhân viên check ở bên ngoài Internet, chỉ cho xài trong nội bộ mạng Intranet. Chỗ mrro chơi bài nào với mail thế?

Dự án "The EFF SSL Observatory"

conmale — GMT

hvthang wrote:

@Conmale: Những kết quả kiểm tra của anh đối với ngân hàng VN và ngân hàng ở Úc cho thấy rằng: - Các ngân hàng ở VN hiện này không chú trọng đến vấn đề an toàn trong giao dịch giữa khách hàng với họ - Một số thậm chí còn không triển khai việc bảo đảm an toàn (họ không sử dụng https - hoặc do họ chưa cho mấy cái gọi là ibanking hay ebanking). Em muốn hỏi anh một số điểm: - Việc họ làm vậy có khả năng gây ra thiệt hại cho khách hàng không? (Kinh nghiệm của anh đã gặp trường hợp sự cố nào xoay quanh việc này chưa ạ?) - Nếu anh có chức năng liên quan đến việc xử lý vấn đề này, anh sẽ làm sao để cho các ngân hàng VN được đồng bộ tốt như ở Úc. (trên phương diện quản lý vĩ mô chẳng hạn) P/s: Việc đa số ngân hàng bị lỗi qua bước kiểm tra của anh một phần lớn là do các ngân hàng triển khai các dịch vụ online trên domain khác với domain anh kiểm tra và một số không có hỗ trợ https. Tuy nhiên, dễ dàng nhận thấy họ cấu hình quá "ẩu" và tuỳ tiện. Cảm ơn anh.

----> Thiệt hại, hay nói đúng hơn là hiểm hoạ có thể xảy ra với khách hàng trước mắt là khách hàng có thể bị "dụ" và bị dính vô MiTM attack. Nếu trường hợp này xảy ra, tài khoản của khách hàng có thể bị đánh cắp và hậu quả thế nào còn tuỳ vào tính "sáng tạo" của tin tặc ;). Riêng bản thân anh thì chưa hề gặp phải trường hợp nào xoay quanh mảng "weak" SSL. ----> anh đoán việc có thể làm là phổ biến cụ thể những nguy hại về mặt kỹ thuật đến ban quản trị của các ngân hàng để họ tự hình thành các quy chế và cơ chế kiện toàn. Ngoài ra, chính phủ có thể đưa ra một số đòi hỏi bắt buộc nào đó để ngân hàng phải tuân thủ nhằm mục đích bảo vệ doanh nghiệp và khách hàng của họ. Ở Úc, các nhà băng và các tập đoàn tài chính phải thực hiện đúng đòi hỏi của nghiệp đoàn và của chính phủ về việc bảo đảm an toàn cho khách hàng cũng như tài sản của doanh nghiệp. PS: thật sự anh chỉ dùng lại các host/domain names mà myquartz đưa ra trên thảo luận trước chớ anh cũng chẳng có nhiều thời gian để vô từng trang web ấy và xác định chính xác trang đăng nhập của mỗi dịch vụ có URL là gì :P . Kết quả vắn tắt và sơ khởi từ cái script anh đưa ra chỉ là một "bước dạo đầu" chớ cũng chẳng phải là "kiểm tra" gì đâu em.

Dự án "The EFF SSL Observatory"

vikjava — GMT

myquartz wrote:

Chỗ mrro chơi bài nào với mail thế?

myquartz test thử hệ thống mail bên mrro xem thế nào ? :D Thật ra cũng không khó để đạt điểm cao như dongabank (87 điểm), có thể nhiều ngân hàng chưa quan tấm đến bảo mật. Bên đông á có nguyên đội ngũ chuyên làm bảo mật :-S toàn là trẻ khoẻ đẹp trai , dẻo dai sài được lâu B-)

Dự án "The EFF SSL Observatory"

conmale — GMT

https://www.ssllabs.com/ssldb/analyze.html?d=www.hvaonline.net --> 88. Not bad ;).

Dự án "The EFF SSL Observatory"

vikjava — GMT

88 giống 2 cái còng của công an thế :-) . Có khi nào ngụ ý răng anh tài nào lên HVA show chiến công hack sẽ bị 88 không ta =)) Về phần đánh giá trên SSL Labs thì đa phần bị trừ điểm ở Protocol nếu support SSL 2.0 . Ở Cipher Suites nếu nhỏ hơn 128. Fix 2 cái này thì ok.

Dự án "The EFF SSL Observatory"

myquartz — GMT

vikjava wrote:

88 giống 2 cái còng của công an thế :-) . Có khi nào ngụ ý răng anh tài nào lên HVA show chiến công hack sẽ bị 88 không ta =)) Về phần đánh giá trên SSL Labs thì đa phần bị trừ điểm ở Protocol nếu support SSL 2.0 . Ở Cipher Suites nếu nhỏ hơn 128. Fix 2 cái này thì ok.

Vấn đề không phải là dễ hay không. Hiện tại các phần mềm nó đều trang bị đến tận răng các tính năng. Chỉ cần người làm hiểu biết 1 chút thôi, ko cần "siêu" như mrro làm cái gì. Với SSL chẳng hạn, chỉ cần nhớ là SSLv2 có 1 số vấn đề, tránh nó ra là xong. Với Cipher, thì ở đâu đó đã nói rằng DES 56bit đã có thể bị phá nhờ siêu máy tính không cần khoẻ lắm thì phải. Chỉ cần biết vậy, config thì tránh nó ra. Tiếc là dân tự vỗ ngực làm bảo mật hiện tại, chỉ giỏi "mua thiết bị", không biết mấy cái "vớ vẩn" ở trên.

Dự án "The EFF SSL Observatory"

K4i — GMT

Hi myquartz,

Tớ còn 1 câu chuyện sẽ post sau liên quan đến VASC CA, CA nội địa có khách hàng lớn nhất là ... ACB. ACB là ngân hàng hàng đầu của VN, dùng VASC CA thì đủ biết VASC CA mạnh cỡ nào :-D.

(trước nó còn dùng VASC CA cơ, vui ơi là vui).

Mình không biết ý bạn úp mở gì ở đây. Dùng VASC CA thì đáng buồn cười lắm hả bạn? Hay dùng Cert made in Vietnam, by Vietnamese CA thì là buồn cười,... @Vừa rà lại một số dịch vụ dùng SSL có liên quan đến chỗ mình làm thì đáng buồn quá, 1 điểm 0, 2 điểm D (=48 điểm =(()

Dự án "The EFF SSL Observatory"

vikjava — GMT

Hi all! Khi check trên https://www.ssllabs.com ra kết quả Assessment failed: Received fatal alert: illegal_parameter Cho mình hỏi thông báo trên là lỗi gì, nguyên nhân gây ra lỗi và cách khắc phục như thế nào ?

Dự án "The EFF SSL Observatory"

conmale — GMT

vikjava wrote:

Hi all! Khi check trên https://www.ssllabs.com ra kết quả Assessment failed: Received fatal alert: illegal_parameter Cho mình hỏi thông báo trên là lỗi gì, nguyên nhân gây ra lỗi và cách khắc phục như thế nào ?

Có thể máy chủ được test có hệ thống bảo vệ gì đó nên ssllabs không thực thi được. Khi test HVA, anh thấy ssllabs gởi hàng loạt requests để thử nghiệm. Chính HVA cũng đã block ssllabs ngay lúc đầu. Anh phải chỉnh lại firewall để cho phép ssllabs thực thi kiểm tra :P .

Dự án "The EFF SSL Observatory"

vikjava — GMT

Cảm ơn anh conmale nhiều. Em tìm ra được cái "gì đó " rùi. Lúc đầu em cứ tưởng do SSL nên cứ tìm tài liệu đọc theo hướng ấy.

Dự án "The EFF SSL Observatory"

LeVuHoang — GMT

Check thử ebanking.dongabank.com.vn được 88đ tụi SSLLab báo thế này:

This server is vulnerable to MITM attacks because it supports renegotiation (more info here http://blog.ivanristic.com/2009/11/not-just-csrf-ssl-authentication-gap-used-for-credentials-theft.html).

Hình như anh conmale chỉnh gì đó về phần ssl này nên khi login HVA sử dụng ssl thì nhận lỗi: (Error code: ssl_error_rx_unexpected_new_session_ticket)