U svom blogu Luka Gerzić pričao je o izveštaju koji je urađen u 2014. godini pod nazivom ‘Analiza bezbednosti nacionalnog domena’, pod pokroviteljstvom RNIDS (Registar nacionalnog internet domena Srbije). Ovo istraživanje je prezentovano iste godine na panel debati ‘3u1’ tokom ‘European Cyber Security Month’, u organizaciji ENISA, Evropske agencije za bezbednost mreža i informacija i RINDS-a.
Rezultat ovog istraživanja bila je veća količina panela, prezentacija i poboljšanja prvobitnog izveštaja uglavnom na Elektrotehničkom fakultetu, FON, Fakultet za bezbednost kao i mnogih drugih.
Ovaj izveštaj i analiza iz 2014. godine trebali su da posluže kao osnova za poslovne i tehničke odluke.
Sa povećanjem broja društvenih mreža došlo je do narušavanja privatnosti, bezbednosti i zaštite korisnika, što je dovelo do toga da ovaj izveštaj poveća svest o tome da se zaštita svih ovih oblika integriše u svaki servis, poslovni projekat, veb sajt i mobilnu aplikaciju.
2014 izveštaj i analiza
Ovo istraživanje obuhvata 86 291 nacionalni internet domen (.rs)
Pitanja kojim se bavilo ovo istraživanje
– Domen DNS podešavanja
– Domen MX spodešavanja aktivnih smtp/imap/pop3 servisa
– Domen aktivnog veb servisa (http and https)
– Geo IP location for domain services
– OS/Version check for web/mail services
– Detaljna analiza veb servis protokola za šifrovanje i podešavanje HSTS.
– Detaljna analiza za mejl servis protokola za šifrovanje i podešavanje.
Srbija na internetu 2014. godine
– 2,85 miliona internet korisnika u Srbiji
– 1,3 miliona korisnika e-servisa
– 99% kompanija u Srbiji koristi internet
– 28,3 miliona dinara (235 000 eura) je u prometu za kupo-prodaju stvari putem interneta
Rezultati ovog istraživanja nimalo nisu bili ohrabrujući. Od 79,1% domena koji su imali aktivni veb servis samo 54,3% su imali HTTPS omogućen, i od njih samo 14,2% su imali ispravno podešen HTTPS. Što se tiče slanja mejlova od 91,9% domena koji su imali SMTP aktivan servis, 49,1% su sadržali kodove, a od njih 13,5% su ih imali pravilno podešene.
Na osnovu ove analize dobijeni su podaci:
– Od top 20 veb servisa u Srbiji, samo jedan sajt je imao HTTPS omogućen za posetioce
– Od 40 zvaničnih internet domen registra, 13 je imalo isparvan CASSL sertifikat i jedan je imao HSTS aktivan
– Na kraju, samo 2 domena od 86 291 je imao HSTS aktivan (0,002%)
HTTPS i upotreba HSTS
Tokom panela, diskusija, intervjua i treninga objašnjeno je kolika je opasnost od nedostataka kodova i upotrebe zastarelih šifrovanih standarda i protokola. Jedna od glavnih tema je bilo objašnjenje da HSTS mora biti omogućen za sva veb šifrovana podešavanja. Moksi Marlin Spajk objasnio jw koncept skidanja SSL-a (Man-In-The-Middle-Attacker) i predstavio način na koji će se sprečiti napad na mrežu, kojim bi veb pretraživači bili omogućeni da unaprede SSL konekciju tako da to korisnici ni ne primete.
Man-In-The-Middle-Attacker (MiTM napadi)
HTTP i HSTS specifikacije su naknadno razvijeni, njihov nacrt je izrađen 2010. godine, a prihvaćeni su 2012. godine kao RFC za odbranu od ovih napada. Od 2012. godine sve vodeće banke, maloprodajne kompanije i slično, širom sveta (osim slabo razvijenih zemalja, među kojima je i Srbija) su usvojili ovu tehnologiju i implementirali ih u borbu od MiTM napada. Glavni razlog insistiranja na HSTS, tokom prezentacija i konverzacija, bilo je otkriće da samo 0,02% nacionalnih domena u Srbiji koristi ovu tehnologiju.
Privatnost na internetu
Druga najvažnija tema je bila da se podstakne publika na potrebu da imaju privatnost na internetu. Jedna od najčešćih rečenica među studentima u to vreme bila je ‘Ne interesuje nas naše pravo na privatnost, zato što nemamo šta da sakrijemo.’ Za pravi odgovor možemo citirati Edvarda Snovdena:’Ovo je isto kao kad bi rekli da nas ne zanima pravo na govor, jer nemamo šta da kažemo.’
Dodatak na izveštaj iz 2016: Elektornsko bankarstvo u Srbiji
2016. godine vršena je analiza kako banke u Srbiji štite korisnike šifrovanjem tokom pristupa sajtu, da bi videli na koji način su oni zaštićeni. Kriterijum koji je korišćen u ovom dodatku je veoma značajan za bezbednost i privatnost koji banke moraju implementirati kako bi povećali online poverenje i bezbednost korisnika u online bankarstvu.
Ova analiza obuhvata:
– Detaljnu analizu šifrovanih protokol veb servisa i podešavanje uključujući HSTS
– Politiku šifrovanja pre POST
– Provajder za isporuku usluge elektronskog bankarstva
Ova analiza ne sadrži:
– aplikacije za nivo bezbednosti
– procedure banke za korišćenje aplikacija elektrosnkog bankarstva
– 2FA ugradnje bezbednosti
Kao i u istraživanju iz 2014. godine, za sve nacionalne domene bezbednosti, rezultati novog istraživanja i analize takođe nisu ohrabrujući. Čak se može i reći da su zastrašujući.
Preliminarni rezultati:
– od 22 banke i 29 analiziranih sajtova nijedan ne koristi HSTS
– Od 29 sajtova e-bankarstva samo 4 sajta kodiraju šifru pre POST
– Od 29 sajtova e-bankarstva samo njih 9 imaju ocenu F po pitanju bezbednosti (najgora moguća ocena)
– Od 29 sajtova e-bankarstva, 11 njih koristi spoljašnji servis
– Neki podržavaju 2FA (2 faktora identifikacije) koji je omogućen preko mobilne aplikacije SMS-a ili drugih načina, ali skoro svi koriste 2FA samo za plaćanje ali ne i za pristup svojim podacija (logovanje)
Zaključak
Možda bi bilo dobro pomenuti da sedišta nekih srpskih banaka u Evropi ima sve ove bezbednosne mere implementirane kako treba, dok u Srbiji to nemaju. Možda ako bi to bilo regulisano zakonom u Srbiji i ako bi taj zakon bio implementiran na taj način da štiti korisnike, banke bi se postarale da obezbede najveći mogući standard zaštite svojih potrošača.
Izvor: blog.gerzic.rs
