Cao nhân phương nào nếu đã thấy "chuyện bất bình" hãy ra tay tương trợ, chỉ giáo cho mọi người cùng biết, chứ chỉ có vài dòng kiểu đó coi bộ "cao nhân" mới là người làm rối lòng thiên hạ.
Ko kiểm tra được ở đây hiểu đơn giản là bạn thậm chí ko có cơ hội tiếp cận nó để kiểm tra. Vô địch.
theo thông tin rò rỉ của tổ chức bảo mật ngân hàng quốc tế
hiện đang có 1 nhóm tin tặc xuyên quốc gia
chuyên dò tìm và đánh cắp tài khoản ngân hàng
và mình tin chắc bạn là 1 trong những đối tượng của tổ chức này đang nhắm tới.
Để an toàn cho bạn và góp sức cho cảnh sát quốc tế interpol bắt dc nhóm tin tặc này.
mình xin gợi ý cho bạn 2 cách sau để bảo vệ tài khoản của bạn
1 - bạn rút hết tiền trong tài khoản ra và ko sử dụng tài khoản này nữa. => XONG
2- bạn chuyển hết tiền trong tài khoản của bạn vào tài khoản của mình theo stk sau đây
010010101100010010 , vietconbank, chi nhánh HCM ,
chủ tài khoản : NGUYEN VAN KHONG BIET GI HET. 😁
thế nhé, chúc bạn thành công :D
Mấy cái test này có sẵn trên mạng, nhập tên host vô và chạy thôi, chả có gì cao siêu.
Gợi ý với tác giả là "Nêu tên đích danh ngân hàng" là dễ dính rắc rối lắm nhé, mấy công ty chuyên nghiệp khi thực hiện test họ không bao giờ nêu tên đích danh của cơ quan nào.
@thanhphat95
Đông Á có siêu cao thủ ủng hộ đằng sau, an toàn nhất trong các ngân hàng đó bác
Citibank và HSBC thừa hưởng công nghệ từ tập đoàn mà kết quả vậy thì hơi kỳ. Tiền thì 2 công ty đó đâu có thiếu, policy lại càng bắt buộc phải bảo mật hơn nữa. Khó hiểu quá, hjx
Đầu tiên, dựa vào mấy cái này mà bảo là dịch vụ an toàn hay không rồi đưa lên trang chủ của 1 diễn đàn công nghệ *được coi là* nhất VN hiện tại thì có vẻ thiếu thận trọng, vì có thể gây hoang mang dư luận ảnh hưởng đến những người được nêu tên. 1 bài viết nếu chỉ ngày 1 ngày 2 chưa nghiên cứu nhiều, có nhiều khái niệm sai lại ảnh hưởng đến những người đọc theo hướng tiêu cực e dè thì không nên đăng làm gì. Mấy hãng bảo mật như Symantec, kaspersky dẹp đi cho vừa lại ảnh hưởng đến cộng đồng làm bảo mật trong nước.
Sáng giờ làm việc không thời gian viết nhiều giờ viết vài dòng phản biện:
- TLS/SSL là 1 cái nền tảng của bảo mật rồi. Vì vậy nó là cần thiết đánh giá, nhưng để đánh giá được mức độ bảo mật của từng Certificate như thế nào thì không phải đơn giản chỉ là mấy cái thang điểm của 1 trang nào đó (Câu hỏi, bạn tin ssllabs đến mức nào). Ví dụ ssllabs báo nó điểm C, nhưng khi coi kỹ chứng chỉ SSL do Symantec cấp, lý do ssllabs thông báo là do dùng SHA1withRSA của VeriSign, trước đó đã có 1 chữ ký khác của Symantec dùng SHA256withRSA rồi trong chain đã có chẳng cần phải lo. Tên 2 hãng đó các bạn cứ tự hình dung.
Về cảnh báo RC4 thì do có lẽ bọn này muốn support trình duyệt cũ, mới hỗ trợ thêm, chứ mặc định các trình duyệt version mới, lên bản mới đã chuyển sang TLS 1.2, chẳng cần quan tâm tới cái đó. Bạn sẽ quan tâm chuyện khi vào website ngân hàng, máy tính bạn báo không hỗ trợ trình duyệt và không làm gì được, hay nó sẽ hỗ trợ 1 giao thức kém bảo mật hơn 1 chút (do công nghệ cũ) nhưng vẫn có thể xem là vấn đề (RC4 has long been considered problematic)?
Tiếp theo:
- Đã có TLS rồi thì còn sợ gì Man In The Middle? Phải thực hiện mã hoá ở client? Coi như vô nghĩa. Bạn có lấy 1 sợi dây xích xe đạp để buộc cái két sắt của bạn ở nhà lại không? Việc phải thực hiện này không có ý nghĩa gì ngoại trừ chuyện ngay cả server cũng không biết được password của người dùng. Lỗi chỉ có thể xảy ra khi client (web browser, phone, computer) bị compromise (hoặc server bị lộ key, dường như không thể), nhưng đã đánh được ở mức client thì người ta đặt keylog cho nhanh gọn còn dễ hơn là ngồi sniff dữ liệu.
- Pinning certificate là 1 vấn đề mới được đưa ra thảo luận gần đây, không thèm trust luôn certificate của bọn CA (Verisign, Symantec) tuy nhiên mấu chốt ở chỗ ... không nhiều trình duyệt hỗ trợ cái này, các CDN lớn cũng chưa hỗ trợ (mình thử với cloudflare, cuối cùng bọn nó lỗi hệ thống vài ngày sau mới fix được), và thường cái pinning này cũng chỉ có ý nghĩa cho ứng dụng mobile chứ web chẳng ý nghĩa mấy nên các ngân hàng mới chỉ triển khai cho nó. Việc nói chạy webview của citibank mà chèn được mã độc Javascript mình cũng chẳng biết chèn bằng đường nào? Như nói ở trên máy bị root rồi dính mã độc đến nỗi chèn được Javascript vào webview thì nó làm gì cũng được trên cái máy đó 😃
@tin_truc22
Điều bạn nói có nghĩa là:
- Đầu tiên là phải xem dựa trên tiêu chuẩn nào (có đáng tin cậy) để đánh giá TLS của 1 trang nào đó?
- Nếu đã tin cậy thì cũng chỉ cần quan tâm đến TLS thôi, những tiêu chí khác (mã hóa client, pinning,...) ko (thực sự) cần thiết?
Một điều t ko đồng tình với suy nghĩ của bạn ở chỗ sẵn sàng chịu kém bảo mật để hỗ trợ trình duyệt cũ. Trong một số trường hợp nghiêm trọng liên quan đến các TK ngân hàng thì buộc phải luôn cập nhật và chỉ sử dụng các phương thức bảo mật mới nhất. Nếu người sử dụng xài nền tảng cũ thì hãy đến ngân hàng thực hiện giao dịch.
@Gates
Mình nghĩ ngân hàng chỉ quan tâm đến tiền & làm thế nào cho hợp lý với hiện tại. Vì có thể những cảnh báo bảo mật chỉ dừng ở chỗ hacker chưa hiện thật được mà chỉ ở cảnh báo chuyên gia.
Họ nhiều tiền, vì vậy bên cạnh họ cũng buộc phải có chuyên gia bảo mật đẳng cấp nhất nhì.
Còn bảo mật cấp cao để tuyệt đối vấn đề nÀo đó thì họ sẽ ko làm. Vì hướng đến người dùng là chính như vcb biết bao lần thay đổi giao diện.
@tin_truc22
10 LIKE cho bác, phân tích của một người hiểu biết về webapp secu. Về biên tập hoặc admin của trang này mình xin góp ý, những báo cáo này là vấn đề nhạy cảm cần được trao đổi thảo luận trước khi bung lụa lên thông tin đại chúng, nó sẽ ảnh hưởng không tốt đến hình ảnh của các ngân hàng. Vậy khi post cần nói rõ kiểm tra thông tin các độ mạnh của protocol hoặc cipher streng của các site bảo mật ngân hàng hơn là độ bảo mật. Admin nên quản lý các bài viết với nội dung này không khéo bị các ngân hàng kiện lại thì khổ cho tinhte. Dự là sau bài này các trình duyệt của XP hoặc các browser slow version sẽ bị thay thế. Các bác chuẩn bị nâng cấp oS lên để cài được trình duyệt mới nhé.
@kungfu9
mình cũng đâu có chuyên sâu cái này đâu, lâu lâu gặp mấy anh em sysadm với bên vnsec nhậu nhẹt chém gió thôi. vài hôm gặp mấy cái lỗi nho nhỏ bên này nọ trên mạng thì toàn pm anh em với nhau chửi cho vui rồi fix chứ chả có ý gì. Quan điểm mình là thà không nói, nói thì nên đúng, chứ nói sai làm mọi người có định kiến, hoặc sai kiến thức thì còn nguy hiểm hơn nhiều.
@Methylamine
bác không thể nói thế được, it bên ấy có nhiều bạn thừa sức làm cái web chất như quả đất ấy chứ. nhưng do lợi ích nhóm thì nó thành ra thế này. ai thấy cũng ậm ừ cho qua chuyện thôi, đại loại như " ối nhìn web đúng là đẹp lạ , không giống bất kỳ ngân hàng nào cả, chuẩn thế đấy"