SSL בישראל – אתרים שלא תיקנו פגיעויות

כחלק מפרויקט SSL in Israel שלי, להלן האתרים שעדיין, נכון לתאריך העדכון של כל רשומה רלוונטית, מכילים פגיעות על פי דו"ח SSL Labs, למרות שבעלי האתר קיבלו הודעה על הפגיעות ו-30 ימים קלנדרים לתיקון, אך ימים אלו חלפו והפגיעות נשארה.
כל שורה בטבלה שלהלן מכילה פגיעות אחת בלבד, כך שיכול להיות שלאתר מסוים יהיו יותר משורה אחת במידה ויש לו יותר מפגיעות אחת.
כמו כן ייתכן והאתרים שמופיעים כאן עדיין לא פורסמו בגרסה האחרונה של קובץ האקסל הכללי של הפרויקט, אך זה לא ממש רלוונטי כי בעלי האתרים בכל מקרה קיבלו הודעה על כל פגיעות ואת 30 הימים לתיקון.
(בחרתי בכוונה להשאיר את הטבלה בגודל המקורי שלה, כך שהיא חורגת מרוחב עמוד הבלוג, בכדי לאפשר לכם לראות את הטבלה בשלמותה, אם כי ייתכן ותצטרכו לבצע "הרחקה/Zoom Out" של תצוגת העמוד על ידי הדפדפן שלכם. אחרת, אם הייתי מאלץ את הטבלה לרוחב העמוד, הייתם רואים בכל פעם רק חלק מהטבלה והייתם צריכים לגלול לצדדים כל הזמן, מצב שנראה לי פחות יעיל)

נכון לפרסום בתאריך 14 ליולי 2017, אלו הגופים שעדיין יש להם פגיעויות:
בנק דיסקונט – בנק
דואר ישראל (בנק הדואר) – דואר ובנק
CreditGuard – סליקת כרטיסי אשראי
Tranzila – סליקת כרטיסי אשראי

עדכונים:
22/7/17 – השרת host.creditguard.co.il הוסר מהטבלה מאחר ורשומת ה-DNS שלו נמחקה ולכן האתר לא נגיש כעת ׁׁ(לכל הפחות על בסיס שם דומיין)

11/8/17 – השרת bank.postil.com הוסר מהטבלה מאחר ואינו עונה בגישת HTTPS, כלומר לא עונה לפורט 443 TCP

 

 

Record update dateLast Date to fixDate of disclosureReport LinkThe issueSite Essence (Assumed)NameSiteOrdinal Number
14/07/201718/05/201718/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=swd.discountbank.co.il&hideResults=onVulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107)Secure file transfer system by WatchDox (now Blackberry)Discount Bankhttps://swd.discountbank.co.il1
14/07/201725/05/201725/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=tashlumim.bankhadoar.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)SSL VPNBank Hadoarhttps://tashlumim.bankhadoar.co.il2
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgmpi.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)"CreditGuard Redirect Integration System (UAT)"CreditGuardhttps://cgmpi.creditguard.co.il4
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)CreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il5
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to MITM attacks because it supports insecure renegotiationCreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il6
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgpay3.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownCreditGuardhttps://cgpay3.creditguard.co.il8
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownTranzilahttps://secure.tranzila.com9
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onOpenSSL CCS vulnerability (CVE-2014-0224)UnknownTranzilahttps://secure.tranzila.com10

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share

SSL בישראל

"SSL בישראל" הוא מיני-פרויקט שהחלטתי עליו לאחר שנמאס לי. נמאס לי לראות חברות וארגונים, כולל מהגדולים והעשירים בישראל, שלא מטמיעים SSL ו-TLS באופן מיטבי, בלשון המעטה, מסיבות שאינן ידועות לי ושאני מקווה שהן טובות (אבל קשה לי להאמין בכך).

(כן, אני יודע שמומלץ כעת שלא להשתמש ב-SSL בכלל אלא ב-TLS, אבל SSL מתחרז טוב עם "ישראל" ורוב האנשים, בייחוד הבלתי-מקצועיים בתחום, מכירים בעיקר את השם הזה – אז נשתמש בשם הזה, כצורך "שיווקי" לטובת הפרויקט הזה)

אני משתמש בתוסף לפיירפוקס בשם Calomel SSL Validation (עמוד התוסף באתר פיירפוקס, אתר התוסף, לצערי לא מצאתי תוסף דומה לכרום), אשר מציג את רמת הטמעת ה-SSL של האתר שבו המשתמש גולש, כולל ציון שהתוסף נותן לאתר. בלא מעט פעמים אני חוטף חום כאשר אני רואה אתרים שמאחסנים ומעבירים לצד הלקוח מידע אישי רגיש – שלא עושים שימוש מיטבי ביכולות ההצפנה שעומדות לרשותנו כיום – כך שבשורה התחתונה אני כלקוח של חלק מהארגונים האלו, מרגיש שמדובר באחת או יותר מהאפשרויות של זלזול, רשלנות, חוסר מקצועיות, קמצנות, פחדנות וכדומה, וחשבתי שהגיע הזמן להציף לציבור את הידיעה מי עושה הצפנה טוב ומי לא, כך שהציבור ידע מי משקיע בהגנה על המידע ומי לא, ואולי, רק אולי, הארגונים שצריכים להשתפר – אכן ישתפרו ברגע שהמידע הזה יהיה פומבי ומרוכז, לבטח בהשוואה לאתרים של חברות/ארגונים אחרים באותו תחום, שעושים עבודה טובה יותר.
אבטחת מידע טובה צריכה להיות נושא שחברות וארגונים צריכים להתגאות בו בפומבי כגורם שהוא לטובת הלקוח ולכן למעשה גם לטובת בעלי האתרים.

אז איך נעשה את זה?

  1. אני אסרוק אתרים ישראלים שונים בעזרת השירות הנפלא SSL Server Test של חברת Qualys SSL Labs, מטעם חברת Qualys. שירות זה מאפשר לכל אחד להריץ סריקה מול אתר בעל שם באינטרנט (כגון www.google.com) (אבל לא כנגד כתובות IP אשר מבוססות על מספרים בלבד), ולקבל דו"ח לגבי מצב הטמעת ה-SSL/TLS של האתר
    – אין לי הגדרה מדויקת למה הכוונה ב"אתרים ישראלים" – הכוונה בגדול היא לאתרים שמשרתים בעיקר ישראלים ו/או בעלי סיומת שקשורה לישראל (כגון il או co.il וכן הלאה), בדגש על כאלו שנוגעים לאנשים רבים ו/או יש להם משמעות מיוחדת
  2. אני אתחזק קובץ Excel (בתבנית XLSX) ובו הממצאים העיקריים של דו"חות הסריקה הנ"ל (אם אין לכם את תוכנת Excel אז יש תוכנה חינמית של מיקרוסופט שתאפשר לכם לצפות בקובץ – Excel Viewer)
    – הקובץ יהיה באנגלית – זו שפת התקשוב ולא צריכה להיות בעיה עם זה. לא, אין כוונה לתרגם את הקובץ לעברית בעתיד
    – הקובץ כולל גיליון בשם Matrix שכולל את הטבלה העיקרית של הממצאים ובנוסף גיליון בשם General שכולל הפניות למידע טכני-מקצועי אודות הבדיקה שהאתר של SSL Labs מבצע, כיצד לשפר את רמת ההצפנה ומידע כללי אודות הצפנות.
    עדכון, 18/3/17: הגיליון General שינה את שמו להיות Guidance ונוסף גיליון חדש, שקיבל את השם General וכולל את גרסת הקובץ ואת תאריך פרסום אותה גרסת הקובץ, כך שנוכל לדעת אם הקובץ השתנה ואולי אף להשוות בין גרסאות, מי שירצה
    – המידע בקובץ לא יכלול את כל השדות אשר קיימים בדו"ח תוצאת הסריקה, אלא רק את השדות שנראים לי חשובים/מרכזיים ו/או כאלו שכללו תוצאות חריגות לרעה לגבי אתרים שונים
  3. הקובץ הזה יועלה, לאחר כל עדכון שלו, לאתר של Google Drive ויהיה נגיש ללא כל צורך בהזדהות (באופן אנונימי) או בחשבון בגוגל, ויהיה ניתן להורדה בתצורתו המקורית
    – מי שיפתח את הקישור כאשר הוא מזוהה עם מול גוגל עם חשבון של גוגל – גם יוכל לצפות באופן מקוון בגרסה של הקובץ כ-Google Sheet, שנראית הרבה יותר טוב בדפדפן
    – הקובץ מותר להפצה חופשית
    – הקובץ יכיל תמיד רק את המידע העדכני למועד העדכון, ללא רשומות היסטוריות של מצב האתרים בעבר כי המטרה היא לדחוף קדימה ולא להעמיס את הקובץ בעודף מידע שאינו הכרחי
    – תיתכן חוסר התאמה בין תוצאות הרצת סריקה על ידכם באתר SSL Labs לבין הרשום בקובץ שלי, כי ייתכן שמאז שעדכנתי את הרשומה הרלוונטית בוצעו שינויים, בין אם במערכת הבדיקות של SSL Labs ובין אם באופן הטמעת האבטחה באתר הנבדק
    – הקישור המלא הוא
    https://drive.google.com/open?id=0B6EGT8h1mYlbWEd5Z285QWdIakE
    – יש גם קישור מקוצר של https://tinyurl.com/SSL-In-Israel
  4. אני מקווה גם מדי פעם להעלות לכאן פוסטים של עדכונים ותובנות מתוך הקובץ הזה

מדי פעם אולי גם אעשה בדיקות עצמאיות משלי בכדי לוודא שמפעילי האתר לא עשו מניפולציות שנועדו לוודא שהבדיקה של SSL Labs תדווח על מצב תקין בעוד שעבור אחרים המצב פחות טוב… אם אתם נתקלים במצב כזה – אתם יותר ממוזמנים לדווח לי על כך

בנוסף לאתר הבדיקות של SSL Labs יש עוד מספר אתרים שעושים בדיקות דומות, ונאלצתי להשתמש באחד מהם במקרה של אתר אחד (של כ.א.ל.) שלא היה ניתן לסרוק אותו על ידי SSL Labs. אתרים אלו ישמשו אותי במקרה ומסיבות שונות לא ניתן יהיה להשתמש באתר של SSL Labs. האתרים הם:
SSL Server Security Test של חברת High-Tech Bridge
TLS & SSL Checker באתר Online Domain Tools (אשר מאפשר גם לבחור יעד שהוא כתובת IP מספרית וגם לבחור מספר פורט שאינו בהכרח 443 אשר מקובל לשימוש עבור HTTPS)
COMODO SSL Analyzer של חברת Comodo (אשר מאפשר גם לבחור יעד שהוא כתובת IP מספרית)

כרגע, בתור התחלה התחלתי עם האתרים המרכזיים של הבנקים וחברות האשראי בישראל. תוכלו לראות שמשום מה, דווקא בעיקר הבנקים הקטנים עושים עבודה טובה ואילו הבנקים הגדולים ושלושת חברות האשראי – פחות… מעניין למה…

מספר תובנות ראשוניות וכלליות מתוך הממצאים של הגרסה הראשונה של הקובץ (נבדקו 35 אתרים):
– בצד החיובי לא נמצא אף אתר שעדיין עושה שימוש ב-SSL מגרסה כלשהי
השאר פחות חיובי…
– 22 אתרים (62%!) כלל לא עושים שימוש באפשרות של Forward secrecy (להלן FS), אשר מעלה באופן דרמטי את רמת ההצפנה, והרי מדובר רק בהפעלת Ciphers מתאימים והצבתם בראש רשימת פרוטוקולי ההצפנה של השרת (אם כי ייתכנו השלכות על ביצועי העיבוד של השרת)
– 8 אתרים (22%) בכלל לא תומכים בגרסה העדכנית ביותר של TLS, גרסה 1.2. למה? לא ברור
– 7 אתרים (20%) בכלל לא תומכים בגרסה 1.1 של TLS. למה? לא ברור. 6 מתוכם גם לא תומכים בגרסה 1.2, כלומר בעצם הסתפקו רק בגרסה 1.0 של TLS…
– 3 אתרים (8%) פגיעים להתקפת POODLE ב-TLS
– 8 אתרים (22%) עדיין משתמשים ב-Ciphers של RC4
– יש אתרים בודדים שתומכים רק ב-Cipher אחד. יחיד ובודד. מדהים.
– יש מספר אתרים שמפעילים רק מספר Ciphers בודדים. גם מדהים.
– 26 אתרים (74%) בכלל לא משתמשים ב-Response Header של HSTS אשר בעזרתו השרת מורה לדפדפן להתחבר אליו אך ורק בקישור מוצפן על בסיס HTTPS

בראיה כללית – התפלגות הציונים המסכמים לאתרים היא כדלהלן:
+A‎‏ – ‏2 אתרים (5%)
A‎‏ – ‏2 אתרים (5%)
-A‎‏ – ‏5 אתרים (14%)
B – ‏5 אתרים (14%)
C‏ – ‏18 אתרים (51%!)
F‏ – ‏3 אתרים (8%)
(סכום חיבור האחוזים מביא לסכום של 97% בשל עיגול חישובי האחוזים כלפי מטה לאחוז השלם הקרוב)

אשמח אם תפיצו את הידיעה אודות קיום הפרויקט הזה והקובץ הזה, בייחוד למי שלדעתכם יכולים להניע לשיפור המצב – אני מקווה שביחד נוכל לשפר את המצב.

אם תרצו ליצור עמי קשר בנוגע לפרויקט הזה – אפשר לעשות זאת דרך הטופס המתאים באתר זה

שיהיה לנו בהצלחה!

עדכונים:
18/3/17 – הוספתי עמוד פייסבוק לפרויקט, משם גם ניתן יהיה להתעדכן
18/6/17 – הכנתי פוסטים גם באנגלית אודות הפרויקט, כולל גרסאות 1 ו-2 של הקובץ עד כה. יש פוסט בבלוג האבט"מ שלי באנגלית, וגם יש פוסט בלינקדאין. אתם מוזמנים להפנות למיקומים הנ"ל דוברי אנגלית רלוונטים לנושא. תודה!

 

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share

בקרוב…



עובד על זה. אצטרך אתכם כשהתרגום יהיה מוכן בכדי לבדוק את תקינותו 😉 .
פוסט המשך יגיע כאשר ארגיש שהעסק מוכן לבטה. הקליקו על התמונה להגדלה.

הצצה ראשונית....

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מישהו מכיר תקן אבטחת מידע בשם SQR?

נתקלתי באתר של סלקום במעין באנר שטוען "האתר עומד בתקני האבטחה SSL ו-SQR, תקני האבטחה המתקדמים ביותר לרכישה באמצעות האינטרנט.", ובמקום אחר באתר – "רכישה מאובטחת תקן SSL SQR".

(המסגרות האדומות בצילומי המסך המצורפים הן תוספת שלי להדגשת החלק הרלוונטי בתמונה)

מאחר ואני לא מכיר תקן אבטחת מידע בשם SQR חיפשתי קצת ברשת ומצאתי רק ש-SQR זו שפת תכנות ליצירת דו"חות ושיש חברה בלגית בשם SQR Technologies שמפתחת מוצרי הצפנה מבוססי חומרה למרכזי נתונים, על בסיס הצפנה קוואנטית, שלפי הרשום באתר החברה היא תחליף ל-SSL ולא בנוסף או במקביל ל-SSL (מה גם שלא מוכר לי שימוש נרחב של הצפנה קוואנטית ברשת האינטרנט, אבל אני מן הסתם לא יודע הכל).

יכול להיות שסלקום סתם מחרטטים ראשי תיבות בכדי לתת ללקוחות הרגשת ביטחון חמימה ונעימה?!

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

יום עיון בקריפטולוגיה, בטכניון, 7 ביולי 2009

הצפנה בעיניי היא באמת ה-Hi-End של אבטחת המידע. האנשים הבאמת חכמים של התחום (טוב, כל מי שעשה בגרות מתמטיקה 5 יחידות (ומעלה כמובן) הוא חכם בעיניי…), אפילו שמדובר יותר בחישובים ופחות ב"חוכמת הרשת" של עבודת היום-יום של אנשי האבט"מ וההאקרים.
הרי הדברים החשובים (נקווה…) אמורים להיות מוצפנים כך שגם אם הגיעו אליהם, עדיין צריך לפענח את ההצפנה.

בכל מקרה, דרך אבי וייסמן מ-IFIS קיבלתי בדוא"ל את ההזמנה הבאה ליום עיון בקריפטולוגיה – CryptoDay2009, בטכניון שבחיפה, ביום שלישי, 7/7/2009. המארגנים מבקשים להירשם מראש, ASAP, בדף מתאים בקישור הנ"ל, לצורך הערכת כמות המשתתפים.
אמנם ההזמנה (בהמשך) ואתר יום העיון הם בעיקר באנגלית, אבל בהזמנה רשום שההרצאות יינתנו בעברית.

להלן טקסט המקורי של ההזמנה (אני רק הוספתי קישורים לאתרי הבית של הדוברים ביום העיון):

Shalom,

On Tuesday 7/7/2009 12:30-17:50 we will hold a workshop on cryptology (CRYPTODAY 2009) in the Computer Science department at the Technion. The speakers will be Moni Naor, Amir Herzberg, Tal Mor, Benny Pinkas, and Yaniv Carmeli.

The workshop will be given in Hebrew.

Participation is free, and everybody is welcome. In order to know how many people will participate, we kindly ask participants to register through the site as soon as possible.

Please distribute this announcement in your institution and to any interested party. A poster for information boards can be sent to you (please ask by email), or be downloaded and printed from the site.

Hope to see you there,

Eli Biham and Yaniv Carmeli

—————————————————————————-
Eli Biham, Dean                    Dean's office phone: +972-4-8294261/2
Computer Science Department        Dean's office fax:   +972-4-8294353
Technion, Haifa 32000, Israel      Private phone/fax:   +972-4-8294308
email: biham {shtrudel} cs.technion.ac.il     WWW: http://www.cs.technion.ac.il/~biham/

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...