Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Discussion in 'Thông tin công nghệ' started by mrpaint, 24/7/16. Replies: 180. Views: 63,591.

mrpaint
Theo dõi

Thử nghiệm bảo mật của web và ứng dụng của một số ngân hàng tại VN

Thảo luận trong 'Thông tin công nghệ' bắt đầu bởi mrpaint, 24/7/16. Trả lời: 180, Xem: 63591.

Chia sẻ

  1. mrpaint

    Tham gia:
    13/12/08
    Được thích:
    496
    Best Answers:
    0
    mrpaint
    TÍCH CỰC
    #1 mrpaint, 24/7/16
    Sửa lần cuối: 25/7/16
    Nhân dịp vấn đề an toàn giao dịch ngân hàng trực tuyến đang nóng, mình làm một vài bài thử nghiệm với các dịch vụ của 5 ngân hàng lớn trong nước: BIDV, Vietcombank, ACB, Techcombank, Sacombank và 2 ngân hàng nước ngoài là Citibank và HSBC. Mình sẽ chạy một số bài test về bảo mật trên cả web lẫn ứng dụng di động chính chủ do các ngân hàng này phát hành, cũng như kiểm tra các cách mà họ mã hóa dữ liệu và bảo vệ đường truyền thông tin giữa người dùng với máy chủ.

    Các bài test được tiến hành bao gồm
    1. Trang web
      • TLS: phải bật
      • SSL Server Test: phải từ A trở lên
      • HPKP: phải sử dụng
      • hoặc phải mã hóa tên và mật khẩu bằng Javascript trước khi đăng nhập
    2. Ứng dụng di động: lúc đầu mình tính kiểm tra riêng Android và iOS nhưng thực tế thấy ứng dụng mỗi ngân hàng ở hai nền tảng khá giống nhau nên gom lại chung cho gọn
    Giải thích một số khái niệm cơ bản:

    Mã hóa: biến một dữ liệu bình thường, ví dụ duyluandethuong, thành một chuỗi các kí tự, ví dụ bfruifJfrieYFGUR13fnyfi. Có kiểu hai chiều (giải mã được) và một chiều (không giải mã được) thường dùng nhất là trong quá trình đăng nhập nhằm kiểm tra password.

    TLS (Transport Layer Security): là người kế nhiệm cho giao thức bảo mật SSL trước đây nhưng đôi khi cũng được gọi chung là SSL hoặc SSL / TLS. Đây là giao thức dùng để mã hóa dữ liệu trong quá trình truyền thông tin. Mục đích của TLS là nhằm đảm bảo an toàn cho dữ liệu, theo lý thuyết thì không có bên thứ ba nào có thể lấy trộm hay chỉnh sửa dữ liệu khi nó đang được gửi đi. Nếu có lấy được thì nó cũng chỉ là dữ liệu đang được mã hóa và không thể sử dụng được. TLS đang được triển khai trong rất nhiều trang web, trình gửi file, email, ứng dụng chat, gọi thoại...

    Man In The Middle (người trung gian): là dạng tấn công mà tin tặc sẽ đứng giữa hai điểm gửi nhận dữ liệu và bí mật chuyển các dữ liệu đó đi đường khác trong nỗ lực đánh cắp thông tin. Tin tặc cũng có thể nhận gói dữ liệu, chỉnh sửa lại theo kiểu có hại trước khi đưa dữ liệu về cho điểm nhận.

    Giới thiệu về các bài kiểm tra

    TLS
    cần có chứng chỉ, trước đây còn có rào cản về chi phí để duy trì chứng chỉ đó (giá tham khảo trên trang web GoDaddy vào khoảng 70$ đến vài trăm đô tùy loại, check vào tháng 7/2016). Tuy nhiên gần đây đã có chứng chỉ miễn phí từ các dịch vụ ví dụ như Let's Encrypt nên không còn lý do gì nữa để không làm việc này. TLS là bước cơ bản nhất để bảo mật thông tin giữa ngân hàng và người sử dụng.

    SSL Server Test là bài kiểm tra máy chủ web bao gồm phần mềm, cấu hình TLS và chứng chỉ. Bài kiểm tra này sẽ cho điểm trang web, tối đa là điểm A. Điểm càng cao càng tốt. Mình sử dụng dịch vụ test miễn phí của trang Qualys SSL Labs.

    HPKP (Public Key Pinning Extension for HTTP) là một phần mở rộng cho HTTP cho phép các trang web bảo vệ mình khỏi các cuộc tấn công dạng MITM (man in the middle / người trung gian). Cách tấn công này nôm na là kẻ tấn công can thiệp vào giữa kết nối của người dùng và ngân hàng sau đó bí mật ngăn chặn và thay đổi thông tin qua lại giữa hai bên. HPKP vẫn còn khá mới và chưa được hỗ trợ rộng khắp, người dùng cần sử dụng phiên bản khá mới của các trình duyệt để được bảo vệ (ví dụ: Chrome 46, Firefox 35 trở lên).

    Certificate/Public Key Pinning có ý tưởng gần giống HPKP nhưng thay vì thực hiện kiểm tra ở trình duyệt thì mỗi ứng dụng tự kiểm tra khi kết nối với máy chủ. Lợi điểm của việc này là không phụ thuộc nhiều vào app / web ở phía người dùng. Do ứng dụng được phát hành bởi chính ngân hàng nên đội phát triển có thể nắm rõ máy chủ ngân hàng sử dụng chứng chỉ gì, phát hành bởi đơn vị nào, từ đó thực hiện Pinning đảm bảo thông tin của người sử dụng không bị lộ với bên thứ ba.

    Trong trường hợp không sử dụng Pinning thì ứng dụng cần phải mã hóa tất cả các thông tin nhạy cảm như tên, mật khẩu đăng nhập theo cả hai hướng (gửi lên / nhận về) để bảo vệ người sử dụng.

    Kết quả: Mỗi bước kiểm tra có thể có kết quả là
    • PASS: đạt, yêu
    • BAD: yêu cầu nên có mà không sử dụng
    • FAIL: yêu cầu phải có mà không sử dụng
    Kết quả kiểm tra

    Trang web
    Đang tải Web.png…

    Ứng dụng di động
    Đang tải App.png…
    Ghi chú: không thử mã hóa vì đã áp dụng pinning, không thấy được các request

    Kết luận

    Như vậy là chỉ có 1 trang web qua được bài kiểm tra (Sacombank) và cả 7 trang đều không xài HPKP. Như đã nói ở trên, đây là chức năng khá mới và đa số người dùng cũng chưa sử dụng trình duyệt phiên bản đủ mới để hưởng lợi từ việc này. Trên thế giới cũng còn nhiều trang web tài chính chưa bắt đầu sử dụng HPKP (ví dụ như PayPal, HSBC US).

    Về ứng dụng di động, 2 ứng dụng không qua được bài kiểm tra (ACB, Techcombank) và 1 ứng dụng duy nhất có sử dụng kỹ thuật Pinning là BIDV. Ứng dụng HSBC và Citibank là do mình rảnh quá test thêm, anh em tham khảo chơi.

    Một số ghi chú thêm

    Trang web của ACB bị điểm B vì nhiều lý do tuy nhiên nặng nhất là do cấu hình chưa an toàn (chi tiết xem thêm trang tổng hợp về ACB tại SSL Labs).
    Đang tải ACB_web.png…

    Thông báo lỗi của app BIDV và HSBC khi bị tấn công​

    Đang tải Thong_bao_loi.jpg…


    Kết luận chung cuộc
    1. Sacombank: chưa áp dụng các công nghệ mới nhất nhưng vẫn an toàn
    2. BIDV, Vietcombank: ứng dụng của 2 ngân hàng này an toàn hơn web của họ
    3. ACB, Techcombank: về chót. Nên hạn chế sử dụng nếu đang kết nối qua mạng công cộng (wifi quán cà phê, wifi không bảo mật).
    Bài này đã được thay đổi do lỗi khi chạy thử web của BIDV dẫn đến thay đổi thứ tự bảng tổng kết cuối cùng (kết quả cũ là BIDV số 1, kết quả cập nhật là Sacombank vượt lên!).

    Tham khảo thêm: Blog của mình, ảnh minh họa: Gemalto
     

    File đính kèm:

    Chia sẻ

    ufdb, buitrongdat, dstream27 người khác thích nội dung này.
    #1 mrpaint, 24/7/16
    Sửa lần cuối: 25/7/16
  2. Airblade14

    Airblade14 Nam Air

    Tham gia:
    15/11/07
    Được thích:
    74,063
    Best Answers:
    0
    Airblade14
    VIP
    #2 Airblade14, 25/7/16
    Sửa lần cuối: 25/7/16
    Wow hay quá, lần đầu em mới biết mấy cái này, vậy mà xưa giờ cứ ngồi cafe onlinebanking Goài! Cám ơn mấy anh

    (mình vô link nguồn đọc thấy nhiều thông tin hơn bài ở đây và có vẻ dễ hiểu hơn 1 xíu, anh em nào chưa thấy hiểu thì có thể tham khảo thử nhé)
     
    o0XBOX0o, tetepro, mrsugarvn1 người khác thích nội dung này.
    #2 Airblade14, 25/7/16
    Sửa lần cuối: 25/7/16
  3. boybl1990

    Tham gia:
    4/10/09
    Được thích:
    3,995
    Best Answers:
    0
    boybl1990
    CAO CẤP
    Cái chỗ SSL của BIDV không kiểm tra đc vậy nên xếp loại ntn nhỉ ?
     
  4. baggio021084

    Tham gia:
    21/2/11
    Được thích:
    276
    Best Answers:
    0
    baggio021084
    ĐẠI BÀNG
    Kiểm tra giùm ứng dụng của Agribank và Vietinbank cái ad!!!
     
    ruacon208 thích nội dung này.
    1. sonlazio

      sonlazio Người

      Tham gia:
      23/9/07
      Được thích:
      108,745
      Best Answers:
      0
      sonlazio
      VIP
      sonlazio @baggio021084 @mrpaint haahah 2 ngân hàng nhìu ng xài mà
       
      haibop thích nội dung này.
      1
    2. caocaolatre199x

      Tham gia:
      2/12/11
      Được thích:
      1,462
      Best Answers:
      0
      caocaolatre199x
      CAO CẤP
      caocaolatre199x @baggio021084 chuẩn rồi, 2 cái này nhiều ng dùng thì ko thấy có
       
    3. WesleyNguyen1411

      Tham gia:
      14/8/13
      Được thích:
      1,877
      Best Answers:
      0
      WesleyNguyen1411
      CAO CẤP
      WesleyNguyen1411 @sonlazio TPBank nữa anh, lần trước chống được tin tặc nữa mà :D
       
  5. htrung18

    Tham gia:
    26/1/16
    Được thích:
    96
    Best Answers:
    0
    htrung18
    ĐẠI BÀNG
    bạn có thể test thử SHB được không
     
  6. Stone Breaker

    Tham gia:
    29/6/16
    Được thích:
    93
    Best Answers:
    0
    Stone Breaker
    ĐẠI BÀNG
    ACB và HSBC Việt Nam là nghe có vẻ hiện đại và chuyên nghiệp mà kém nhỉ? Mình phải cẩn thận mới được.
    P/s: Đợt này Tinh Tế làm xấu mặt một vài ngân hàng rồi!
     
    anticafehalay_1986_2062 thích nội dung này.
    1. Airblade14

      Airblade14 Nam Air

      Tham gia:
      15/11/07
      Được thích:
      74,063
      Best Answers:
      0
      Airblade14
      VIP
      Airblade14 @Stone Breaker Xấu mặt là sao bác
      Những Thông tin này cực kỳ hữu ích để người dùng biết, và bản thân lãnh đạo ngân hàng nếu đọc được cũng biết để khắc phục. Vì có khi họ được báo cáo là A nhưng thực tế là C mà họ không biết
       
      tetepro, quang577long.nd thích nội dung này.
      3
    2. nhoangnam

      Tham gia:
      30/6/09
      Được thích:
      69
      Best Answers:
      0
      nhoangnam
      ĐẠI BÀNG
      nhoangnam @Airblade14 Đợt này phòng it có vẻ bận rộn ah
       
    3. tetepro

      Tham gia:
      26/8/08
      Được thích:
      1,285
      Best Answers:
      0
      tetepro
      CAO CẤP
      tetepro @Airblade14 khách quan, công khai minh bạch có j mà xấu mặt, nếu ngân hàng thấy dc thì chỉnh sửa thôi.
      bài này quá hay mà.
       
      Airblade14 thích nội dung này.
      1
    4. teri.nk79

      Tham gia:
      5/1/12
      Được thích:
      608
      Best Answers:
      0
      teri.nk79
      TÍCH CỰC
      teri.nk79 @Stone Breaker kinh thặc :D
       
  7. tin_truc22

    Tham gia:
    11/6/09
    Được thích:
    377
    Best Answers:
    0
    tin_truc22
    TÍCH CỰC
    Pinning certificate là cái nhãm nhí nhất, cũng đi test, man in the middle chỉ cần SSL là chống được rồi, mã hoá Username với password với SSL làm gì, nếu đã không trust được máy tính của mình thì có mã hoá cũng như không, bài viết không có chút giá trị lại gây hoang mang dư luận.
     
    whisky_x, Không Giới Hạn, bravia10 người khác thích nội dung này.
    1. tin_truc22

      Tham gia:
      11/6/09
      Được thích:
      377
      Best Answers:
      0
      tin_truc22
      TÍCH CỰC
      tin_truc22 @iloveIphone2009 Xưa mình hay viết bài lắm (trên https://saylinux.wordpress.com ), dạo này không có thời gian, với tự cảm thấy trình độ mình có hạn viết người đọc khó hiểu, nên bớt viết bài rồi. Xưa rảnh rỗi cũng nghiên cứu được vài lỗi bảo mật nho nhỏ của viettel, fpt, mobifone (đám mobifone đền mình có 300K cho lỗi đó mình không thèm lấy) ở nước ngoài chắc ít nhất là cả ngàn đô rồi.

      say Linux!

      Linux và phần mềm nguồn mở, thật dễ dàng
      saylinux.wordpress.com
       
      mrpaint thích nội dung này.
      1
    2. NguyễnThịAnhThư

      NguyễnThịAnhThư Thành viên

      Tham gia:
      25/7/16
      Được thích:
      3
      Best Answers:
      0
      NguyễnThịAnhThư
      NguyễnThịAnhThư @Duy Luân Vậy thì số bạn quá nhọ thôi chứ sao bác... Đã dính malware hay keylog hay đại loại 1 trong 5 loại virut ns chung thì bác xác định thôi nếu biết thì cài lại win còn k biết thì ìnfomation là của ng ta hết :)
       
    3. BabyGenius

      Tham gia:
      27/4/09
      Được thích:
      39
      Best Answers:
      0
      BabyGenius
      ĐẠI BÀNG
      #158 BabyGenius, 26/7/16
      Sửa lần cuối: 26/7/16
      BabyGenius @iloveIphone2009 Bạn nên phân biệt việc che giấu thông tin với việc phát biểu vô trách nhiệm, không nghĩ đến hậu quả trong khi bản thân chưa hiểu rõ ràng sự việc. Đừng xúc phạm người khác bằng sự mù quáng của mình!
       
      #158 BabyGenius, 26/7/16
      Sửa lần cuối: 26/7/16
    4. iloveIphone2009

      Tham gia:
      12/9/09
      Được thích:
      141
      Best Answers:
      0
      iloveIphone2009
      ĐẠI BÀNG
      iloveIphone2009 @BabyGenius Đó là tôi nói chung...
      Tôi và ông ko rãnh để vớ vẫn nữa,trc khi nói tôi xúc phạm,đọc lại xem thằng cha góp ý thế nào...
      Mù cái dek gì...giỏi sao ko làm,người ta làm thì nhận xét kiểu đó...Ở ngoài thì nên cẩn thận chút...Dù mình giỏi hay mình đúng thì cũng phải nói cho đàng hoàng...
      Stop nhe ba đía!
       
  8. obscurite

    Tham gia:
    1/6/10
    Được thích:
    207
    Best Answers:
    0
    obscurite
    ĐẠI BÀNG
    Đang sài Techcombank và ACB, nhọ quá
     
  9. talk114

    Tham gia:
    28/9/10
    Được thích:
    19
    Best Answers:
    0
    talk114
    ĐẠI BÀNG
    Bác pentest cái agribank ấy, cái đó mới đầy tiền
     
  10. bakabon

    Tham gia:
    16/6/11
    Được thích:
    10
    Best Answers:
    0
    bakabon
    ĐẠI BÀNG
    Cái quan trọng nhất là phải cso số điện thoại của mình để lấy code mỗi lần giao dịch, cái này quan trọng nhất. Mấy cái khác không quan trọng lắm.
     
    1. duhd

      duhd Dự bị

      Tham gia:
      10/1/09
      Được thích:
      2
      Best Answers:
      0
      duhd
      Trứng
      duhd @bakabon Với lỗi bảo mật không bao giờ fixed (SS7) thì gửi mã xác thực qua mạng di động chưa bao giờ là an toàn.
       
    2. Vmemory

      Tham gia:
      30/5/08
      Được thích:
      619
      Best Answers:
      0
      Vmemory
      TÍCH CỰC
      Vmemory @bakabon Dính đến tiền thì không gì là không quan trọng cả bạn à, nếu không quan trọng thì ngân hàng chẳng cần bảo mật làm gì. Nếu không sợ mất tiền bạn thử share username & pass xem
       
    3. Chithanh1213

      Tham gia:
      9/8/10
      Được thích:
      175
      Best Answers:
      0
      Chithanh1213
      TÍCH CỰC
      Chithanh1213 @bakabon Đó là bảo mật chính thống. Qua các step mà ngân hàng quản lý được ! Còn đã hack thì nó thay sdt nó vào chứ nó để số bác à :p
       
    4. thienlucky

      thienlucky Thành viên

      Tham gia:
      21/10/12
      Được thích:
      178
      Best Answers:
      0
      thienlucky
      thienlucky @sonlazio các có cách chiếm đoạt số điện thoại bằng 1 số lỗ hổng của nhà mạng!
      p/s: một dân tổng đài chia sẻ
       
  11. quanqw

    Tham gia:
    3/10/11
    Được thích:
    113
    Best Answers:
    0
    quanqw
    Mấy cái kiểm tra này hình như chỉ là cơ bản thôi.
     
  12. spsp

    Tham gia:
    28/5/09
    Được thích:
    7,190
    Best Answers:
    0
    spsp
    VIP
    #14 spsp, 25/7/16
    Sửa lần cuối: 25/7/16
    View attachment 3354226

    KLQ nhưng bác nào biết giúp em cái.
    Hôm bữa tự dưng có 1 giao dịch lạ như hình.
    Em gọi lên ngân hàng họ nó ko tra được.
    Thank Đang tải 20160725_120850.jpg…
     
    guanghua thích nội dung này.
    #14 spsp, 25/7/16
    Sửa lần cuối: 25/7/16
    1. spsp

      Tham gia:
      28/5/09
      Được thích:
      7,190
      Best Answers:
      0
      spsp
      VIP
      spsp @thangemar Đúng là trc em có mua hộ bạn em, nhưng lâu lắm rồi. để e kiểm tra lại,cảm ơn bác nhiều
       
    2. cuongnguyen208

      Tham gia:
      15/4/13
      Được thích:
      99
      Best Answers:
      0
      cuongnguyen208
      ĐẠI BÀNG
      cuongnguyen208 @spsp cái này của bác kết nối với paypal mua gì hoặc chạy quảng cáo
       
      spsp thích nội dung này.
      1
    3. guanghua

      Tham gia:
      29/7/11
      Được thích:
      32
      Best Answers:
      0
      guanghua
      ĐẠI BÀNG
      guanghua @spsp Cái này nhiều người đã report trên mạng rồi bác. Bác contact google play support team để trace xem nhé, NH ko làm gì đc đâu.
      https://support.google.com/googleplay/answer/6179357?ref_topic=3364672

      Contact Google Play support - Google Play Help

      Sign in to find help You'll get better help suggestions if you sign in to your Google Account. If you can't sign in, get sign in help here. 
      support.google.com
       
      spsp thích nội dung này.
      1
    4. traind

      Tham gia:
      22/2/12
      Được thích:
      1,050
      Best Answers:
      0
      traind
      CAO CẤP
      traind @spsp chắc bác mua app hay vật dụng trong game rồi.
       
      spsp thích nội dung này.
      1
  13. blueweasley

    Tham gia:
    30/5/12
    Được thích:
    161
    Best Answers:
    0
    blueweasley
    ĐẠI BÀNG
    Hay và hữu ích quá. Mod kiểm tra giúp mình TienPhongBank với được không? :D Hi vọng bạn vẫn đang rảnh. Cảm ơn bạn :D
     
  14. dotapro

    Tham gia:
    22/8/09
    Được thích:
    373
    Best Answers:
    0
    dotapro
    TÍCH CỰC
    Không liên quan đến bảo mật, nhưng xài VCB thấy họ rất quan tâm đến trải nghiệm người dùng, khi gõ mã giao dịch thì phần kí tự chỉ gồm những phím có thể gõ bằng tay trái, tay trái giữ nguyên, tay phải đặt bên numpad là ko cần nhìn bàn phím vẫn gõ dc. dù 1 điểm rất nhỏ (hầu như ko ai nhận ra) nhưng cho thấy họ quan tâm đến trải nghiệm người dùng. rất đáng khen.
     
    Triệu Dũng Phú thích nội dung này.
  15. vinhphucng25

    Tham gia:
    14/12/07
    Được thích:
    2,582
    Best Answers:
    0
    vinhphucng25
    CAO CẤP
    vậy thì để bảo mật hơn thì phải như thế nào vậy bác @mrpaint ???
     
    1. imsodo

      imsodo Dự bị

      Tham gia:
      25/7/16
      Được thích:
      1
      Best Answers:
      0
      imsodo
      Trứng
      imsodo @vinhphucng25 Ngân hàng nào thấy tin tưởng và an toàn thì gửi tiền vào, nhưng ngân hàng còn lại gửi ít đủ để chi tiêu thôi.
       
      vinhphucng25 thích nội dung này.
      1
  16. cakiem8x

    Tham gia:
    18/5/08
    Được thích:
    31
    Best Answers:
    0
    cakiem8x
    ĐẠI BÀNG
    Đọc đc gói tin nhưng không biết format thì cũng ko làm đc gì. Chỉ trừ khi không format gói tin thôi.
     
  17. NhiepPhong2707

    Tham gia:
    2/6/12
    Được thích:
    65
    Best Answers:
    0
    NhiepPhong2707
    ĐẠI BÀNG
    Sax BIDV trùm bị lỗi web, nhiều khi điên vs nó vì chuyển khoản ko đc, hóa ra vì nó bảo mật mạnh nhất ak :)))
     
  18. intelcore2quad88@yahoo.co

    Tham gia:
    14/12/09
    Được thích:
    6
    Best Answers:
    0

Chia sẻ

Đang tải...