Dvije velike američke banke - HSBC i Chase - "rade na posuđenom vremenu" sa svojom sigurnošću internetskog bankarstva.
Chromeova sigurnosna značajka označila je HSBC-ovu stranicu za internetsko bankarstvo
Posljednja stvar o kojoj biste mogli pomisliti kada se prijavljujete na svoje stranice internetskog bankarstva je "je li ova stranica stvarno sigurna?" Skloni ste to uzimati zdravo za gotovo.
Ali ako ste posljednjih dana posjetili bankarske divove HSBC i Chase, možda vam nedostaje nešto što biste trebali obično očekujete -- adresna traka vašeg preglednika svijetli svijetlo zeleno kako bi vas uvjerila da je vaša veza uspostavljena siguran.
To je zato što Chrome, koji koristi više od jedne trećine svih posjetitelja web stranica američke vlade, označava ove dvije stranice -- i mnogi drugi -- kao korištenje "slabe sigurnosne konfiguracije", dok vas upozorava da vaša veza "možda nije privatna."
Vidi također
Službeno je: NSA špijuniranje šteti američkoj tehnološkoj ekonomiji
Kina se povlači od američkih tehnoloških marki za državnu kupnju dok otkrića NSA-e nastavljaju biti naslovnice u novinama diljem svijeta.
Čitaj SADIstraživači sigurnosti kažu da stvari nisu tako loše kao što mislite. Uostalom, iste web stranice posjećene u Internet Exploreru, Firefoxu i Safariju izgledaju kao "sigurne".
Ali to je daleko od toga da bude onoliko dobro koliko bi moglo biti -- i moglo bi predstavljati značajan rizik za sigurnost korisnika ako se ne kontrolira.
"Opasno slab"
Chrome će označiti web-mjesta HSBC-a i Chasea jer koriste sigurnosni certifikat koji se koristi za šifriranje protoka podataka između vašeg računala i web-mjesta, potpisan s "opasno slaba" SHA-1 kriptografija, kaže stručnjak za šifriranje Eric Mill.
Dobra vijest je da je SHA-1 u međuvremenu zamijenjen novijom, boljom verzijom -- prikladno nazvanom SHA-2. Loša vijest je da se SHA-1 još uvijek koristi za potpisivanje oko 90 posto svih sigurnosnih certifikata web stranice, a hakeri su svake godine bliže pronalasku napada koji im omogućuje dešifriranje sigurnog prometa.
"Kako vrijeme prolazi, istraživači otkrivaju nove slabosti u algoritmima raspršivanja, a brži hardver olakšava iskorištavanje tih slabosti", rekao je Mike MacCana, osnivač SSL startupa CertSimple, u e-poruci. "Rezultat je da postaje moguće stvoriti dva dokumenta s različitim sadržajem, ali istim hashom, dakle digitalni potpis se može ponovno upotrijebiti na drugom dokumentu -- omogućujući hakerskim skupinama, organiziranom kriminalu i vladama lažno predstavljanje drugi."
Zato će najnovije verzije preglednika Chrome ove stranice označiti kao potencijalno rizične.
Google, koji razvija preglednik, ranije je rekao da hoće više ne prihvaća SHA-1 certifikate u 2017. (Microsoft i Mozilla će također slijediti primjer.)
Jednostavno rečeno, te "sigurne" web stranice neće se još dugo činiti sigurnima.
"Rad na posuđeno vrijeme"
Sigurnosni stručnjak Dan Kaminsky rekao je u e-poruci da je Chrome "iznimno agresivan" u odbacivanju SHA-1. "Za razliku od gotovo svega ostalog u sigurnosti, kriptografska kvaliteta se lako mjeri", dodao je.
Drugim riječima, ove crvene zastavice su se mogle izbjeći.
Prema programerima Chromea, zastarjelo upozorenje može značiti da veza između vašeg računala i stranice koristi zastarjeli paket šifri. Za dobivanje statusa "moderne kriptografije", pišu programeri, potrebna je tajnost prosljeđivanja i najnoviji paket šifri.
Pročitaj ovo
Kako je ovaj jedan bezazleni tweet mogao hakirati bankovni račun
Čitaj SADKriptograf Justin Troutman rekao je u e-poruci da HSBC i Chase "rade na posuđeno vrijeme", ali stranice ne predstavljaju neposrednu opasnost za klijente.
"Najbolje je preuzeti osjećaj praktične paranoje, gdje aktivno poduzimamo korake da se udaljimo od funkcija koje pokazuju znakove neuspjeha", rekao je. "U međuvremenu, oni moraju zakoračiti na ploču i migrirati na SHA-2. To je u ovom trenutku logičan korak naprijed. Ne mislim da je Firefox u krivu kada ove stranice označava kao sigurne, jer vjerojatno i jesu, za sve namjere i svrhe (trenutno)."
MacCana, čija tvrtka pomaže drugim tvrtkama da poboljšaju svoje online prakse, rekao je da postoji "zabrinjavajući nedostatak pozornosti na sigurnost njihovih web stranica".
"Rješenje za vlasnike web stranica da spriječe ove napade -- i riješe se Chromeovih upozorenja -- je jednostavno: prijeđite na SHA2 certifikat. Većina dobavljača SSL-a omogućit će vlasnicima web stranica da ponovno unesu postojeće certifikate bez dodatnih troškova," rekao je.
Ni HSBC ni JP Morgan, koji je vlasnik Chasea, nisu dali komentar u vrijeme pisanja. Ako nam se javi, ažurirat ćemo priču.