สามธนาคารไทยปรับปรุง HTTPS ในสัปดาห์เดียวกัน ไม่มีใครมีช่องโหว่ร้ายแรงแล้ว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 19 February 2016 - 12:34 Tags:
Topics: 
Security
Thailand
Banking
Node Thumbnail

เมื่อวันเสาร์ที่แล้วมีรายงานทดสอบความปลอดภัยของการตั้งค่า TLS โดย rtsp จาก INOX สำหรับการเข้าเว็บธนาคารออนไลน์ของธนาคารในไทย และถูกแชร์ไปตามเว็บเครือข่ายสังคมออนไลน์หลายแห่ง วันนี้รายงานล่าสุดหลายธนาคารปรับปรุงจนไม่มีใครมีช่องโหว่ร้ายแรงแล้ว

รายงานก่อนหน้านี้เว็บ ktbnetbank.com มีการตั้งค่าที่เปิดช่องโหว่ POODLE เอาไว้ (ช่องโหว่รายงานมาตั้งแต่ปี 2014) ทำให้ SSL Labs ให้เกรดเป็น F ทันที ขณะที่เว็บ click.ktc.co.th รองรับการเข้ารหัส RSA-512 (ช่องโหว่รายงานต้นปี 2015) ได้เกรด F ไปเช่นกัน

หลังรายงานนี้เผยแพร่มาแล้ว 6 วันตอนนี้สามเว็บปรับปรุงขึ้นอย่างมาก ได้แก่ scbeasy.com (เดิม C มาเป็น A-), ktbnetbank.com (เดิม F มาเป็น A-), click.ktc.co.th (เดิม F มาเป็น C) ทำให้รายการทั้งหมดไม่มีใครได้เกรด F อีกแล้ว

ที่มา - SSL Security Test: Online Banking in Thailand (Feb 19, 2016, Feb 13, 2016)

alt="upic.me"

Get latest news from Blognone

Comments

By: specimen
Windows PhoneAndroid
on 19 February 2016 - 12:39 #885965
specimen's picture

เห็นรายงานนั้น ในเว็บนอก ส่งมาโดย google now
ยังคิดอยู่เลยว่า งานระดับนี้ มีคนรับผิดชอบระดับนี้ ปล่อยให้เป็นแบบนี้ได้ไง
สุดท้าย ต้องรีบแก้จริง ๆ ก่อนจะเสียชื่อหนักกว่านี้

By: jaideejung007
ContributorWindows PhoneWindows
on 19 February 2016 - 12:42 #885967
jaideejung007's picture

นอกเรื่องนะครับ

พอดีเครื่องผมใช้ KIS2016 License

เวลาเข้าเว็บ ktbnetbank.com มันขึ้นตามภาพ (สังเกตุตรง Chorme ยืนยันว่า K....)
No Description

ถือว่าปกติอยู่ใช่มั้ยครับ

และทำไม KIS ต้องมาออกยืนยันเองด้วย แก้ไขได้ไหมนะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 19 February 2016 - 12:44 #885969 Reply to:885967
lew's picture

คุณลง antivirus ในเครื่องคุณเองแล้วมันทำ MITM (ในเครื่องคุณเอง) ไม่เกี่ยวกับธนาคารครับ

lewcpe.com, @wasonliw

By: hs0wkc
iPhoneAndroidWindows
on 19 February 2016 - 12:47 #885970 Reply to:885967
hs0wkc's picture

jaideejung007 จาก http://1080ip.com ใช้ไหมครับ

By: jaideejung007
ContributorWindows PhoneWindows
on 19 February 2016 - 14:40 #886035 Reply to:885970
jaideejung007's picture

คนๆ เดียวกันครับ

และยินดีที่ได้รู้จักครับ ใช้ยูสเซอร์เนมที่นั่นอะไรครับผม

By: Freedomlover
AndroidRed HatUbuntuWindows
on 19 February 2016 - 12:54 #885972 Reply to:885967

ตรงนี้ปิดได้ครับ ที่ settings > additional > network

ในส่วน Encrypted connections scanning ครับ

By: Thaitop_BN
Windows PhoneUbuntuWindows
on 20 February 2016 - 06:42 #886191 Reply to:885972
Thaitop_BN's picture

ขอบคุณครับ ปิดละ ทำบางเว็บตอบสนองช้า ก็สงสัยอยู่ แต่นึกว่าเป็นเพราะเน็ตมากกว่า(ลองเปลี่ยน AV ช่วงเปลี่ยนเน็ตพอดี)

By: atheist
AndroidUbuntuWindows
on 19 February 2016 - 13:00 #885974 Reply to:885967

ถ้าใช้ Avast! รุ่นปัจจุบัน ระบบ MITM มันจะไม่แตะเว็บธนาคาร หรือเว็บแนว ๆ ข้อมูล sensitive มันจะ bypass อัตโนมัติ

By: wichate
Android
on 19 February 2016 - 13:15 #885987 Reply to:885967

Antivirus แอบอ่านข้อมูลทางการเงินของคุณแล้วครับ รีบแก้ไขด่วน

By: jaideejung007
ContributorWindows PhoneWindows
on 19 February 2016 - 14:48 #886039 Reply to:885967
jaideejung007's picture

ขออนุญาตตอบเม้นท์เดียวเลยนะครับ (กลัวโดนแจ้งว่าเป็นสแปมเม้นท์)

@lew แล้วแนะนำให้เปิดใช้งานต่อไปมั้ยครับ หรือปิดไปเลย รบกวนด้วยครับผม
@Freedomlover โอ้ มันสามารถปิดได้นี่เอง ขอบคุณมากครับ
@atheist แต่ KIS206 มันตั้งเป็นค่ามาตรฐานมาให้แบบนี้เลย ตกใจมาก
@wichate คุณพระ!

By: lancaster
Contributor
on 19 February 2016 - 14:56 #886043 Reply to:886039

โดยส่วนตัวผมปิดหมดครับ

ประโยชน์ของมันคือเอาไว้สแกนเนื้อหาของเว็บไซต์ที่คุณกำลังเข้าว่ามี malware หรือเปล่า คงต้องลองพิจารณาความเสี่ยงจากพฤติกรรมการใช้เว็บของเราเองครับ

By: hs0wkc
iPhoneAndroidWindows
on 19 February 2016 - 12:43 #885968
hs0wkc's picture

เหมือนนักเรียนเลย ติด F แต่ดีหน่อยไม่มีมี เปอร์

By: games2532
ContributoriPhoneWindows PhoneAndroid
on 19 February 2016 - 13:01 #885976

ผมว่าอีกสามธนาคารที่ยังได้เกรด C กับ B ควรพัฒนาให้เหมือนคนอื่นก็จะดีมากเลยนะครับ

ปล.สองในสามที่ติดสีเหลืองผมใช้อยู่ด้วยสิ = ="

By: icez
ContributoriPhoneAndroidRed Hat
on 19 February 2016 - 13:07 #885979

ลาก่อน IE8 + Windows XP

By: osmiumwo1f
ContributorWindows PhoneWindows
on 19 February 2016 - 13:37 #886002
osmiumwo1f's picture

ไม่โดนกระทุ้งคงไม่ปรับปรุงเลยมั้งครับ

By: Architec
ContributorWindows PhoneAndroidWindows
on 19 February 2016 - 13:46 #886006

เว็บไทยโพส.... ธนาคารเงียบ

เว็บต่างประเทศโพสประจาน.... แก้ไขอย่างเร็ว

อืม...นะ

By: nrml
ContributorIn Love
on 19 February 2016 - 13:50 #886008 Reply to:886006
nrml's picture

ผู้บริหารอ่านภาษาไทยไม่ออกมั้งครับ :D

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 19 February 2016 - 13:50 #886009 Reply to:886006
Ford AntiTrust's picture

คุณ rtsp ที่โพสนี่คนไทยครับผม

By: xx555
ContributoriPhone
on 19 February 2016 - 14:57 #886046 Reply to:886006

ยังนับว่า มีพัฒนาการขึ้นเยอะครับ

2-3ปีที่แล้ว ถ้าคนโพสมาแบบนี้ เผลอๆโดนแจ้งจับ หรือ ฟ้องหมิ่นประมาทด้วยซ้ำ

By: 255BB
Android
on 19 February 2016 - 14:10 #886023

ใช้ทั้ง KTB ,KTC โอนเงิน จ่ายค่าบัตรออนไลน์ตลอด เพิ่งรู้ว่าก่อนหน้านี้มีช่องโหว่ขนาดนี้ - -'

By: xx555
ContributoriPhone
on 19 February 2016 - 14:56 #886044

จากเหตุการณ์ในครั้งนี้ ทำให้ผู้บริหารแบงค์ตัดสินใจ ลอยแพผู้ใช้หลายหลาย ที่ยังใช้ ie6 เลยครับ

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 19 February 2016 - 16:22 #886059 Reply to:886044
Ford AntiTrust's picture

ลอยแพมาตั้งแต่ปีก่อนที่เปลี่ยน SSL/TLS Certificate มาใช้ SHA2 แล้วครับ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 19 February 2016 - 17:35 #886079 Reply to:886044

คนไทยที่ใช้ ie6 เปิดเว็บธนาคารถ้าไม่จำเป็นจริงๆผมว่าน้อยมากๆเลยครับ เปิดเว็บทั่วไปแทบไม่ได้แล้ว คนใช้คอมไม่เป็นยังรู้เลย

By: toooooooon
iPhoneWindows PhoneAndroidBlackberry
on 19 February 2016 - 16:20 #886058

256RSA ส่วน SSLV3 นั้น ต้องวัดใจ ว่าจะเปิดดีไหม แค่ปิด SSLV3 นี่คะแนนขึ้นบาน
ถ้าปิด IE6 + XP ก็เข้าเว็บไม่้ได้

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 19 February 2016 - 16:27 #886062 Reply to:886058
Ford AntiTrust's picture

SSLv3 ส่วนของ DMZ โดนสั่งปิดแน่นอนครับ (จริงๆ ต้องปิดตั้งแต่ปีก่อนแล้วแหละ) บางธนาคารปิดไปนานแล้ว ส่วนปีนี้คงปิดหมดแหละครับ เพราะหากไม่ทำ audit ไม่ผ่าน

By: PH41
ContributorAndroidUbuntuWindows
on 19 February 2016 - 21:55 #886144
PH41's picture

ผมนี่รีบปรับปรุงเลย ได้จาก C เป็น A แล้ว

By: Avexiouz
AndroidUbuntuWindows
on 19 February 2016 - 22:18 #886155

ลองเว็บในเครือธนาคารอื่นๆ พวกหุ้น/กองทุน
bualuang.co.th ได้ F
thanachartfund.com ได้ C
krungsriasset.com ได้ C

แต่ที่น่าแปลกใจคือ order.tmbam.com ได้ A แบบถ้วนๆ ไม่ติดลบ
ทั้งๆที่ ME ควรจะซีเรียสกว่า แต่ยังได้แค่ B

By: xeoros
AndroidRed HatSUSEUbuntu
on 20 February 2016 - 00:13 #886174 Reply to:886155

Vendor คนละเจ้ากันคงทะยอยเรียกมาแก้มั้งครับ :) เดาล้วนๆ นะ

By: Polwath
ContributoriPhoneWindows PhoneAndroid
on 20 February 2016 - 08:52 #886211 Reply to:886155
Polwath's picture

ก็จริงแฮะ MEbyTMB น่าจะได้คะแนนสูงกว่าเว็บลงทุน ทั้งๆที่มีระบบ OTP อยู่แล้ว มีระบบจำกัดเยอะมาก (แต่ผมก็ยังใช้งานอยู่นะ)

เท่าที่ผมใช้มา เว็บ Portal ของ BBL เสถียรสุดแล้ว ปลอดภัยพอสมควร สามารถดูยอดเงินและกองทุนได้ในตัวเลย ไม่ต้องเปิดแยกเหมือนของ TMB ที่ยังแยกกันอยู่

Get ready to work from now on.

By: xinexo on 20 February 2016 - 17:25 #886312

ธนาคารแต่ละธนาคารนี่ฟิตจริงๆ ลองเล่นล่าสุดตอนนี้ของ KTB กลายเป็น A แล้ว ผ่านไปแค่ 3 วัน ดีขึ้นเร็วจริงๆ

แอบดีใจที่เห็นธนาคารไทยเห็นความสำคัญกับ Security มากขนาดนี้ เวลาโอนเงินจะได้สบายใจหน่อย

By: Avexiouz
AndroidUbuntuWindows
on 20 February 2016 - 22:17 #886353 Reply to:886312

กรุงไทยเค้าฟิตจริงๆ บัตรเครดิตจาก F เป็น C ล่าสุดก็เป็น A- แล้ว

By: nrml
ContributorIn Love
on 21 February 2016 - 02:34 #886390 Reply to:886353
nrml's picture

จริงๆ ควรจะฟิตเรื่อง UX ของแต่ละ services ด้วยนะ :'(

By: PH41
ContributorAndroidUbuntuWindows
on 21 February 2016 - 10:24 #886421
PH41's picture

แต่อันนี้ประเมินได้แต่ SSL ยังไม่ได้ประเมิลช่องโหว่อย่างอื่น
มีใครมีเว็บไซต์ หรือเครื่องมือประเมินอย่างอื่นด้วยหรือป่าวครับ?

port อะไรเปิดอยู่, port อะไรควรปิด, OS เก่าไป, ไม่อัพแพท