¿Es realmente seguro acceder a la cuenta bancaria en Internet?

13

Antes de hacer mi pregunta, me gustaría asegurarme de que entiendo la configuración correctamente.

Por lo tanto, lo dado:

  • Un cliente que usa algún navegador web (por ejemplo, Firefox): el Cliente
  • El servidor del banco: el Servidor
  • El Cliente establece una conexión HTTPS con el Servidor
  • Se utiliza un certificado SSL firmado por una CA conocida
  • La contraseña de acceso a la cuenta bancaria de Cliente es buena y está bien protegida.

Ahora, me pregunto qué hace que sea invulnerable al ataque MITM. Imagina que:

  • Alguien obtiene un certificado SSL legítimo firmado por cualquier CA conocida y emitido a una máquina determinada.
  • A continuación, necesitamos hacer que el tráfico HTTP pase por esta máquina. Es posible si la máquina está configurada para ser un enrutador y está ubicada en algún lugar cerca de los puntos finales: la red corporativa o el ISP correspondiente son los que vienen a la mente.
  • La máquina actúa como un proxy MITM. Ahora, el navegador aún debe advertir al Cliente , ya que el certificado presentado se emite a un host diferente del que se encuentra en la URL, pero si examina el certificado se revelará que es absolutamente válido y que es emitido por un confiable CA: puede engañar al humano para que lo acepte.

Entonces, mi pregunta es la siguiente: ¿es cierto que la seguridad de la contabilidad en línea depende de:

  • Lo estricto del proceso de firma de certificados SSL por parte de las CA conocidas.
  • La seguridad de los laboratorios de TI corporativos e ISP.

Lo que se agrega al poder de las matemáticas detrás del cifrado, por supuesto.

Gracias.

    
pregunta mark 19.12.2011 - 18:17
fuente

6 respuestas

20

¿La seguridad es relativa, por ejemplo, es muy seguro acceder a un banco en la vida real? Usted podría ser robado a punta de pistola. Su cajero automático podría tener un Skimmer para robar los datos de su tarjeta.

Seguro SSL tiene sus problemas , el PKI también tiene sus problemas , y la gente está trabajando en ello . El EFF está promoviendo "Sovereign Keys" , que básicamente impide que países como Irán de falsificar un certificado válido para Gmail . La solución propuesta de Moxie Marlinspike para las AC no autorizadas es Convergence .

Muy pocas personas pueden completar un ataque a SSL, pero cuando se rompe es realmente malo. Sin embargo, un ataque MITM no te disparará. Así que la banca en línea es mucho más segura que cualquier otra alternativa que tenemos actualmente.

    
respondido por el rook 19.12.2011 - 19:13
fuente
8

Como ya descubrió, sí, depende de que el sistema SSL esté comprometido (ya sea un certificado emitido a una parte que no posee el sitio real, o la inyección de un certificado de CA falso en el cliente) y para que el navegador intente conectarse a través del sitio MITM (como un proxy, a través de envenenamiento de DNS o inyección de enrutamiento).

Por sí solo (AFAIK) no permitirá que la conexión se vea comprometida de una manera que no sea detectable por el cliente. Tenga en cuenta que esto significa que cualquier organización que suministre tanto el enrutamiento como la lista inicial de CA puede comprometer el servicio (los ISP utilizados para agrupar MSIE 4 / Netscape 4 junto con un CD de instalación para servicios de acceso telefónico, a menudo, aún tiene que instalar el software para acceder Un enrutador ADSL USB o incluso en red, lo que brinda la oportunidad de jugar con la lista de CA).

"Ahora, el navegador aún debe advertir al Cliente, porque el certificado presentado se emite a un host diferente al de la URL", ¿pero dijo que el certificado emitido era "legítimo"? Si el certificado no coincide con el nombre de host, no es, por lo tanto, legítimo.

Pero todavía hay muchas otras formas de socavar la seguridad de un sitio web sin tener que esforzarse tanto.

    
respondido por el symcbean 19.12.2011 - 18:31
fuente
5

Tu entendimiento es correcto. Un riesgo aún mayor (en muchas situaciones) es el malware en la máquina cliente que está utilizando para realizar operaciones bancarias en línea. El malware puede derrotar completamente todas las defensas de seguridad: SSL, antivirus, lo que sea. Ya hemos visto este tipo de malware utilizado ampliamente en la naturaleza, normalmente para robar dinero de pequeñas empresas. Entonces, la banca en línea es algo bastante aterrador.

Dicho esto, como persona, con mucho gusto utilizo la banca en línea todo el tiempo. ¿Sabes por qué? Porque mi banco me promete que, en caso de acceso no autorizado, me van a recuperar. Siempre que aplique prácticas razonables (elija una buena contraseña, no se la diga a nadie, cierre sesión después de que termine la banca), en el caso de cargos no autorizados en mi cuenta, el banco es responsable de cualquier pérdida, no yo. Esto significa que estoy a salvo y no tengo que preocuparme por los riesgos.

Por ejemplo, aquí está política del Bank of America :

  

Con nuestro servicio de Banca en Línea, puede estar seguro de que sus cuentas de Bank of America estarán seguras y protegidas. Nuestro servicio de banca en línea segura incluye una protección de responsabilidad de $ 0 por cualquier actividad fraudulenta que se origine en la Banca en Línea, incluido el Pago de Facturas. [...]

     

Bank of America le promete que no será responsable de ninguna actividad fraudulenta que se origine en su relación con la Banca en Línea. Le acreditaremos los fondos transferidos desde sus cuentas hasta el monto de su pérdida cuando notifique al banco dentro de los 60 días de la primera vez que aparezca la transacción en su estado de cuenta.

Consulte también su contrato de servicio para obtener más detalles. Que yo sepa, esto es ampliamente representativo de los tipos de protecciones que muchos bancos ofrecen a las cuentas individuales, aunque no todos los bancos ofrecen un lenguaje concreto, explícito y protector en sus acuerdos.

Sin embargo, hay una captura significativa. Esta protección solo se ofrece a individuos. Es no disponible para cuentas comerciales. Con las cuentas comerciales, si hay un fraude o una violación de la seguridad, el banco se exime de toda responsabilidad y deja a sus clientes en el gancho. Esto hace que la banca en línea sea segura para las personas, pero muy peligrosa para las empresas, especialmente las pequeñas, que pueden no tener la experiencia necesaria para defenderse adecuadamente de estas amenazas. Desafortunadamente, muchas pequeñas empresas no son conscientes de los riesgos de la banca en línea, y algunas de ellas han sido atacadas por delincuentes en línea. Consulte blog de Brian Krebs para obtener documentación extensa de la cantidad de pequeñas empresas que han sido devastadas por este problema. Por este motivo, recomendaría a las pequeñas empresas que consideren la banca en línea a pisar muy con cuidado .

    
respondido por el D.W. 22.02.2012 - 03:41
fuente
4

Realmente no me preocupo mucho por el sistema entre el banco y yo, me imagino que eso es mucho escrutinio y es bastante difícil de atacar.

No me preocupo por la seguridad del banco porque no hay nada que pueda hacer al respecto y estoy bastante seguro de que son los principales responsables si la gente roba dinero de sus bases de datos directamente.

Estoy TERRIFICADO para acceder a un banco desde una PC con Windows. Los keyloggers en los rootkits son virtualmente imposibles de detectar, el software de detección de virus es generalmente un año detrás de la curva de los rootkits (cuando pueden detectarlos en absoluto) y nada de lo que pueda hacer puede prevenirlos. Puede ser realmente cuidadoso, pero con el tiempo es probable que entre algo. Cada cierto tiempo, incluso encontrará páginas de navegador en las que verlas compromete su PC.

Si reinicia en una herramienta separada que escanea el disco duro y SI la firma o patrón de su rootkit está contenido en la base de datos de esa herramienta, entonces es bastante bueno, pero no sé lo suficiente sobre la industria para saber qué tan grandes son esos IFs. en realidad son.

Me siento un poco más seguro en OSX / Linux / iOS, no porque sea imposible piratearlos o algo así, pero es un poco más difícil y también sé que paranoico como soy. Eventualmente encontré rootkits en mis PC con Windows pero aún no he encontrado una en las otras plataformas (corro 4, incluido Android, pero eso no me parece tan seguro como me gustaría), por lo que es solo una experiencia personal. Windows 7 también puede ser más seguro, no hay datos suficientes para saberlo con certeza.

    
respondido por el Bill K 19.12.2011 - 22:27
fuente
1

Se trata de la lentitud con que los bancos actualizan su configuración SSL cuando sus sitios son vulnerables a ataques como Heartbleed y Poodle. En las pruebas del servidor de SSL Labs, los sitios bancarios suelen tener una puntuación peor que las redes sociales (Twitter y Gmail se toman muy en serio la seguridad).

Hice esta página presentando las calificaciones de SSL Labs de los bancos británicos enlace

    
respondido por el Colonel Panic 17.05.2015 - 23:47
fuente
-2

Si bien, como SSL y amp; TSL están diseñados para ser seguros, depende de la seguridad de su computadora y de la red que lo rodea. Si su computadora está infectada con malware, podría robar su información de inicio de sesión. Si su red está monitoreada, entonces es posible que alguien pueda copiar su tráfico y acceder a él de esa manera (si tienen acceso total para interceptarlo, pueden interceptar las Claves SSL y destruir su seguridad). Depende de tu computadora y de la seguridad de la red. Su banco está diseñado para ser seguro, pero la seguridad depende de usted.

    
respondido por el Nathaniel Suchy 27.11.2015 - 22:50
fuente

Lea otras preguntas en las etiquetas