Прочитав замечательную новость о распоряжении ЦБ РФ (Банка России) об обязаности кредитных организаций по борьбе с уязвимостями на своих сайтах, я решил проверить, а так ли это? Проанализировав через www.ssllabs.com/ssltest/analyze.html сайты банков, чьим клиентом я являюсь, сразу нашел POODLE на двух из них. Так как переписывать с поддержкой банков был заведомый бесперспективняк, я сразу написал обращение с сайта ЦБ. Через месяц получил ответ на электронную почту от одного из них, из которого следовало, что сам ЦБ ничего рассматривать не стал, а, не разбираясь, спустил обращение вниз. Там же админы толи некомпитентны, толи водят за нос начальство, а заодно и ЦБ РФ. Второе обращение просто потеряли и никаких уведомлений по нему, кроме регистрации, не приходило. К сожалению, несмотря на штат в 72 тысячи сотрудников (против 20 тысяч в ФРС США) в ЦБ РФ нет никого, кто бы разбирался в информационной безопасности на уровне выше средней школы, поэтому вышеуказаное постановление имеет чисто декларативный смысл.
Итак, сайт интернет банка ВТБ24: www.ssllabs.com/ssltest/analyze.html?d=new.telebank.ru
Ответ от ВТБ24, который отфорвардил ЦБ РФ, не затруднивший прочитать:
В ответ на Ваше обращение в Банк России ВТБ 24 (ПАО) (далее – Банк) сообщает, что информация, изложенная в Вашем обращении, доведена до сведения ответственного подразделения Банка.
Уязвимость Padding Oracle Attack Information Disclosure Vulnerability (POODLE) была выявлена Банком на внешних Интернет-ресурсах, в том числе на сайте new.telebank.ru, в ходе проведения работ по анализу защищенности Интернет-ресурсов Банка в конце октября 2014 года, через несколько дней после публикации Google подробностей об уязвимости POODLE.
В целях устранения уязвимости POODLE Банком были предприняты необходимые меры, направленные на обеспечение защищенности Интернет-ресурсов. Так Банком был отключен протокол SSL 3.0, уязвимый к POODLE, в том числе и на сайте new.telebank.ru, и включен протокол TLS 1.2 с поддержкой AEAD. Однако в ходе анализа возникшей проблемы Банком было принято решение не отключать на сайте new.telebank.ru протокол TLS 1.0 в связи с тем, что большое количество клиентов Банка работают на персональных компьютерах с устаревшими версиями операционной системы (Windows XP и Windows Vista), не поддерживающими протокол TLS 1.2 (неуязвим к POODLE). В случае отключения протокола TLS 1.0 для данных клиентов доступ к системе Телебанк будет невозможен.
Клиенты Банка, работающие с Интернет-ресурсами Банка (в т.ч. new.telebank.ru) через браузеры: Internet Explorer (начиная с 7 версии), Firefox (начиная с версии 27); Google Chrome (начиная с версии 23); Opera (начиная с версии 10); Safari (начиная с версии 5), будут соединяться по защищенному протоколу TLS 1.2.
Надеемся на понимание.С уважением,
ВТБ 24 (ПАО).
Фактических ошибки в этом ответе две:
1) TLS 1.2 на сайте так и не включен. Доступен только TLS 1.0
2) TLS 1.0 не пропатчен для исправления POODLE, т.е. как старые, так и новые клиенты вынуждены использовать уязвимый протокол для связи с банком.
PS Надзора за самим ЦБ РФ нет (прокуратура сейчас пиариться, что бы получить эти полномочия, но вряд ли от этого станет лучше). Можно обращаться в суд с жалобой на бездействие, но этим я заниматься уже не буду. Просто попрощаюсь с ВТБ24.
Автор: dreamyzombie