Jen zhruba pětina finančních webů v Česku i ve světě využívá výhradně nejmodernější šifrovací protokoly TLS pro přístup uživatelů do internetového bankovnictví na úrovni stávající bezpečnostní praxe, tedy ve verzích TLS 1.2 a 1.3. Některé portály naopak používají pro zabezpečení komunikace i šifry, jejichž použití je již téměř 5 let v rozporu s mezinárodně uznávanými standardy, nebo kryptografické mechanismy, u nichž jsou přes 20 let známy bezpečnostní slabiny.
„Podpora slabých šifrovacích sad a protokolů neznamená, že by byly při připojení klientů k serveru tyto kryptografické mechanismy nutně použity, ale že v některých případech k jejich použití dojít může,“ podotkl Jan Kopřiva, který ve společnosti ALEF vede tým pro řešení kybernetických bezpečnostních incidentů.
V České republice jen 7 z testovaných serverů, tedy necelých 22 procent, podporovalo protokol TLS pouze ve verzi 1.2 a případně 1.3, a tedy bylo nakonfigurováno v souladu s dobrou aktuální bezpečnostní praxí. To je o více než 1,5 procenta pod globálním průměrem.
Testy naopak ukázaly, že 4,3 procenta webů bylo nakonfigurovaných i pro podporu nejstarších protokolů SSLv2 a SSLv3, které jsou již mnoho let považované za slabé kvůli velkému množství zranitelností. V Česku se ale takové portály nevyskytují.
„U jednoho ze zahraničních serverů internetového bankovnictví byla dokonce identifikována zranitelnosti umožňující provedení útoku označovaného jako POODLE. S jeho pomocí může potenciální útočník za určitých okolností dešifrovat data chráněná protokolem SSLv3 a jde tak o velmi citelný problém,“ dodal Jan Kopřiva.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
