Zespół z Poznańskiego Centrum Superkomputerowo-Sieciowego opublikował raport, w którym przeanalizowano bezpieczeństwo implementacji szyfrowania SSL w polskich bankach i instytucjach finansowych.

Szyfrowanie SSL jest często traktowane nieco "po macoszemu" przez integratorów uruchamiających serwisy bankowe. Niesłusznie. Protokół SSL od powstania w 1993 roku przechodził wiele metamorfoz, które w większości służyły załataniu odkrywanych w międzyczasie dziur lub podnoszeniu długości kluczy szyfrujących.

Z raportu wynika, że ponad 60% banków nadal umożliwia klientom połączenie z użyciem starego i podatnego na ataki protokołu SSLv2, 63% z nich oferuje szyfry blokowe, które dawno temu powinny zostać wyłączone ze względu na zbyt krótki klucz. Do niektórych banków można się połączyć "szyfrowaniem bez szyfrowania", to jest po SSL ale z wyłaczonym szyfrowaniem.

Opisane błędy nie są ziejącymi dziurami, które stanowią natychmiastowe zagrożenie dla klientów banków. Są jednak czynnikami osłabiającymi bezpieczeństwo bankowości internetowej i mogą znaleźć zastosowanie podczas przyszłych ataków prowadzonych przez phisherów.

O tym, że nie jest to zagrożenie wydumane, świadczy chociażby ostatni przypadek sięgnięcia przez phisherów po legalne certyfikaty SSL.

Pełny raport można znaleźć pod adresem http://security.psnc.pl/reports/e-banking_polska_ssl_report.pdf