Este es la segunda parte del artículo Bancos y SSL ¿quién aprueba? escrito por Yago hace más de un año, he creído conveniente realizar una actualización de ese artículo que tanto me gustó. En este estudio se analizan las diferentes cajas y bancos surgidos en España tras las fusiones hasta el momento. El listado se ha sacado de CECA y se han añadido algunos bancos más que no pertenecen a dicha entidad. Además, hace más de un año del primer estudio y han surgido nuevas vulnerabilidades a tener en cuenta como criterios a valorar.
- Son entidades que manejan mucha inversión
- El tipo de actividad a que se dedican requiere todas las garantías
- Soporte SSL v2.0: Este criterio ya estaba en el estudio inicial, pero todavía hay entidades que lo soportan.
- Certificado SSL EV: Este tipo de certificado es en la actualidad la mayor confianza visible para los usuarios de que quién está detrás de una web es una organización que ha pasado una serie de requisitos estrictos. La barra del navegador se muestra de color verde para mostrar que no se trata de phishing. Toda la banca electrónica debería usar este tipo de certificados.
- Vulnerable a un ataque MitM: La vulnerabilidad de la renegociación ya se trato aquí. La entidad financiera elegida al azar en el estudio de Yago sigue siendo vulnerable a este ataque.
- Longitud de certificado: Sigue el mismo criterio que el estudio inicial: 1024 mal, 2048 o más bien.
- Vulnerable al ataque BEAST: En la EkoParty de este año se anuncio el ataque BEAST. Aunque complicado de llevar a cabo, a día de hoy no hay una solución pero se puede mitigar.
- Soporte de algoritmos de cifrado débiles: Sigue el mismo criterio que el estudio inicial.
- Vulnerable a ataques DoS: Con o sin renegociación SSL. Defenderse de ataques DoS es complicado y caro, pero se puede reforzar SSL contra esta conocida técnica.
- CA confiable: Aquí nos referimos a que ninguna CA de la banca sea una autoridad comprometida.
De las 38 entidades analizadas sólo 6 cumplen correctamente con todos los criterios anteriores, 2 de ellas tienen una configuración SSL muy deficiente, y todas las demás aprobarían el test SSL de qualys con el que se ha realizado este estudio pero tendrían alguna debilidad que podría solucionarse.
- Sólo 5 entidades tienen un sello de la ISO 27001 en su banca electrónica.
- Todas las entidades tienen el certificado SSL del mismo proveedor menos una.
- Una entidad tenía un certificado SSL EV para un dominio que tan sólo realizaba una redirección y el certificado de la página de login destino no era SSL EV.
- Unas pocas entidades contienen enlaces externos en su página principal apuntando a sitios de terceros.
- El software de los servidores web es muy diverso y entre ellos hay versiones antiguas con vulnerabilidades públicas.