[Discussion] Dự án "The EFF SSL Observatory" |
05/08/2010 08:32:21 (+0700) | #1 | 217669 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Hi bà con,
Hôm nay một người bạn gửi cho thông tin về một dự án khá thú vị:
The EFF SSL Observatory is a project to investigate the certificates used to secure all of the sites encrypted with HTTPS on the Web. We have downloaded a dataset of all of the publicly-visible SSL certificates, and will be making that data available to the research community in the near future.
This project is not fully launched yet, because we are currently engaging in vulnerability disclosure for around 28,000 websites that we observed to be using extremely weak private keys generated by a buggy version of OpenSSL.
Một số kết luận rút ra từ nội dung họ trình bày ở DEF CON 18:
* In addition to the implausibly large and diverse group of CAs you trust, you also completely trust all the intermediary signers they they've signed. Including, of course, DHS (slide 42). (See also: Soghoian and Stamm, "Certified Lies".) Windows and Firefox trust 1,482 CA certs (651 organizations).
* Of 16 M IPs listening on 443, 10.8 M started SSL handshake; of those, 4.3 M used CA-signed cert chains (slide 14). Thus, the majority of servers use "invalid"/invalid/self-signed certs.
* The invalid certs contain all kinds of bad stuff (see slide 16).
* The valid certs contain all kinds of bad stuff (see the rest of the slide deck).
* CAs re-use keypairs in new certs to prolong the effective life (slide 28).
* Many CAs sign reserved/private names. Several CAs have signed e.g. 192.168.1.2. That host is certified to live in many countries by many CAs. One CA thinks its identity is the same as a public/routable IP.
* The single most often signed name is "localhost" (6K distinct certs for that subject name). Many CAs have signed that name many times; a few CAs only signed it once. This suggests many CAs don't even track the names they've signed to make sure they don't get tricked into signing a name twice. Never mind the fact that they shouldn't be signing private names in the first place...A colleague of mine got a CA-signed cert for "mail".
Could that be a problem?
* Your browser trusts two signing certs that use a 512-bit RSA key (slide 32).
* The bad Debian keys are not dead, and 530 are CA-signed. 73 of the 530 are revoked.
Mình nghĩ đây là một đề tài nghiên cứu thú vị, bạn nào có hứng thú thì thử đào sâu theo các hướng sau:
* Dựa vào nguồn dữ liệu sắp được công bố, còn những vấn đề nào khác nữa mà tác giả của các dự án chưa tìm hiểu hay không?
* Mở rộng tìm hiểu sao các giao thức khác như SMTPS, IMAPS, POP3S hoặc là StartTLS extension của các giao thức này.
* Tập trung điều nghiên các web site trong giới hạn các máy chủ Web ở VN hoặc trực thuộc các doanh nghiệp, tập đoàn, tổ chức tài chính ngân hàng ở VN. Hồi trước (khoảng 09/2009), mình cũng có làm một cái survey nho nhỏ về việc cấu hình SSL/TLS trên các web site thuộc các ngân hàng và tổ chức tài chính ở VN (sử dụng một công cụ tương tự như https://www.ssllabs.com/). Kết quả mà mình quan sát được là hầu hết các web site này đều cấu hình SSL/TLS sai. Nên mình nghĩ nếu làm theo hướng này, nhiều khả năng sẽ thu được những kết quả thú vị.
Xem thêm: http://www.eff.org/observatory
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
05/08/2010 23:50:04 (+0700) | #2 | 217714 |
|
K4i
Moderator
|
Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
|
|
Kết quả mà mình quan sát được là hầu hết các web site này đều cấu hình SSL/TLS sai.
mrro có làm tổng kết về vụ này không? Nếu có thì có thể chia sẻ cho mọi người biết được không? |
|
Sống là để không chết chứ không phải để trở thành anh hùng |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
08/08/2010 12:57:01 (+0700) | #3 | 217904 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
@K4i: mình có làm, nhưng rất tiếc là đã để lạc ở đâu đó rồi. Hiện giờ mình thấy bọn SSLLabs làm khá tốt, vừa có công cụ, vừa có tài liệu mô tả, nên ai mà muốn làm một cái survey tương tự thì chỉ cần dùng SSLLabs là được.
Bạn nào muốn làm thử mấy cái nghiên cứu nho nhỏ mà mình nói ở trên, thì cứ trả lời ở đây, mình sẽ hướng dẫn chi tiết hơn.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
10/08/2010 21:51:50 (+0700) | #4 | 218086 |
myquartz
Member
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
Mình cũng làm 1 cái survey, lâu lâu rồi, về các loại Internet banking của các Ngân hàng ở VN.
Kết luận là kiến thức bảo mật của ngành ngân hàng phải nói lúc đó là thiếu và yếu.
Kết quả nó đây:
Date checked: 2008-05-06
== SSL signed with Verisign or other Trusted CAs ==
VCB (Verisign Class 3) http://www.vietcombank.com.vn/EBanking/
ICB (Verisign Class 3) http://www.icb.com.vn/
Techcombank F@st i-bank (Verisign Class 3 Extended Validation) https://tib.techcombank.com.vn/
DongABank (Verisign Class 3 Extended Validation) https://ebanking.dongabank.com.vn/login.jsp
Sacombank (Verisign Class 3) https://www.e-sacombank.com.vn/sacomweb/index.stb
SaiGon-Hanoi (Verisign Class 3) http://www.shb.com.vn
== SSL signed by non-Trusted CA ==
ACB (VASC CA Class 3) http://www.acb.com.vn
Eximbank (self-CA??) http://www.eximbank.com.vn/vietnam/
Nam Viet Bank (self-CA??) https://www.navibank.com.vn/eserenvn/
== Non-SSL Internet Banking ==
VIB http://www.vib.com.vn
Phuong Nam http://ebank.southernbank.com.vn/
An Binh Bank http://www.abbank.vn/
Quan Doi http://ibanking.militarybank.com.vn
Hang Hai http://www.msb.com.vn
SaiGonBank http://www.saigonbank.com.vn/ib_login.jsp
== No Internet banking Service ==
Nong nghiep http://www.vbard.com.vn/
BIDV http://www.bidv.com.vn/
Chinh sach XH http://www.vbsp.org.vn/
VPBank http://www.vpb.com.vn/
SeaBank http://www.seabank.com.vn/
Nam A Bank http://www.nab.com.vn/
Phuong Dong http://www.ocb.com.vn/
Bac A http://www.nasbank.com.vn
OceanBank http://www.oceanbank.vn (dang nhap kiem tra tai khoan khong hoat dong)
Habubank (email banking??) http://www.habubank.com.vn
MHB http://www.mhb.com.vn
KienLong Bank http://www.kienlongbank.com.vn
Tớ còn 1 câu chuyện sẽ post sau liên quan đến VASC CA, CA nội địa có khách hàng lớn nhất là ... ACB. ACB là ngân hàng hàng đầu của VN, dùng VASC CA thì đủ biết VASC CA mạnh cỡ nào :-D. |
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 08:41:48 (+0700) | #5 | 218114 |
cvhainb
Member
|
0 |
|
|
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
|
|
Hi vọng chủ đề này xôm tụ vì đây cũng là vấn đề tớ muốn học
Thân, |
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 10:18:36 (+0700) | #6 | 218121 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Matty có viết một cái script (bash) rất hay để kiểm tra server cert ở http://prefetch.net/code/ssl-cert-check
Thử tạo danh sách các host mà myquartz đã cung cấp:
Code:
[conmale@home ~]$ cat sites
www.vietcombank.com.vn
www.icb.com.vn
www.e-sacombank.com.vn
www.shb.com.vn
www.acb.com.vn
www.eximbank.com.vn
www.navibank.com.vn
www.vib.com.vn
ebank.southernbank.com.vn
www.abbank.vn
ibanking.militarybank.com.vn
www.msb.com.vn
www.saigonbank.com.vn
www.vbard.com.vn
www.bidv.com.vn
www.vbsp.org.vn
www.vpb.com.vn
www.seabank.com.vn
www.nab.com.vn
www.ocb.com.vn
www.nasbank.com.vn
www.oceanbank.vn
www.habubank.com.vn
www.mhb.com.vn
www.kienlongbank.com.vn
Thử chạy cái script:
[comale@home ~]$ for each in `cat sites`; do ./ssl-cert-check -s $each -i -p 443; done
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.vietcombank.com.vn:443 VeriSign, Inc. Valid Jun 6 2012 665
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.icb.com.vn:443 VeriSign, Inc. Valid Nov 22 2011 468
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.e-sacombank.com.vn:443 VeriSign, Inc. Valid Nov 16 2010 97
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.shb.com.vn:443 VeriSign, Inc. Valid Mar 1 2011 202
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3079063260:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078969052:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078461148:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077588700:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.acb.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.eximbank.com.vn:443 VeriSign, Inc. Valid Nov 19 2010 100
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.navibank.com.vn:443 SomeOrganization Expired Jan 29 2009 -559
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3079505628:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077986012:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078121180:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077514972:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.vib.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3078199004:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078280924:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077727964:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077527260:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
ebank.southernbank.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3078182620:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077605084:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077703388:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3079325404:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.abbank.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
ibanking.militarybank.com.vn:443 SWsoft, Inc. Expired Apr 2 2009 -496
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.msb.com.vn:443 VeriSign Trust Ne Valid Feb 23 2013 927
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.saigonbank.com.vn:443 SaigonBank Expired Mar 8 2010 -156
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.vbard.com.vn:443 SomeOrganization Valid Jul 26 2011 349
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.bidv.com.vn:443 SSL handshake failed Unknown
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3077654236:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078293212:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078973148:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078919900:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.vbsp.org.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.vpb.com.vn:443 Connection refused Unknown
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.seabank.com.vn:443 Connection refused Unknown
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3077961436:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078526684:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078788828:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078981340:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.nab.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3078395612:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078387420:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078338268:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3079026396:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.ocb.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3078846172:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078489820:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077527260:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077502684:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.nasbank.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.oceanbank.vn:443 Valid Mar 11 2011 212
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3077560028:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077568220:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077899996:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078567644:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.habubank.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3079161564:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077523164:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077568220:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3079403228:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.mhb.com.vn:443 Expired -2455420
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
unable to load certificate
3078780636:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3077551836:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078244060:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
unable to load certificate
3078244060:error:0906D06CEM routinesEM_read_bio:no start line:pem_lib.c:698:Expecting: TRUSTED CERTIFICATE
www.kienlongbank.com.vn:443 Expired -2455420
Mèn đét ơi Chỉ có 6 cái trong 25 cái là coi được. Kiểu này thì làm sao mà "thương mại điện tử"? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 10:32:20 (+0700) | #7 | 218122 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Tò mò tiếp tục thử các nhà băng ở Úc:
Code:
[conmale@home ~]$ cat aus-banks
www.nab.com.au
www.westpac.com.au
www.commbank.com.au
www.stgeorge.com.au
www.anz.com
www.hsbc.com.au
www.citibank.com.au
ibs.bankwest.com.au
www.bendigobank.com.au
www.boq.com.au
internetbanking.suncorpmetway.com.au
www.arabbank.com.au
www.banksa.com.au
www.macquarie.com.au
Rồi thử:
[conmale@home ~]$ for each in `cat aus-banks`; do ./ssl-cert-check -s $each -i -p 443; done
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.nab.com.au:443 VeriSign Trust Ne Valid Feb 8 2011 181
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.westpac.com.au:443 VeriSign, Inc. Valid Jun 12 2011 305
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.commbank.com.au:443 VeriSign Trust Ne Valid Apr 12 2011 244
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.stgeorge.com.au:443 VeriSign, Inc. Valid Mar 31 2011 232
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.anz.com:443 VeriSign Trust Ne Valid Nov 11 2010 92
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.hsbc.com.au:443 VeriSign, Inc. Valid Jan 8 2011 150
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.citibank.com.au:443 VeriSign Trust Ne Valid Aug 20 2011 374
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
ibs.bankwest.com.au:443 VeriSign, Inc. Valid Mar 9 2012 576
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.bendigobank.com.au:443 VeriSign Trust Ne Valid Nov 27 2010 108
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.boq.com.au:443 VeriSign Trust Ne Valid Feb 2 2011 175
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
internetbanking.suncorpmetway.com.au:443 VeriSign Trust Ne Valid May 6 2011 268
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.arabbank.com.au:443 Equifax Valid Sep 20 2011 405
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.banksa.com.au:443 VeriSign, Inc. Valid Mar 31 2011 232
Host Issuer Status Expires Days
----------------------------------- ----------------- -------- ----------- ----
www.macquarie.com.au:443 VeriSign Trust Ne Valid Oct 22 2010 72
Mèn.
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 11:38:39 (+0700) | #8 | 218128 |
|
Z0rr0
Q+WRtaW5pc3RyYXRvc+g
|
Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
|
|
Nhiều chú sài SSL chỉ đơn giản vì nó đi kèm với software system lúc cài đặt cho đúng bài, certificate dạng self-signed và rồi từ đó về sau quên béng nó là gì.
Thậm chí còn nói "expired thì nó vẫn mã hoá ầm ầm, vẫn an toàn chán" mà không hiểu nó còn đi kèm với hình ảnh và mức độ tin cậy của doanh nghiệp mình |
|
Hibernating |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 11:47:03 (+0700) | #9 | 218130 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
Hi anh !
Cái script anh test về việc áp dụng SSL trong thương mại điện tử, kết quả với nhiều ngân hàng thật sự không chính xác.
vidu:
https://www.acbonline.com.vn/index_c.html --> ebanking của ACB
https://ebanking.abbank.vn/scripts/t24tib -->> an bình bank, ngân hàng này áp dụng toàn hàng microsoft
https://ebanking.mbbank.com.vn/ -->> ngân hàng quân đội
Test thử mấy ngâng hàng mà anh conmale coi được trên ssllabs.com , thì đa phần đạt loại F( thấp nhất)
Một chú ý là các ngân hàng việt nam có vụ phân biệt giữa ibanking và ebanking. Ibanking là giai đoạn đầu của việc triển khai ngân hàng điện tử , nó chỉ có chức năng truy vấn số dư như SMS banking mà thôi. Giai đoạn 2 mới là ebanking cho phép chuyển tiền ( việc chuyển tiền này lại chia thành 2 giai đoạn : chuyển nội bộ và chuyển liên ngân hàng )
Dùng từ " thương mại điện tử " đối với cac ngân hàng việt nam là chưa chính xác. Vì các ngân hàng đang trong quá trình xây dựng, rất nhiều ngân hàng đang hoạt động với cơ sở dữ liệu phân tán, hoặc cũng rất nhiều ngân hàng mới triển khai xong hệ thống Core Banking.
|
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 14:46:06 (+0700) | #10 | 218151 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
vikjava wrote:
Hi anh !
Cái script anh test về việc áp dụng SSL trong thương mại điện tử, kết quả với nhiều ngân hàng thật sự không chính xác.
vidu:
https://www.acbonline.com.vn/index_c.html --> ebanking của ACB
https://ebanking.abbank.vn/scripts/t24tib -->> an bình bank, ngân hàng này áp dụng toàn hàng microsoft
https://ebanking.mbbank.com.vn/ -->> ngân hàng quân đội
Test thử mấy ngâng hàng mà anh conmale coi được trên ssllabs.com , thì đa phần đạt loại F( thấp nhất)
Một chú ý là các ngân hàng việt nam có vụ phân biệt giữa ibanking và ebanking. Ibanking là giai đoạn đầu của việc triển khai ngân hàng điện tử , nó chỉ có chức năng truy vấn số dư như SMS banking mà thôi. Giai đoạn 2 mới là ebanking cho phép chuyển tiền ( việc chuyển tiền này lại chia thành 2 giai đoạn : chuyển nội bộ và chuyển liên ngân hàng )
Dùng từ " thương mại điện tử " đối với cac ngân hàng việt nam là chưa chính xác. Vì các ngân hàng đang trong quá trình xây dựng, rất nhiều ngân hàng đang hoạt động với cơ sở dữ liệu phân tán, hoặc cũng rất nhiều ngân hàng mới triển khai xong hệ thống Core Banking.
Đúng vậy. Cái script anh giới thiệu chỉ đơn thuần nhằm xác định self-sign hoặc certificates bị quá hạn thôi em. Để thực hiện như SSLlabs thì đòi hỏi nhiều thứ hơn và sâu hơn.
Về việc dùng cụm "thương mại điện tử" thì quả thật anh không có gán cho họ mà vì họ có cả "giao dịch ngân hàng trực tuyến cho doanh nghiệp" và họ dùng từ là e-banking đó em . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 20:33:45 (+0700) | #11 | 218184 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
@Conmale: Những kết quả kiểm tra của anh đối với ngân hàng VN và ngân hàng ở Úc cho thấy rằng:
- Các ngân hàng ở VN hiện này không chú trọng đến vấn đề an toàn trong giao dịch giữa khách hàng với họ
- Một số thậm chí còn không triển khai việc bảo đảm an toàn (họ không sử dụng https - hoặc do họ chưa có mấy cái gọi là ibanking hay ebanking).
Em muốn hỏi anh một số điểm:
- Việc họ làm vậy có khả năng gây ra thiệt hại cho khách hàng không? (Kinh nghiệm của anh đã gặp trường hợp sự cố nào xoay quanh việc này chưa ạ?)
- Nếu anh có chức năng liên quan đến việc xử lý vấn đề này, anh sẽ làm sao để cho các ngân hàng VN được đồng bộ tốt như ở Úc. (trên phương diện quản lý vĩ mô chẳng hạn)
P/s: Việc đa số ngân hàng bị lỗi qua bước kiểm tra của anh một phần lớn là do các ngân hàng triển khai các dịch vụ online trên domain khác với domain anh kiểm tra và một số không có hỗ trợ https. Tuy nhiên, dễ dàng nhận thấy họ cấu hình quá "ẩu" và tuỳ tiện.
Cảm ơn anh. |
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
11/08/2010 21:33:21 (+0700) | #12 | 218191 |
myquartz
Member
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
Có, 1 số Bank tại VN cũng ko tệ lắm, điểm cao, ví dụ Đông Á của Mrro đang làm việc.
https://ebanking.dongabank.com.vn
ACB nó có 2 site, 1 cái cũ, 1 cái mới. www.acbonline.com.vn là mới, cái cũ nó là online.acb.com.vn (trước nó còn dùng VASC CA cơ, vui ơi là vui).
Phải vào các website của ngân hàng ở VN, họ thường không dùng tên miền www.xxx để làm e-banking hay i-banking. Thường là tên khác, ví dụ ebanking.xxx, ibank, onlinebank...
Bạn nào rảnh làm survey thử coi, xem các NH từ năm tớ khảo sát tới nay có gì khác không.
Ai rảnh, xong vụ website, làm thêm cái survey về mail của các ngân hàng. Một số ngân hàng cho phép check mail = pop3, imap, gửi bằng SMTP, hoặc dùng RPC over HTTP. Tuy nhiên có support TLS/SLL thì hiếm, hơn nữa mua chứng chỉ số cho mấy cái đó lại càng ... hiếm.
1 số NH dùng Exchange, cẩn thận không thèm cho nhân viên check ở bên ngoài Internet, chỉ cho xài trong nội bộ mạng Intranet.
Chỗ mrro chơi bài nào với mail thế? |
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
12/08/2010 03:52:15 (+0700) | #13 | 218201 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hvthang wrote:
@Conmale: Những kết quả kiểm tra của anh đối với ngân hàng VN và ngân hàng ở Úc cho thấy rằng:
- Các ngân hàng ở VN hiện này không chú trọng đến vấn đề an toàn trong giao dịch giữa khách hàng với họ
- Một số thậm chí còn không triển khai việc bảo đảm an toàn (họ không sử dụng https - hoặc do họ chưa cho mấy cái gọi là ibanking hay ebanking).
Em muốn hỏi anh một số điểm:
- Việc họ làm vậy có khả năng gây ra thiệt hại cho khách hàng không? (Kinh nghiệm của anh đã gặp trường hợp sự cố nào xoay quanh việc này chưa ạ?)
- Nếu anh có chức năng liên quan đến việc xử lý vấn đề này, anh sẽ làm sao để cho các ngân hàng VN được đồng bộ tốt như ở Úc. (trên phương diện quản lý vĩ mô chẳng hạn)
P/s: Việc đa số ngân hàng bị lỗi qua bước kiểm tra của anh một phần lớn là do các ngân hàng triển khai các dịch vụ online trên domain khác với domain anh kiểm tra và một số không có hỗ trợ https. Tuy nhiên, dễ dàng nhận thấy họ cấu hình quá "ẩu" và tuỳ tiện.
Cảm ơn anh.
----> Thiệt hại, hay nói đúng hơn là hiểm hoạ có thể xảy ra với khách hàng trước mắt là khách hàng có thể bị "dụ" và bị dính vô MiTM attack. Nếu trường hợp này xảy ra, tài khoản của khách hàng có thể bị đánh cắp và hậu quả thế nào còn tuỳ vào tính "sáng tạo" của tin tặc . Riêng bản thân anh thì chưa hề gặp phải trường hợp nào xoay quanh mảng "weak" SSL.
----> anh đoán việc có thể làm là phổ biến cụ thể những nguy hại về mặt kỹ thuật đến ban quản trị của các ngân hàng để họ tự hình thành các quy chế và cơ chế kiện toàn. Ngoài ra, chính phủ có thể đưa ra một số đòi hỏi bắt buộc nào đó để ngân hàng phải tuân thủ nhằm mục đích bảo vệ doanh nghiệp và khách hàng của họ. Ở Úc, các nhà băng và các tập đoàn tài chính phải thực hiện đúng đòi hỏi của nghiệp đoàn và của chính phủ về việc bảo đảm an toàn cho khách hàng cũng như tài sản của doanh nghiệp.
PS: thật sự anh chỉ dùng lại các host/domain names mà myquartz đưa ra trên thảo luận trước chớ anh cũng chẳng có nhiều thời gian để vô từng trang web ấy và xác định chính xác trang đăng nhập của mỗi dịch vụ có URL là gì . Kết quả vắn tắt và sơ khởi từ cái script anh đưa ra chỉ là một "bước dạo đầu" chớ cũng chẳng phải là "kiểm tra" gì đâu em. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
12/08/2010 09:06:09 (+0700) | #14 | 218211 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
12/08/2010 10:40:28 (+0700) | #15 | 218217 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
https://www.ssllabs.com/ssldb/analyze.html?d=www.hvaonline.net --> 88. Not bad . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
12/08/2010 11:38:09 (+0700) | #16 | 218221 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
88 giống 2 cái còng của công an thế . Có khi nào ngụ ý răng anh tài nào lên HVA show chiến công hack sẽ bị 88 không ta
Về phần đánh giá trên SSL Labs thì đa phần bị trừ điểm ở Protocol nếu support SSL 2.0 . Ở Cipher Suites nếu nhỏ hơn 128. Fix 2 cái này thì ok. |
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
12/08/2010 20:13:03 (+0700) | #17 | 218242 |
myquartz
Member
|
0 |
|
|
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
|
|
vikjava wrote:
88 giống 2 cái còng của công an thế . Có khi nào ngụ ý răng anh tài nào lên HVA show chiến công hack sẽ bị 88 không ta
Về phần đánh giá trên SSL Labs thì đa phần bị trừ điểm ở Protocol nếu support SSL 2.0 . Ở Cipher Suites nếu nhỏ hơn 128. Fix 2 cái này thì ok.
Vấn đề không phải là dễ hay không. Hiện tại các phần mềm nó đều trang bị đến tận răng các tính năng. Chỉ cần người làm hiểu biết 1 chút thôi, ko cần "siêu" như mrro làm cái gì.
Với SSL chẳng hạn, chỉ cần nhớ là SSLv2 có 1 số vấn đề, tránh nó ra là xong.
Với Cipher, thì ở đâu đó đã nói rằng DES 56bit đã có thể bị phá nhờ siêu máy tính không cần khoẻ lắm thì phải.
Chỉ cần biết vậy, config thì tránh nó ra.
Tiếc là dân tự vỗ ngực làm bảo mật hiện tại, chỉ giỏi "mua thiết bị", không biết mấy cái "vớ vẩn" ở trên. |
|
|
|
|
[Discussion] Dự án "The EFF SSL Observatory" |
12/08/2010 23:53:53 (+0700) | #18 | 218254 |
|
K4i
Moderator
|
Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
|
|
Hi myquartz,
Tớ còn 1 câu chuyện sẽ post sau liên quan đến VASC CA, CA nội địa có khách hàng lớn nhất là ... ACB. ACB là ngân hàng hàng đầu của VN, dùng VASC CA thì đủ biết VASC CA mạnh cỡ nào :-D.
(trước nó còn dùng VASC CA cơ, vui ơi là vui).
Mình không biết ý bạn úp mở gì ở đây. Dùng VASC CA thì đáng buồn cười lắm hả bạn? Hay dùng Cert made in Vietnam, by Vietnamese CA thì là buồn cười,...
@Vừa rà lại một số dịch vụ dùng SSL có liên quan đến chỗ mình làm thì đáng buồn quá, 1 điểm 0, 2 điểm D (=48 điểm ) |
|
Sống là để không chết chứ không phải để trở thành anh hùng |
|
[Discussion] Dự án "The EFF SSL Observatory" |
13/08/2010 09:48:49 (+0700) | #19 | 218270 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
Hi all!
Khi check trên https://www.ssllabs.com ra kết quả Assessment failed: Received fatal alert: illegal_parameter
Cho mình hỏi thông báo trên là lỗi gì, nguyên nhân gây ra lỗi và cách khắc phục như thế nào ? |
|
|
|