25 февраля, воскресенье 09:04
Bankir.Ru

Объявление

Свернуть

Приглашаем всех желающих на конференцию Bankir.ru о проблемах взаимодействия банков и МСБ

Показать больше
Показать меньше

Найдена и устранена ошибка в iBank 1.8.1.x

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Найдена и устранена ошибка в iBank 1.8.1.x

    В ходе анализа исходных текстов механизмов защиты информации, используемых в версиях до 1.8.1.х системы "iBank" включительно, компания "БИФИТ" выявила и устранила потенциальную уязвимость в механизме ЭЦП, основанную на использовании криптографически нестойких генераторов случайных чисел, встроенных в Java-машины Web-браузеров Microsoft Internet Explorer и Netscape Communicator.

    Суть найденной уязвимости сводилась к потенциальной возможности Банка по электронному документу с ЭЦП клиента восстановить секретный ключ ЭЦП клиента. Внешний злоумышленник из Интернет, а также сотрудники банка, не имеющие доступа к Серверу БД системы "iBank" даже теоретически не могли воспользоваться обнаруженной уязвимостью.

    Атаку на восстановление секретного ключа ЭЦП клиента теоретически может провести только банковский Администратор системы "iBank". Уровень сложности реализации такой атаки достаточно высок, требует глубоких знаний в области Java, фундаментальных знаний в криптографии и сравним с уровнем сложности атаки, направленной на встраивание банковским Администратором в Java-апплеты механизма похищения секретного ключа ЭЦП клиента и его передачи в банк.

    Для исправления ситуации компания "БИФИТ" провела модификацию исходных текстов системы. В качестве генератора случайных чисел теперь используется криптографически стойкий генератор SecureRandom, являющийся модификацией SecureRandom из JDK 1.1.7, и основанный на измерении разности временных интервалов при запуске большого количества потоков для формирования стартового вектора (seed), и использовании хэш-функций при генерации случайных чисел.

    Компания "БИФИТ" незамедлительно устранила выявленную ошибку, выпустив новую версию 1.8.2 системы "iBank" и пакет обновлений для более ранних версий 1.8.1.х. В настоящее время подавляющее большинство банков уже провели обновление системы "iBank" до версии 1.8.2.

    Компания "БИФИТ" заявляет, что будет и впредь стремиться к публичной открытости в вопросах информационной безопасности разрабатываемых ею программных продуктов. Компания "БИФИТ" всегда готова предоставить всем заинтересованным сторонам доступ к исходным текстам используемых механизмов защиты информации.

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    >> "БИФИТ" выявила и устранила потенциальную уязвимость
    >> в механизме ЭЦП, основанную на использовании
    >> криптографически нестойких генераторов
    >> случайных чисел,

    Кажется я представляю себе о чем идет речь
    На самом деле, генератор случайных чисел не используется
    в механизме подписывания (если у них действительно ГОСТ), а используется при генерации пары секретного и открытого ключа клиента.

    Так вот, мне кажется, что Димитрий слукавил на счет
    (цитата) "нестойких генераторов случайных чисел, встроенных в Java-машины Web-браузеров Microsoft Internet Explorer и Netscape Communicator."
    На самом деле речь идет не о генераторе случайных чисел
    от МS и NS, а о генераторе случайных чисел, который придумал сам Бифит (а именно о генерации случайной (в ковычках) последовательности, которая затем хешируется
    для получения секретного кюча).

    Так вот, если это так, то одним патчем то не обойтись.
    А придется перегенирировать все ключи всех клиентов.

    В общем, меня поправят если что не так.
    WBR
    serg

    Комментарий


    • #3
      Во-первых,е сли есть желающие до исходников - всем зеленный свет, без исключений!

      Теперь о предположении Фурова (aka sharpcat).

      Нет, Сергей, речь идет именно о генерации K в процедуре формирования ЭЦП (0kq). Баг заключался в использовании родного Java-вского генератора Random, который как раз и является криптографически нестойким.

      Что касается модифицированного нами SecureRandom, то это родной SecureRandom из JDK 1.1.7 c изменениями, коснувшимися увеличения с 20 байт до 32 байт seed'а, и использование в качестве хэша ГОСТа вместо SHA-1.

      Как по известному K (К - подбирается, сравнивая r' из ЭЦП с {a^k mod p} mod q), известной хеш-функции (h) и ЭЦП (r' и s) востанавливать секретный ключ (X) рассказывать ?

      Ланкрипто уже подсуетилась и на волне с использованием ранее некачественного ГСЧ написала bifitcrack, который, судя общению с банками и по пришедшему факсу из банка, предлагается банкам на определенных условиях

      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com
      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com

      Комментарий


      • #4
        >>>(0kq)

        Да, запамятовал, действительно там есть генератор случайных чисел. Действительно, так даже проще хакнуть.

        Тем не менее, покуда существует програмка bifitcrack,
        придется перегенерировать ключики клиентов
        WBR
        serg

        Комментарий


        • #5
          Сергей, ты будешь смеяться, но один из банков, узнав о сути бага, сказал что это не баг, а фича

          И кстати достаточно большое кол-во банков при этом упомянули, что в общем-то они сами генерируют секреные ключи ЭЦП клиентов и передают онные на дискете клиентам

          С уважением, Репан Димитрий
          Компания "БИФИТ"
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            Димитрий, прокомментируйте, пожалуйста (сообщение сегодняшнее): речь идет о том же?

            ВЗЛОМАНА СИСТЕМА ИНТЕРНЕТ-БАНКИНГА "БИФИТ"

            CNews.ru. 12:54:21

            Сегодня Yтром в редакцию CNews.ru поступило письмо, подписанное Алексеем Волчковым, президентом компании "РусКрипто", в котором сообщается, что 14 августа 2001 г. компанией "ЛАН Крипто" было заявлено о взломе защиты в известной системе интернет-банкинга компании "Бифит", используемой десятками российских банков. Как сообщил CNews.ru президент компании "ЛАН Крипто" Анатолий Лебедев, официального сообщения для прессы об этом не делалось и письмо, разосланное в Интернете, не является его инициативой.
            Помимо прочего, в письме с обратным адресом "Волчков Алексей Анатольевич volchkov@gsmrus.ru", говорится следующее:
            "Для проведения атаки необходимо иметь один подписанный клиентом документ. В результате, в течение незначительного времени (от нескольких минут до 5-6 часов) восстанавливается секретный ключ подписи (компьютер PII 500). Взлом стал возможен благодаря неграмотной реализации системы ЭЦП, в частности, из-за использования датчика случайных чисел собственной разработки. Тексты программ для взлома можно получить на сайте "ЛАН Крипто" www.lancrypto.com. Консультации по телефонам компании. Список некоторых банков, использующих систему "Бифит" можно найти на http://www.internetfinance.ru/banking/services".
            По словам Анатолия Лебедева, информация о публикации текста хакерской программы на сайте "Лан Крипто" не соответствует действительности. Подробности скандала и подробные комментарии г-на Лебедева и других участников CNews обещает сообщить чуть позже.

            Комментарий


            • #7
              >>> что в общем-то они сами генерируют секреные
              >>> ключи ЭЦП клиентов и передают онные на
              >>> дискете клиентам

              Таким образом, генерация ключей клиентов в банке стала
              еще одним достоинством системы iBank.

              Блин, как интересно развиваются события!

              Покупаем кока-колу и попкорн и рассаживаемся по удобнее.
              Шоу начинается!
              WBR
              serg

              Комментарий


              • #8
                Да что рассказывать-то? Об отношении к устным джентельменским соглашениям со стороны ЛанКрипто? Зачем?! Они и так себя прекрасно проявили!

                В выпущенном первом пресс-релизе следуя этическим нормам ведения бизнеса, мы вообще не стали упоминать участие ЛанКрипто, ибо у нас нет цели подорвать имидж этой компании, какие бы люди там не работали.

                К сожалению у меня нет на руках нотариально заверенной копии Договора на проведение экспертизы по заказу одного из банков. Но я читал окончательный проект Договора (кстати оба экземпляра которого по нерасторопности банковских автоматизаторов с их же слов почему-то оказались у ЛанКрипто и назад не возвращаются). Я встречался с Лебедевым и обсуждал планируемую экспертизу.

                Что еще интересует? То, что по банкам за подписью президента ЛАН Крипто А.Лебедева рассылается факс с грозным предупреждением? Да пустое это.

                Какой урок из всего этого? Да самый что ни на есть простой - только исходные тексты, а не какие-то увещевания разработчиков, являются истинным доказательством правильности реализации тех или иных механизмов защиты. Иначе и быть не может.

                Да, мы выбрали именно эту позицию. И в нашей реализации был найден баг. Мы этого не скрывали и все банки уведомили. Рассказали в чем суть бага и к чему это приводит. Баг устранили. Если будут вылавливаться другие баги - будем устранять и их.

                А вот где гарантия, что нет багов в СКЗИ, чьи исходники публично не доступны? Только лишь авторитет и доброе имя разработчика?!

                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com
                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com

                Комментарий


                • #9
                  Прекрасный аргумент, чтобы хранить платежи клиентов в базе ИБ в зашифрованном виде .
                  И все-таки я не понял, программа для взлома Бифита была выложена на сайте разработчика криптозащиты?!

                  Разумеется, во всем этом пиара гораздо больше, чем реальной угрозы безопасности. И не вовремя, конечно, я набросился на Димитрия, но очень надеюсь, что Бифит держит удары. Без него на рынке ИБ в России было бы очень скучно .

                  Комментарий


                  • #10
                    У господ из Ланкрипто нет программы взлома непосредственно iBank'а - опыта мало. Да и подсудное это дело - статья 273 УК РФ. И здесь только дай повод Управлению Р.

                    Волчков с Лебедевым говорили о наличие программы востановления BifitPrivateKey для непосредственно тех исходников, что мы им передали.

                    С уважением, Репан Димитрий
                    Компания "БИФИТ"
                    С уважением, Репан Димитрий
                    Компания "БИФИТ" - www.bifit.com

                    Комментарий


                    • #11
                      БИФИТ! Единожды солгав, да кто тебе поверит.
                      Восстановление секретного ключа (key recovery) - мечта ФАПСИ и иже с ними.
                      Вы сами заявили что:
                      1. Заключен Договор с ГУП "НТЦ "Атлас" и начаты работы по проведению экспертизы по оценке возможности компании "БИФИТ" осуществлять лицензируемые ФАПСИ виды деятельности, связанные с предоставлением услуг, техническим обслуживанием и распространением СКЗИ.
                      2. Встраиваете сертифицированные ФАПСИ СКЗИ

                      Из наличия т.н. ошибки можно сделать два вывода:
                      1. Это действительно не баг, а фича, Вы же согнулись под ФАПСИ и сделали backdoor
                      2. Вы безграмотны в области защиты информации и проглядели дыру в своей системе.

                      В любом случае наскоро сделанная заплатка никаких гаранти качества защиты не дает. Тем более, что Вы не несете ответственности за надежность защиты, в отличие от некоторых других команий.

                      Следовательно Вашим продуктам с Вашей криптографией КАЮК.

                      Комментарий


                      • #12
                        Уважаемый Криптолог!

                        Мы как раз и сремимся получить Лицензии ФАПСИ на техническое обслуживание и распространение для поставки нашего Интернет-Банкинга iBank c сертифицированными ФАПСИ криптобиблиотеками. Такие продукты на рынке есть. Но вот продукты от ЛАН Крипто к их числу почему-то не относятся, хотя по цене не скажешь

                        Криптолог, Вы законы стремитесь соблюдать? Вы читали определения шифросредств? Специально для Вас:

                        (Система сертификации СКЗИ)
                        POCC RU.0001.030001 от 15.11.93

                        (извлечение)

                        К шифровальным средствам относятся:

                        - реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;

                        - реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;

                        - реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";

                        - аппаратные, программные и аппаратно-программные средства, системы комплек-сы изготовления ключевых документов для шифровальных средств независимо от вида носителя ключевой информации.


                        Или Вы анархист и не признаете ФАПСИ? А может у Вас паранойя в отношении встраивания ФАПСИ закладок в сертифицированные СКЗИ, навеянная филосовскими рассуждениями больших криптографов, работающих на технологическом рынке, но не соблюдающих законы и не имеющих Лицензий ФАПСИ? Или шифрование уже стало прераготивой КосТехКомисси?!

                        Уважаемый Криптолог. Вы смотрели исходники bifitcrack'а? Вы знаете как Ланкрипто подбирает случайный параметр K ? Вы знаете, почему Волчков в пятницу с утра мне на мобилку звонил каждые пять минут и требовал с меня контрольного примера?

                        Вы знаете как конкретно воспользоваться этим багом в конкретных условиях, а не в общем случае? Волчков еще в пятницу мне сообщил, что якобы подделал ЭЦП под присланной банком платежкой с ЭЦП, а потом весь понедельник вместе с Лебедевым требовали с этого же банка правила формирования из платежки строки, которая подписывается! Да у них не хватило ума даже собрать из набора полей обычную платежку и вычислить хэш-функцию! И это профессионалы, которые взламывают системы?!

                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com
                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com

                        Комментарий


                        • #13
                          И самое главное. Кому БИФИТ что-либо солгал? Мы прокололись. Мы не стали скрывать информацию. Мы всем об этом сообщили. И мы исправили ситуацию. Где ложь? В чем она?

                          Что касается профессионализма - я не хочу публично меряться размерами. Ни с Ланкрипто, ни к кем либо еще. Я знаю наши возможности. И они соответствуют заявленным. В отличие от других "специалистов по информационной безопансости".

                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com
                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com

                          Комментарий


                          • #14
                            Всем добрый день!

                            Интересная ситуация сложилась.
                            Очень показательная и поучительная.

                            Мне нравится, как Дмитрий держится в сложной ситуации. Я знаком с ним уже несколько лет, до того как была создана компания Бифит. Я тогда работал в банке и контактировал с ним по рабочим вопросам.

                            Мои наилучшие пожелания Дмитрию и его компании в преодолении промежуточных проблем. Могу только посоветовать, не спорить по мелочам и не стараться переубедить всех. Умные головы и сами сделают выводы.

                            Нет систем без ошибок. Есть компании, которые решают проблемы быстро и конструктивно.

                            Удачи.

                            С уважением, Рыжиков Сергей.
                            Компания 'Битрикс'.
                            www.bitrix.ru

                            Комментарий


                            • #15
                              Димитрий

                              И самое главное. Кому БИФИТ что-либо солгал? Мы прокололись. Мы не стали скрывать информацию. Мы всем об этом сообщили. И мы исправили ситуацию. Где ложь? В чем она?
                              Бифит не солгал, а облажался. Точнее, поплатился за "пальцы" и самоуверенность. Не Вы ли, Дмитрий, некоторе время назад активно упирались, что лицензии ФАПСИ вообще вам не нужны, что у вас самые крутые криптографы и программисты? Совершенно справедливо кто-то заметил, что программ без ошибок не бывает. Если ошибки программирования находятся и устраняются более-менее легко, то такие неочевидные проколы могут найти только специалисты. Дабы меня не обвинили в расхваливании Лан-Крипто, сразу скажу, что к ним в этом вопросе у меня отношение не лучше, они сами были в аналогичной ситуации, когда ФАПСИ продемонстрировало возможность подделки ЭЦП их разработки.
                              Интересная тенденция получается. Сначала Вы отвергаете необходимость лицензий вообще, затем (видимо, когда с вас потребовали наличия сертифицированной криптухе в продукте), вы начинаете оформлять лицензию на распространение. Но ведь у вас так и нет лицензии на разработку криптосредств! Странный нигилизм для человека, который все же прочитал упоминаемую здесь "Систему сертификации...". Мало прочитать описание алгоритма и закодить его на знакомом языке, существует еще масса тонкостей, которые известны и выполняются фирмами, имеющими лицензии на разработку, а также проверяются при сертификации. Вы встали на самые очевидные грабли - некачественный ГСЧ (даже не хочу вникать чей он, ваш или встроенный, это не важно). Вместо того, чтобы уповать на "открытость исходников" их надо было сертифицировать.
                              Короче, в очередной раз убеждаюсь, что дело можно иметь только с имеющими лицензию, а продукты покупать только с сертификатом. Неважно, идет ли речь о колбасе или о СКЗИ.
                              Кстати, так и не могу понять одной вещи. Если народ жаждет сертифицированных СКЗИ в составе i-bank, фирма Бифит считает себя крупным специалистом в области создания оных, почему бы ей не получить лицензию на разработку и не сертифицировать свой продукт? Боитесь, что не сможете выполнить требования, необходимые для получения лицензии или не хватит навыков доработать продукт до уровня сертифицируемого? Это "ж" не спроста...
                              Earl Vlad Drakula. ///

                              Комментарий


                              • #16
                                отправил hugevlad
                                Если ошибки программирования находятся и устраняются более-менее легко, то такие неочевидные проколы могут найти только специалисты.
                                Именно это мы и сделали - нашли далеко неочевидный прокол. Ведь все контрольные примеры проходили как раз на ура, все результаты работы совпадали...

                                Кстати, так и не могу понять одной вещи. Если народ жаждет сертифицированных СКЗИ в составе i-bank, фирма Бифит считает себя крупным специалистом в области создания оных, почему бы ей не получить лицензию на разработку и не сертифицировать свой продукт? Боитесь, что не сможете выполнить требования, необходимые для получения лицензии или не хватит навыков доработать продукт до уровня сертифицируемого?
                                Во-первых в планах БИФИТа не входит выход на технологический рынок - рынок СКЗИ. Мы никогда не хотели продавать СКЗИ и не планируем этого в будущем.

                                Во-вторых получить Лицензии на проектирование и производство СКЗИ, как Вы заметили, действительно чрезвычайно трудно. Лицензионный Центр ФАПСИ предъявляет большой список чрезвычайно жестких требований к Лицензиатам. Лицензиатов ФАПСИ, имеющих права на проектирвоание и производство действительно очень мало.

                                В третьих - это размеры рынка. Рынок СКЗИ очень узок. Основные потребители СКЗИ - это не банки, или другие финансовые и государственные институты. Рынок СКЗИ направлен в первую очередь на разработчиков прикладных решений.

                                Вы, Влад, к примеру, много знаете прикладных решений, использующих сертифицированные СКЗИ? Сотню наберете?

                                С уважением, Репан Димитрий
                                Компания "БИФИТ" - www.bifit.com
                                С уважением, Репан Димитрий
                                Компания "БИФИТ" - www.bifit.com

                                Комментарий


                                • #17
                                  hugevlad Дабы меня не обвинили в расхваливании Лан-Крипто, сразу скажу, что к ним в этом вопросе у меня отношение не лучше, они сами были в аналогичной ситуации, когда ФАПСИ продемонстрировало возможность подделки ЭЦП их разработки.
                                  Простите поправлю. К ЛК отношусь довольно равнодушно, но истина должна быть соблюдена. ФАПСИ заявило о подделки подписи ЛК, но примра не привело (кстати и не могло, потому что это было типичное вранье генерлов). Я сам анализировал их систему (работая в ФАПСИ) в 1991 и заявляю официально желаемое было выдано за действительное. В случае же Бифитом дыра столь очевидна, что ключ восстанавливается, что называется "влет", а это простите прокол.
                                  Не выражаю согласия по поводу лицензирования и сертификации, но это отджельная тема. Касательно Бифита, все верно, много пальцев, мало профессионализма.
                                  По моему все-таки продуктам от Бифита КАЮК. Это подтвердили и коллеги из банков.

                                  Комментарий


                                  • #18
                                    Димитрий

                                    Именно это мы и сделали - нашли далеко неочевидный прокол. Ведь все контрольные примеры проходили как раз на ура, все результаты работы совпадали...
                                    Дмитрий, не смешите меня! Это первое, что делает любой программист при реализации алгоритма. А первое, что делается при сертификации СКЗИ - проверка качества ДСЧ.
                                    Почему же вы сразу не проверили? "За качество отвечаю" (с) Солодов

                                    Во-первых в планах БИФИТа не входит выход на технологический рынок - рынок СКЗИ. Мы никогда не хотели продавать СКЗИ и не планируем этого в будущем.
                                    Окак! Про прошлое и будущее сказано, а про настоящее - никак Вы сейчас продаете несертифицированную СКЗИ в составе своего продукта, не имея лицензии на распространение (надеюсь, скоро получите?), ни лицензии на разработку. И ведь обсуждаемая проблема произошла именно с СКЗИ вашей разработки.

                                    Вы, Влад, к примеру, много знаете прикладных решений, использующих сертифицированные СКЗИ? Сотню наберете?
                                    Я думаю, что просто сотни задач таких не наберется Соответственно, и сотни решений
                                    А навскидку: система ПФ РФ, куча систем в ЦБ. Про спецслужбы и МО я просто промолчу
                                    Earl Vlad Drakula. ///

                                    Комментарий


                                    • #19
                                      Cryptolog

                                      Простите поправлю. К ЛК отношусь довольно равнодушно, но истина должна быть соблюдена. ФАПСИ заявило о подделки подписи ЛК, но примра не привело (кстати и не могло, потому что это было типичное вранье генерлов). Я сам анализировал их систему (работая в ФАПСИ) в 1991 и заявляю официально желаемое было выдано за действительное.
                                      У меня эта инфа не из ФАПСИ, а из ЦБ. Как мне рассказали, речь шла о некорректной обработке последнего блока...

                                      В случае же Бифитом дыра столь очевидна, что ключ восстанавливается, что называется "влет", а это простите прокол. Не выражаю согласия по поводу лицензирования и сертификации, но это отджельная тема.
                                      Тоже не соглашусь. Да, это прокол. Но не кодеров Бифита, а руководства, не пожелавшего настоящей проверки продукта. Тогда бы слабость ГСЧ была бы выявлена до начала распространения продукта.
                                      Earl Vlad Drakula. ///

                                      Комментарий


                                      • #20
                                        Кстати вставлю инфо в ПФ РФ и ЦБ кроме всего прочего стоит ЛК, стоит и не ломается. И вообще по моему крек Бифита первый серьезный прецедент, первый, но такой ожидаемый.
                                        Произошло событие из серии "Ребята, как мне Вас не хватало".
                                        Сейчас начнется шоу.

                                        ФАПСИ протрубит "Вот, что значит работать без сертификата".

                                        Лебедев " А, банкиры, доэкономились, нельзя брать брахло"

                                        Волчков "А кто защитит потребителя. Сертификат ФАПСИ - пшик"

                                        РФК "А мы клиента страхуем"

                                        и т.д.
                                        А Бифит будет отмываться и тонуть все глубже

                                        Комментарий


                                        • #21
                                          У меня эта инфа не из ФАПСИ, а из ЦБ. Как мне рассказали, речь шла о некорректной обработке последнего блока...

                                          Простите тут ошибка, у ЛК для подписи блочных алгоритмов не использовалось, здесь произошла путаница с т.н. системой БЛИЦ, ныне покойной, ее похоронили в то же время, когда анализировали ЛК. Подробности в ЦБ хорошо знает Щербаков А.Ю. из департамента Пеленицина М.Б.

                                          Комментарий


                                          • #22
                                            > По моему все-таки продуктам от Бифита КАЮК. Это подтвердили и коллеги из банков.

                                            Думаю, что нет, что, собственно, и к лучшему. Немного помоченная репутация, но с этим живут многие. Аргументирую цитатой из на мой взгляд достаточно верно отражающей картину статьи в c-news:

                                            "По словам Дмитрия Репана ("Бифит"), возможность для взлома мог получить только администратор системы интернет-банкинга, то есть банковский сотрудник. Для взлома извне "дыра" использоваться не могла. Все клиенты "Бифита" отреагировали на оповещение об опасности спокойно ("как дохлые львы") и сообщили, что самостоятельно генерируют клиентские ключи и все отношения с клиентами в этом вопросе улажены: "В условиях договора значится, что пользователь целиком доверяет безопасности банковского ПО"."

                                            Прошу обратить внимание на последнюю фразу.
                                            Поскольку в i-банке от Бифита во время моего знакомства с ним не опирающиеся на полное доверие банку юридические схемы реализовать не представлялось возможным (и у меня есть стойкое подозрение, что такая ситуация сохраняется и в i-Bank 2), а приведенная схема не противоречит текущему законодательству, банки юридически достаточно защищены, а большинству клиентов это просто безразлично. Думаю, что и Бифит, подписывая договора с банком, предусмотрел свою защиту от подобных казусов.
                                            Данный вопрос, к слову, достаточно активно обсуждался на форуме более полугода назад.

                                            Еще очень интересна фраза о том, что банки самостоятельно генерируют клиентские ключи. Хотелось бы узнать какой процент банков это делает и что их сподвигает на такой своеобразный механизм дистрибуции ключей в i-банкинге.
                                            Из цитаты, кстати, можно сделать вывод, что это делают "Все клиенты "Бифита"", в что моя голова все-таки верить отказывается.

                                            Комментарий


                                            • #23

                                              "По словам Дмитрия Репана ("Бифит"), возможность для взлома мог получить только администратор системы интернет-банкинга, то есть банковский сотрудник. Для взлома извне "дыра" использоваться не могла


                                              ПЕРВОЕ Вот здесь очень важное место "По словам Дмитрия Репана ", а что ему еще остается говорить. Как cryptolog заявляю, дыра найдена, далее дело техники.

                                              ВТОРОЕ Клиенты полностью джоверяют банкам, а банки генерят ключи, это простите бред, смысл электронной подписи, как аналога собственноручной теряется. Неясно зачем БИФИТ ее вообще привернул

                                              ТРЕТЬЕ Почему КАЮК, да потому что те кто платит деньги те ждут безопасности. Представьте себе, какой геморрой могут поиметь и клиенты банков и сами банки, если кто-то (хотя бы интерса для) смоделирует отказ от серьезного платежа. Кстати именно так и умер БЛИЦ. Скандал - Оправдания - Новая версия продукта - Падение продаж - КАЮК.

                                              Комментарий


                                              • #24
                                                ПЕРВОЕ Вот здесь очень важное место "По словам Дмитрия Репана ", а что ему еще остается говорить. Как cryptolog заявляю, дыра найдена, далее дело техники.

                                                Поскольку из текста не ясно, применимо это ко всему абзацу или только к первому предложению, я и привел абзац целиком. Истина сейчас выкристаллизовывается.

                                                ТРЕТЬЕ Почему КАЮК, да потому что те кто платит деньги те ждут безопасности. Представьте себе, какой геморрой могут поиметь и клиенты банков и сами банки, если кто-то (хотя бы интерса для) смоделирует отказ от серьезного платежа. Кстати именно так и умер БЛИЦ. Скандал - Оправдания - Новая версия продукта - Падение продаж - КАЮК.

                                                Вот я пытался выразить то мнение, что юридически Бифиту в данной ситуации ничего не грозит. "Геморрой" и падение продаж - будут. "КАЮК" - вряд ли.
                                                Будет еще некоторый рост интереса общественности к защите информации, что благо.

                                                Комментарий


                                                • #25
                                                  Вот я пытался выразить то мнение, что юридически Бифиту в данной ситуации ничего не грозит. "Геморрой" и падение продаж - будут. "КАЮК" - вряд ли.

                                                  Все верно юридически чисты с той или иной степенью все участники скандала, только вот захотят ли у Бифита покупать продукты.

                                                  Вот Баер к примеру (тот который аспирин), отозвал препарат "липочегототам" закрыл 30 заводов понес убытки 300 миллионов баксов, но не умер - толстый очень.

                                                  А для маленьких комапний удары судьбы смертельны.

                                                  Комментарий


                                                  • #26
                                                    Дмитрий!
                                                    Молчание знак согласия ?
                                                    Или все таки внятные комментарии будут. Простите за казарменный юмор, но "Караул устал".

                                                    Комментарий


                                                    • #27
                                                      Cryptolog
                                                      Простите тут ошибка, у ЛК для подписи блочных алгоритмов не использовалось, здесь произошла путаница с т.н. системой БЛИЦ, ныне покойной, ее похоронили в то же время, когда анализировали ЛК. Подробности в ЦБ хорошо знает Щербаков А.Ю. из департамента Пеленицина М.Б.
                                                      Я уже больше года не работаю в ЦБ, поэтому не могу переспросить Михаила Борисовича Может быть, речь шла и о "Блице", а мне запомнилось, т.к. обсуждение было в одном ряду с ЛК.

                                                      Кстати вставлю инфо в ПФ РФ и ЦБ кроме всего прочего стоит ЛК, стоит и не ломается. И вообще по моему крек Бифита
                                                      А может, не ломают просто? ЦБ вообще контора особенная, там многие вопросы решаются весьма оригинальными методами

                                                      Сейчас начнется шоу.

                                                      ФАПСИ протрубит "Вот, что значит работать без сертификата".

                                                      Лебедев " А, банкиры, доэкономились, нельзя брать брахло"

                                                      Волчков "А кто защитит потребителя. Сертификат ФАПСИ - пшик"

                                                      РФК "А мы клиента страхуем"
                                                      Кстати, последняя мысль - самая здравая. Никакой сертификат или заключение 100% гарантии не дадут, равно как и сама криптозащита. Остаточный риск должен быть застрахован...
                                                      Earl Vlad Drakula. ///

                                                      Комментарий


                                                      • #28
                                                        Про ЦБ это в точку.
                                                        Но дело не в этом. Развитие событий (в частности на этом форуме) демонстрируют (не побоюсь этого слова) крах Бифита.

                                                        Сначала надувание щек, и распальцовки. Потом взлом. Потом пресс-релиз Д.Р. типа "все ништяк", потом истерика и тишина.

                                                        Позиция Л. и В. гораздо сильнее. Типа вывлили информацию и ждут. Д.Р. довел себя до исступления, а когда ему недвусмысленно задали вопрос "Расскажите как дело было, опираясь только на факты" замолк. Я кстати тоже не знаю что на его месте делать. Он сейчас между трех огней - ФАПСИ, РусКрипто и Конкурентов (РФК, БСС), похоже ему пора кому то сдаться.

                                                        Комментарий


                                                        • #29
                                                          Вот, кстати, ссылка на тему, в которой долго обсуждали вопросы доверия клиентов банку :
                                                          http://www.bankir.ru/forum/showthrea...&threadid=6480

                                                          Комментарий


                                                          • #30
                                                            Уважаемый JK тема действительно интересна. Вопрос не в этом. А в том зачем Бифит дурит головы банкам и клиентам.

                                                            Ну сказали бы, система основана на полном доверии клиента банку. А тут посмотрите что навернули и тебе подпись, и тебе крито такое и тебе сякое, а в результатае дырка от бублика и молчание.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X