Library
My library

+ Add to library

Profile

Wróć do listy aktualności

Parę słów o niebezpieczeństwach wynikających z używania aplikacji do bankowości online opartych na niebezpiecznym protokole SSLv2

16 lutego 2017

Ostatnimi czasy wsparcie techniczne Doctor Web otrzymało wiele zgłoszeń od użytkowników oprogramowania Dr.Web używających aplikacji do bankowości online wykorzystujących niebezpieczny protokół SSLv2. Aby odpowiedzieć na te wszystkie zapytania i ograniczyć potrzebę naszych użytkowników do zadawania takich pytań w przyszłości, szczegółowo opiszemy ten problem tutaj, w niniejszym artykule.

Obecnie, z przyczyny istnienia licznych podatności w protokole SSLv2, ten sposób wymiany danych, jak i aplikacje które go wykorzystują, nie jest bezpieczny.

W szczególności systemy używające tego protokołu są podatne na ataki MITM (man-in-the-middle), jak i na ataki pozwalające intruzom na zmianę kierunku przesyłanych danych. Procedura buforowania MD5 protokołu SSLv2 również została zaatakowana i stała się przestarzała..

Już od dość dawna wiadomo, że SSLv2 jest niebezpieczny. Już w 1996 roku został zastąpiony przez SSLv3, który z kolei również okazał się być podatnym na ataki (CVE-2014-3566). SSLv2 został oficjalnie oznaczony jako przestarzały w 2011 roku, zgodnie z spécification technique RFC 6176. Z tej przyczyny, gdy tylko połączenie zostanie zestawione z użyciem SSLv2, Dr.Web powiadamia użytkowników o niebezpieczeństwie.

Zgłoszenia użytkowników w pomocy technicznej Dr.Web jasno wskazują, że niektóre aplikacje do bankowości online wciąż używają niebezpiecznego SSLv2. Pracownicy biur obsługi klienta banków objętych incydentem potrafili nawet zalecać naszym użytkownikom doświadczającym problemów z ich aplikacją z “przyczyny” Dr.Web-a, dokonanie odinstalowania antywirusa — zrobienie czegoś, co mogło poważnie zagrozić funduszom swoich własnych klientów.

Doctor Web zaleca zaktualizowanie niebezpiecznych aplikacji. Jeśli aktualizacje nie są dostępne, użytkownicy mogą kontynuować ich używanie, przechodząc do ustawień programu Dr.Web i włączając możliwość użycia niebezpiecznego protokołu.

Jeśli wybierzesz opcję korzystania z aplikacji do bankowości online, zapytaj w banku, czy używa ona bezpiecznego połączenia i jeśli wykorzystuje protokoły SSLv2 lub SSLv3, odmów użycia takiej aplikacji.

Na chwilę obecną lista zalecanych protokołów zawiera protokół TLS v.1 i nowsze.

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments