Сайберсекьюрити и Ко.
Сайберсекьюрити и Ко.
Alexander Litreev

Как российские банки плевать хотели на инф. безопасность

Мой коллега и дорогой БРАТ Артём провёл «маленький рисерч» (С) в отношении российских банков. Как известно, недавно Google и Mozilla признали сертификаты Symantec скомпрометированными и выпущенными, с нарушениями правил безопасности. Вот почему:

1) В Symantec ну просто так, ради теста, выпустили сертификат для google.com, который потом (oops!) утёк. Для тех, кто в танке — сертификат позволил бы злоумышленникам незаметно подменять оригинальный сайт Google любой другой страницей и, при этом, тот самый замочек HTTPS продолжал бы оставаться «зелёненьким».

2) Выпускали сертификаты с SHA-1, после января 2016 года, когда это стало запрещено правилами безопасности.

3) Symantec выпустили кучу сертификатов ВООБЩЕ НЕ ПРОВЕРЯЯ ВЛАДЕНИЕ ДОМЕНОМ. С-О-В-С-Е-М.

Ну и ещё совершили много-много страшных (если не считать того факта, что CEO Trustico приватные ключи по E-Mail’у пересылал) смертельных грехов, описанных здесь:
https://wiki.mozilla.org/CA:Symantec_Issues

Ну и, что вполне логично, Google и Mozilla объявили сертификаты Symantec небезопасными и де-факто скомпрометированными. Вот уже с октября сайты с такими сертификатами перестанут открываться у пользователей Chrome и Firefox.
Все нормальные интернет-ресурсы уже подготовились к этому.

Но есть и особо одаренные. Например, Сбербанк. На справедливое замечание Артёма они предложили ему не пользоваться гуглом:
https://twitter.com/sberbank/status/1031907764858249217

Мы поползали по сайтам различных российских банков и обнаружили, что отличившихся много!

Вот некоторые из них:
https://online.sberbank.ru
https://www.rshb.ru
https://www.open.ru
https://enter.unicredit.ru

Ну и, как бы, не шевелятся.
Артём, конечно, выполнил свой святой долг и всем им написал. Молодец, Артём. И вы будьте молодцом и поменяйте сертификат, если он попадает под эту ситуацию.

Продолжение следует.

https://twitter.com/sberbank/status/1031907764858249217

Сбербанк

@artemtam Для входа в Сбербанк Онлайн рекомендуем пользоваться не ссылками в поисковике, а переходить по гиперссылке с нашего официального сайта.
| Twitter