Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thông tin công nghệ, 24/7/16. Trả lời: 181, lượt xem: 61,151.

mrpaint mrpaint

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thảo luận trong 'Thông tin công nghệ' bắt đầu bởi mrpaint, 24/7/16. Trả lời: 181, Xem: 61151.

Chia sẻ

  1. mrpaint

    mrpaint Bà nà nà, ba na ná

    Tham gia:
    13/12/08
    Được thích:
    473
    Nhân dịp vấn đề an toàn giao dịch ngân hàng trực tuyến đang nóng, mình làm một vài bài thử nghiệm với các dịch vụ của 5 ngân hàng lớn trong nước: BIDV, Vietcombank, ACB, Techcombank, Sacombank và 2 ngân hàng nước ngoài là Citibank và HSBC. Mình sẽ chạy một số bài test về bảo mật trên cả web lẫn ứng dụng di động chính chủ do các ngân hàng này phát hành, cũng như kiểm tra các cách mà họ mã hóa dữ liệu và bảo vệ đường truyền thông tin giữa người dùng với máy chủ.

    Các bài test được tiến hành bao gồm
    1. Trang web
      • TLS: phải bật
      • SSL Server Test: phải từ A trở lên
      • HPKP: phải sử dụng
      • hoặc phải mã hóa tên và mật khẩu bằng Javascript trước khi đăng nhập
    2. Ứng dụng di động: lúc đầu mình tính kiểm tra riêng Android và iOS nhưng thực tế thấy ứng dụng mỗi ngân hàng ở hai nền tảng khá giống nhau nên gom lại chung cho gọn
    Giải thích một số khái niệm cơ bản:

    Mã hóa: biến một dữ liệu bình thường, ví dụ duyluandethuong, thành một chuỗi các kí tự, ví dụ bfruifJfrieYFGUR13fnyfi. Có kiểu hai chiều (giải mã được) và một chiều (không giải mã được) thường dùng nhất là trong quá trình đăng nhập nhằm kiểm tra password.

    TLS (Transport Layer Security): là người kế nhiệm cho giao thức bảo mật SSL trước đây nhưng đôi khi cũng được gọi chung là SSL hoặc SSL / TLS. Đây là giao thức dùng để mã hóa dữ liệu trong quá trình truyền thông tin. Mục đích của TLS là nhằm đảm bảo an toàn cho dữ liệu, theo lý thuyết thì không có bên thứ ba nào có thể lấy trộm hay chỉnh sửa dữ liệu khi nó đang được gửi đi. Nếu có lấy được thì nó cũng chỉ là dữ liệu đang được mã hóa và không thể sử dụng được. TLS đang được triển khai trong rất nhiều trang web, trình gửi file, email, ứng dụng chat, gọi thoại...

    Man In The Middle (người trung gian): là dạng tấn công mà tin tặc sẽ đứng giữa hai điểm gửi nhận dữ liệu và bí mật chuyển các dữ liệu đó đi đường khác trong nỗ lực đánh cắp thông tin. Tin tặc cũng có thể nhận gói dữ liệu, chỉnh sửa lại theo kiểu có hại trước khi đưa dữ liệu về cho điểm nhận.

    Giới thiệu về các bài kiểm tra

    TLS
    cần có chứng chỉ, trước đây còn có rào cản về chi phí để duy trì chứng chỉ đó (giá tham khảo trên trang web GoDaddy vào khoảng 70$ đến vài trăm đô tùy loại, check vào tháng 7/2016). Tuy nhiên gần đây đã có chứng chỉ miễn phí từ các dịch vụ ví dụ như Let's Encrypt nên không còn lý do gì nữa để không làm việc này. TLS là bước cơ bản nhất để bảo mật thông tin giữa ngân hàng và người sử dụng.

    SSL Server Test là bài kiểm tra máy chủ web bao gồm phần mềm, cấu hình TLS và chứng chỉ. Bài kiểm tra này sẽ cho điểm trang web, tối đa là điểm A. Điểm càng cao càng tốt. Mình sử dụng dịch vụ test miễn phí của trang Qualys SSL Labs.

    HPKP (Public Key Pinning Extension for HTTP) là một phần mở rộng cho HTTP cho phép các trang web bảo vệ mình khỏi các cuộc tấn công dạng MITM (man in the middle / người trung gian). Cách tấn công này nôm na là kẻ tấn công can thiệp vào giữa kết nối của người dùng và ngân hàng sau đó bí mật ngăn chặn và thay đổi thông tin qua lại giữa hai bên. HPKP vẫn còn khá mới và chưa được hỗ trợ rộng khắp, người dùng cần sử dụng phiên bản khá mới của các trình duyệt để được bảo vệ (ví dụ: Chrome 46, Firefox 35 trở lên).

    Certificate/Public Key Pinning có ý tưởng gần giống HPKP nhưng thay vì thực hiện kiểm tra ở trình duyệt thì mỗi ứng dụng tự kiểm tra khi kết nối với máy chủ. Lợi điểm của việc này là không phụ thuộc nhiều vào app / web ở phía người dùng. Do ứng dụng được phát hành bởi chính ngân hàng nên đội phát triển có thể nắm rõ máy chủ ngân hàng sử dụng chứng chỉ gì, phát hành bởi đơn vị nào, từ đó thực hiện Pinning đảm bảo thông tin của người sử dụng không bị lộ với bên thứ ba.

    Trong trường hợp không sử dụng Pinning thì ứng dụng cần phải mã hóa tất cả các thông tin nhạy cảm như tên, mật khẩu đăng nhập theo cả hai hướng (gửi lên / nhận về) để bảo vệ người sử dụng.

    Kết quả: Mỗi bước kiểm tra có thể có kết quả là
    • PASS: đạt, yêu
    • BAD: yêu cầu nên có mà không sử dụng
    • FAIL: yêu cầu phải có mà không sử dụng
    Kết quả kiểm tra

    Trang web
    Đang tải Web.png…

    Ứng dụng di động
    Đang tải App.png…
    Ghi chú: không thử mã hóa vì đã áp dụng pinning, không thấy được các request

    Kết luận

    Như vậy là chỉ có 1 trang web qua được bài kiểm tra (Sacombank) và cả 7 trang đều không xài HPKP. Như đã nói ở trên, đây là chức năng khá mới và đa số người dùng cũng chưa sử dụng trình duyệt phiên bản đủ mới để hưởng lợi từ việc này. Trên thế giới cũng còn nhiều trang web tài chính chưa bắt đầu sử dụng HPKP (ví dụ như PayPal, HSBC US).

    Về ứng dụng di động, 2 ứng dụng không qua được bài kiểm tra (ACB, Techcombank) và 1 ứng dụng duy nhất có sử dụng kỹ thuật Pinning là BIDV. Ứng dụng HSBC và Citibank là do mình rảnh quá test thêm, anh em tham khảo chơi.

    Một số ghi chú thêm

    Trang web của ACB bị điểm B vì nhiều lý do tuy nhiên nặng nhất là do cấu hình chưa an toàn (chi tiết xem thêm trang tổng hợp về ACB tại SSL Labs).
    Đang tải ACB_web.png…

    Thông báo lỗi của app BIDV và HSBC khi bị tấn công​

    Đang tải Thong_bao_loi.jpg…


    Kết luận chung cuộc
    1. Sacombank: chưa áp dụng các công nghệ mới nhất nhưng vẫn an toàn
    2. BIDV, Vietcombank: ứng dụng của 2 ngân hàng này an toàn hơn web của họ
    3. ACB, Techcombank: về chót. Nên hạn chế sử dụng nếu đang kết nối qua mạng công cộng (wifi quán cà phê, wifi không bảo mật).
    Bài này đã được thay đổi do lỗi khi chạy thử web của BIDV dẫn đến thay đổi thứ tự bảng tổng kết cuối cùng (kết quả cũ là BIDV số 1, kết quả cập nhật là Sacombank vượt lên!).

    Tham khảo thêm: Blog của mình, ảnh minh họa: Gemalto
     

    File đính kèm:

    Chia sẻ

    #1 mrpaint, 24/7/16
    Sửa lần cuối: 25/7/16
    ufdb, buitrongdat, dstream27 người khác thích nội dung này.
  2. Airblade14

    Airblade14 Nam Air

    Tham gia:
    15/11/07
    Được thích:
    67,859
    Wow hay quá, lần đầu em mới biết mấy cái này, vậy mà xưa giờ cứ ngồi cafe onlinebanking Goài! Cám ơn mấy anh

    (mình vô link nguồn đọc thấy nhiều thông tin hơn bài ở đây và có vẻ dễ hiểu hơn 1 xíu, anh em nào chưa thấy hiểu thì có thể tham khảo thử nhé)
     
    #2 Airblade14, 25/7/16
    Sửa lần cuối: 25/7/16
    o0XBOX0o, tetepro, mrsugarvn1 người khác thích nội dung này.
  3. boybl1990

    boybl1990 Thành viên

    Tham gia:
    4/10/09
    Được thích:
    3,917
    Cái chỗ SSL của BIDV không kiểm tra đc vậy nên xếp loại ntn nhỉ ?
     
  4. baggio021084

    baggio021084 Thành viên

    Tham gia:
    21/2/11
    Được thích:
    256
    Kiểm tra giùm ứng dụng của Agribank và Vietinbank cái ad!!!
     
    ruacon208 thích nội dung này.
    1. sonlazio

      sonlazio Người

      Tham gia:
      23/9/07
      Được thích:
      106,287
      sonlazio @baggio021084 @mrpaint haahah 2 ngân hàng nhìu ng xài mà
       
      1
      haibop thích nội dung này.
    2. caocaolatre199x

      caocaolatre199x Thành viên

      Tham gia:
      2/12/11
      Được thích:
      1,297
      caocaolatre199x @baggio021084 chuẩn rồi, 2 cái này nhiều ng dùng thì ko thấy có
       
    3. WesleyNguyen1411

      WesleyNguyen1411 Thành viên

      Tham gia:
      14/8/13
      Được thích:
      534
      WesleyNguyen1411 @sonlazio TPBank nữa anh, lần trước chống được tin tặc nữa mà :D
       
  5. htrung18

    htrung18 Thành viên

    Tham gia:
    26/1/16
    Được thích:
    62
    bạn có thể test thử SHB được không
     
  6. Stone Breaker

    Stone Breaker Thành viên

    Tham gia:
    29/6/16
    Được thích:
    74
    ACB và HSBC Việt Nam là nghe có vẻ hiện đại và chuyên nghiệp mà kém nhỉ? Mình phải cẩn thận mới được.
    P/s: Đợt này Tinh Tế làm xấu mặt một vài ngân hàng rồi!
     
    anticafehalay_1986_2062 thích nội dung này.
    1. Airblade14

      Airblade14 Nam Air

      Tham gia:
      15/11/07
      Được thích:
      67,859
      Airblade14 @Stone Breaker Xấu mặt là sao bác
      Những Thông tin này cực kỳ hữu ích để người dùng biết, và bản thân lãnh đạo ngân hàng nếu đọc được cũng biết để khắc phục. Vì có khi họ được báo cáo là A nhưng thực tế là C mà họ không biết
       
      3
      tetepro, quang577long.nd thích nội dung này.
    2. nhoangnam

      nhoangnam Thành viên

      Tham gia:
      30/6/09
      Được thích:
      64
      nhoangnam @Airblade14 Đợt này phòng it có vẻ bận rộn ah
       
    3. tetepro

      tetepro Thành viên

      Tham gia:
      26/8/08
      Được thích:
      1,187
      tetepro @Airblade14 khách quan, công khai minh bạch có j mà xấu mặt, nếu ngân hàng thấy dc thì chỉnh sửa thôi.
      bài này quá hay mà.
       
      1
      Airblade14 thích nội dung này.
    4. teri.nk79

      teri.nk79 Thành viên

      Tham gia:
      5/1/12
      Được thích:
      559
      teri.nk79 @Stone Breaker kinh thặc :D
       
  7. tin_truc22

    tin_truc22 Thành viên

    Tham gia:
    11/6/09
    Được thích:
    290
    Pinning certificate là cái nhãm nhí nhất, cũng đi test, man in the middle chỉ cần SSL là chống được rồi, mã hoá Username với password với SSL làm gì, nếu đã không trust được máy tính của mình thì có mã hoá cũng như không, bài viết không có chút giá trị lại gây hoang mang dư luận.
     
    whisky_x, Không Giới Hạn, bravia10 người khác thích nội dung này.
    1. tin_truc22

      tin_truc22 Thành viên

      Tham gia:
      11/6/09
      Được thích:
      290
      tin_truc22 @iloveIphone2009 Xưa mình hay viết bài lắm (trên https://saylinux.wordpress.com ), dạo này không có thời gian, với tự cảm thấy trình độ mình có hạn viết người đọc khó hiểu, nên bớt viết bài rồi. Xưa rảnh rỗi cũng nghiên cứu được vài lỗi bảo mật nho nhỏ của viettel, fpt, mobifone (đám mobifone đền mình có 300K cho lỗi đó mình không thèm lấy) ở nước ngoài chắc ít nhất là cả ngàn đô rồi.

      say Linux!

      Linux và phần mềm nguồn mở, thật dễ dàng
      saylinux.wordpress.com
       
      1
      mrpaint thích nội dung này.
    2. NguyễnThịAnhThư

      NguyễnThịAnhThư Thành viên

      Tham gia:
      25/7/16
      Được thích:
      3
      NguyễnThịAnhThư @Duy Luân Vậy thì số bạn quá nhọ thôi chứ sao bác... Đã dính malware hay keylog hay đại loại 1 trong 5 loại virut ns chung thì bác xác định thôi nếu biết thì cài lại win còn k biết thì ìnfomation là của ng ta hết :)
       
    3. BabyGenius

      BabyGenius Thành viên

      Tham gia:
      27/4/09
      Được thích:
      38
      BabyGenius @iloveIphone2009 Bạn nên phân biệt việc che giấu thông tin với việc phát biểu vô trách nhiệm, không nghĩ đến hậu quả trong khi bản thân chưa hiểu rõ ràng sự việc. Đừng xúc phạm người khác bằng sự mù quáng của mình!
       
      #159 BabyGenius, 26/7/16
      Sửa lần cuối: 26/7/16
    4. iloveIphone2009

      iloveIphone2009 Thành viên

      Tham gia:
      12/9/09
      Được thích:
      135
      iloveIphone2009 @BabyGenius Đó là tôi nói chung...
      Tôi và ông ko rãnh để vớ vẫn nữa,trc khi nói tôi xúc phạm,đọc lại xem thằng cha góp ý thế nào...
      Mù cái dek gì...giỏi sao ko làm,người ta làm thì nhận xét kiểu đó...Ở ngoài thì nên cẩn thận chút...Dù mình giỏi hay mình đúng thì cũng phải nói cho đàng hoàng...
      Stop nhe ba đía!
       
  8. obscurite

    obscurite Thành viên

    Tham gia:
    1/6/10
    Được thích:
    198
    Đang sài Techcombank và ACB, nhọ quá
     
  9. talk114

    talk114 Thành viên

    Tham gia:
    28/9/10
    Được thích:
    19
    Bác pentest cái agribank ấy, cái đó mới đầy tiền
     
  10. bakabon

    bakabon Thành viên

    Tham gia:
    16/6/11
    Được thích:
    10
    Cái quan trọng nhất là phải cso số điện thoại của mình để lấy code mỗi lần giao dịch, cái này quan trọng nhất. Mấy cái khác không quan trọng lắm.
     
    1. duhd

      duhd Dự bị

      Tham gia:
      10/1/09
      Được thích:
      2
      duhd @bakabon Với lỗi bảo mật không bao giờ fixed (SS7) thì gửi mã xác thực qua mạng di động chưa bao giờ là an toàn.
       
    2. Vmemory

      Vmemory Thành viên

      Tham gia:
      30/5/08
      Được thích:
      490
      Vmemory @bakabon Dính đến tiền thì không gì là không quan trọng cả bạn à, nếu không quan trọng thì ngân hàng chẳng cần bảo mật làm gì. Nếu không sợ mất tiền bạn thử share username & pass xem
       
    3. Chithanh1213

      Chithanh1213 Thành viên

      Tham gia:
      9/8/10
      Được thích:
      175
      Chithanh1213 @bakabon Đó là bảo mật chính thống. Qua các step mà ngân hàng quản lý được ! Còn đã hack thì nó thay sdt nó vào chứ nó để số bác à :p
       
    4. thienlucky

      thienlucky Thành viên

      Tham gia:
      21/10/12
      Được thích:
      180
      thienlucky @sonlazio các có cách chiếm đoạt số điện thoại bằng 1 số lỗ hổng của nhà mạng!
      p/s: một dân tổng đài chia sẻ
       
  11. quanqw

    quanqw Thành viên

    Tham gia:
    3/10/11
    Được thích:
    106
    Mấy cái kiểm tra này hình như chỉ là cơ bản thôi.
     
  12. spsp

    spsp Thành viên

    Tham gia:
    28/5/09
    Được thích:
    7,003
    View attachment 3354226

    KLQ nhưng bác nào biết giúp em cái.
    Hôm bữa tự dưng có 1 giao dịch lạ như hình.
    Em gọi lên ngân hàng họ nó ko tra được.
    Thank Đang tải 20160725_120850.jpg…
     
    #14 spsp, 25/7/16
    Sửa lần cuối: 25/7/16
    guanghua thích nội dung này.
    1. spsp

      spsp Thành viên

      Tham gia:
      28/5/09
      Được thích:
      7,003
      spsp @thangemar Đúng là trc em có mua hộ bạn em, nhưng lâu lắm rồi. để e kiểm tra lại,cảm ơn bác nhiều
       
    2. cuongnguyen208

      cuongnguyen208 Thành viên

      Tham gia:
      15/4/13
      Được thích:
      57
      cuongnguyen208 @spsp cái này của bác kết nối với paypal mua gì hoặc chạy quảng cáo
       
      1
      spsp thích nội dung này.
    3. guanghua

      guanghua Thành viên

      Tham gia:
      29/7/11
      Được thích:
      31
      guanghua @spsp Cái này nhiều người đã report trên mạng rồi bác. Bác contact google play support team để trace xem nhé, NH ko làm gì đc đâu.
      https://support.google.com/googleplay/answer/6179357?ref_topic=3364672

      Contact Google Play support - Google Play Help

      Sign in to find help You'll get better help suggestions if you sign in to your Google Account. If you can't sign in, get sign in help here. 
      support.google.com
       
      1
      spsp thích nội dung này.
    4. traind

      traind Thành viên

      Tham gia:
      22/2/12
      Được thích:
      1,044
      traind @spsp chắc bác mua app hay vật dụng trong game rồi.
       
      1
      spsp thích nội dung này.
  13. blueweasley

    blueweasley Thành viên

    Tham gia:
    30/5/12
    Được thích:
    158
    Hay và hữu ích quá. Mod kiểm tra giúp mình TienPhongBank với được không? :D Hi vọng bạn vẫn đang rảnh. Cảm ơn bạn :D
     
  14. dotapro

    dotapro Thành viên

    Tham gia:
    22/8/09
    Được thích:
    369
    Không liên quan đến bảo mật, nhưng xài VCB thấy họ rất quan tâm đến trải nghiệm người dùng, khi gõ mã giao dịch thì phần kí tự chỉ gồm những phím có thể gõ bằng tay trái, tay trái giữ nguyên, tay phải đặt bên numpad là ko cần nhìn bàn phím vẫn gõ dc. dù 1 điểm rất nhỏ (hầu như ko ai nhận ra) nhưng cho thấy họ quan tâm đến trải nghiệm người dùng. rất đáng khen.
     
    Triệu Dũng Phú thích nội dung này.
  15. vinhphucng25

    vinhphucng25 Thành viên

    Tham gia:
    14/12/07
    Được thích:
    2,316
    vậy thì để bảo mật hơn thì phải như thế nào vậy bác @mrpaint ???
     
    1. imsodo

      imsodo Dự bị

      Tham gia:
      25/7/16
      Được thích:
      1
      imsodo @vinhphucng25 Ngân hàng nào thấy tin tưởng và an toàn thì gửi tiền vào, nhưng ngân hàng còn lại gửi ít đủ để chi tiêu thôi.
       
      1
      vinhphucng25 thích nội dung này.
  16. cakiem8x

    cakiem8x Thành viên

    Tham gia:
    18/5/08
    Được thích:
    27
    Đọc đc gói tin nhưng không biết format thì cũng ko làm đc gì. Chỉ trừ khi không format gói tin thôi.
     
  17. NhiepPhong2707

    NhiepPhong2707 Thành viên

    Tham gia:
    2/6/12
    Được thích:
    65
    Sax BIDV trùm bị lỗi web, nhiều khi điên vs nó vì chuyển khoản ko đc, hóa ra vì nó bảo mật mạnh nhất ak :)))
     
  18. intelcore2quad88@yahoo.co

    Tham gia:
    14/12/09
    Được thích:
    6
    Cảm ơn bài viết hay của chủ topic.
     
  19. Gates

    Gates Thành viên

    Tham gia:
    21/11/13
    Được thích:
    1,073
    Cao nhân phương nào nếu đã thấy "chuyện bất bình" hãy ra tay tương trợ, chỉ giáo cho mọi người cùng biết, chứ chỉ có vài dòng kiểu đó coi bộ "cao nhân" mới là người làm rối lòng thiên hạ.

    Ko kiểm tra được ở đây hiểu đơn giản là bạn thậm chí ko có cơ hội tiếp cận nó để kiểm tra. Vô địch.
     
    boybl1990, tuanhung1433, soskhanh1 người khác thích nội dung này.
  20. tronghoang8705

    tronghoang8705 Thành viên

    Tham gia:
    9/9/15
    Được thích:
    347
    theo thông tin rò rỉ của tổ chức bảo mật ngân hàng quốc tế
    hiện đang có 1 nhóm tin tặc xuyên quốc gia
    chuyên dò tìm và đánh cắp tài khoản ngân hàng
    và mình tin chắc bạn là 1 trong những đối tượng của tổ chức này đang nhắm tới.
    Để an toàn cho bạn và góp sức cho cảnh sát quốc tế interpol bắt dc nhóm tin tặc này.
    mình xin gợi ý cho bạn 2 cách sau để bảo vệ tài khoản của bạn
    1 - bạn rút hết tiền trong tài khoản ra và ko sử dụng tài khoản này nữa. => XONG
    2- bạn chuyển hết tiền trong tài khoản của bạn vào tài khoản của mình theo stk sau đây
    010010101100010010 , vietconbank, chi nhánh HCM ,
    chủ tài khoản : NGUYEN VAN KHONG BIET GI HET. :D
    thế nhé, chúc bạn thành công :D
     
    spsp thích nội dung này.

Chia sẻ

Đang tải...