Bankir.Ru
7 декабря, среда 00:57

Объявление

Свернуть
Пока нет объявлений.

О гласности и цензуре в криптозащите

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • О гласности и цензуре в криптозащите

    Так что же все-таки произошло?

    Разработчик открыл тексты своих криптопрограмм, в них найдена ошибка - программ без ошибок не бывает. Разразился скандал. Так что, правы те, кто держит тексты своих криптопрограмм в тайне, не собираясь при этом сертифицировать свой продукт?

    Забудем на время о Бифите и Ланкрипто.
    Как в нормальном случае все должно было произойти после обнаружения экспертом бага?
    Эксперт должен был тихо сообщить об этом заказчику экспертизы и разработчику. Разработчик также тихо должен был сообщить об этом остальным своим банкам-клиентам, дать им рекомендации по их действиям до и после получения исправленной версии, а самому предпринять меры по ликвидации бага и обновлению версий программы в банках-клиентах. После чего передать исправленную версию эксперту для продолжения экспертизы. Будет найден новый баг - процедура повторится.

    В скандале же с Бифитом эксперт, за спиной разработчика, сообщил о баге банкам-клиентам. Во-первых, это не дело эксперта, и потом, а если бы у него не было списка банков-клиентов? Ну да ладно. Но о баге также было доложено всей общественности, в том числе хакерской, причем еще до исправления бага разработчиком! И, похоже, была даже мысль выложить на своем сайте, сайте разработчика криптозащиты, программу для взлома чужой криптозащиты (слово не воробей...).Теперь у разработчиков антивирусов появится соблазн писать и выкладывать на сайте вирусы, с которыми не справятся программы конкурентов Где этика?! Какой же ты эксперт после этого? За все возможные последствия багов перед банками-клинтами отвечает только разработчик, которым по договору передал им свой продукт. Обе стороны при заключении договора были дееспособны, положения договора их устроили. Куда же лезет эксперт-"доброжелатель"?
    Дальше, больше - от эксперта пошли публичные заявления о множестве других, еще не обнаруженных багах и совет банкам-клиентам отказаться от программы разработчика вообще и перейти на другую, их собственную! Я далеко не поклонник Бифита, а уж тем более, Димитрия Репана (правда не до такой степени, как cryptomortirolog), но что тут можно сказать?!

    Так что, если продукт не сертифицирован и тексты закрыты, значит в нем нету багов? Но в этом случае баг может быть найден хакером, о чем, возможно и сообщит уже ограбленный банк (или банки). Что же все-таки лучше, открытые или закрытые тексты? Гласность или цензура?

  • #2
    sandyman
    Cryptomortirolog это неплохо. Но вот что я Вам скажу. Анализируя ситуацию я пришел к выводу, в том числе из коментариев Д.Р., Л. и В., что последние тихо проинформировали Д.Р., а первый решил ребят бортануть, дескать дырку нашли, спасибо. Спецы простите за спасибо не работают, и пример Бифита это пример пострадавшего от жадности. Хотел кинуть Л., а тот его примочил.

    Комментарий


    • #3
      "Спецы", уважаемый Cryptolog, насколько я понял, работали на основании договора с банком, и финансовые вопросы должны были решать именно с заказчиком. Но решили еще немного подзаработать на рэкете. Не отрицая дыру в Бифите и недостаток последовательности в выступлениях данной компании, хотелось бы спросить у г-на Cryptolog'а - такая схема поведения действительно характерна для "профессионалов" в sequrity из вашего круга и активно им поддерживается?

      Комментарий


      • #4
        Спецы", уважаемый Cryptolog, насколько я понял, работали на основании договора с банком

        Вот здесь хотелось бы подробнее. Димитрий никак не прокоментировал ситуацию с договром невидимкой. Это же представьте Л. догадался, что дыру найдут и догвор типа заныкал, банк типа договр потерял, Бифит типа этого не знал. Вобщем спецоперация по похищению договора. Закономерен вопрос "А был ли мальчик".

        Комментарий


        • #5
          Конкуренция конкуренцией, но разработчики программ, в том числе крипозащиты, не должны подставлять клиентов друг друга. Даже, если им не заплатили за обнаруженные баги.

          PS Сryptolog, теряюсь в догадках, чем же Вас Димитрий Репан так достал ?

          Комментарий


          • #6
            Конкуренция конкуренцией, но разработчики программ, в том числе крипозащиты, не должны подставлять клиентов друг друга. Даже, если им не заплатили за обнаруженные баги.

            Разработчики программ, в первую очередь криптозащиты, не должны подставлять своих клиентов. Точно также как и разработчики любых продуктов, особенно в олбасти безопасности.

            PS Сryptolog, теряюсь в догадках, чем же Вас Димитрий Репан так достал

            Если бы достал, я бы с ним не миндальничал.

            Комментарий


            • #7
              Hi

              Как человек отвечающий за выбор всех покупаемых систем,
              после полученного Лан-Криптовского письма обязуюсь близко к продуктам ЛК не подходить и денежку на них не тратить, потому как если они коллег подставляют , то ГДЕ ГАРАНТИЯ ЧТО КОГДА-НИБУДЬ ОНИ НЕ ПОДСТАВЯТ И КЛИЕНТОВ?

              С уважением.

              Комментарий


              • #8
                Если бы достал, я бы с ним не миндальничал.

                А что бы ты тогда? Очень интересно послушать, особенно в свете твоих высказываний в других форумах. Давай, покажись, поиграй мышцами!

                Комментарий


                • #9
                  to ALL

                  Вообще-то ситуация загадочная... Если эксперт работал по договору, то БИФИТ вполне могла бы преследовать его по суду за разглашение. Однако никаких процессов не затевается, хотя повод для шантажа уже исчез(все знают про дыру).

                  Кстати, посмотрите сколько сайтов про дыры в MS NT! Со способами атаки и программами. Частенько сообщение о дырке вместе с описанием атаки дается раньше, чем MS выпускает патч. И никаких скандалов между экспертом и MS.

                  Комментарий


                  • #10
                    to godata: NT ломают не эксперты - хакеры! И исходников MS никогда и никому не предоставляла! А выкладыват программы для взлома банковских продуктов на всеобщее обозрение (или желать этого) эксперты НЕ ДОЛЖНЫ!!!! Другое дело - хакеры...В забугорье ЛК уже имело бы бледный вид. Учитывая позицию ЛК и попытку подставить вместе с БИФИТОМ и кучу банков, считаю что серьезные банки просто из чувства осторожности перестанут иметь с ней дело. Слишком вероятен шантаж с ее стороны! ИМХО: ее стиль вызывает у меня отвращение и брезгливость...
                    Чтобы заработать на жизнь, надо работать. Но чтобы разбогатеть, надо придумать что-то другое.

                    Комментарий


                    • #11
                      Совершенно согласен с тем, что сказал Slon. Вопрос защиты информации, особенно в банковской сфере, слишком деликатен, для того, чтобы проблемы в нем решались методом публичного скандала.
                      Рассмотрим ситуацию из другой области: конкурируют две строительные фирмы. И вот, одна из них заявляет, что если в домах, построенных конкурентом, в таком-то подъезде, на таком-то этаже стукнуть кувалдой по стенке, то дом развалится. И неважно, что таких домов десятки, что все они заселены, и всегда найдется придурок, который решит это проверить.

                      И дело вовсе не в компетентности Бифита. На его месте прекрасно может оказаться тот же Ланкрипто, у которого, по утверждению Cryptolog'a, исходники тоже открыты. Факт о том, что исходники открыты, еще ни о чем не говорит, возможно их просто никто и не смотрел. Допустим, какой-нибудь Суперкрипто не поленится, залезет в исходники Ланкрипто (не нужно никакого договора экспертизы) и найдет дыру. А после того, как Ланкрипто не согласится с кабальными условиями "помощи", обнародует баг в СМИ. В результате всего этого пострадают невинные клиенты Ланкрипто. Лично я полагаю, что за подобные действия, которые больше подходят хакерам, разработчики средств информационной безопасности ДОЛЖНЫ ЛИШАТЬСЯ СВОИХ ЛИЦЕНЗИЙ .

                      Комментарий


                      • #12
                        Проводя предварительные исследования программы цифровой подписи в системе iBank компании БИФИТ, специалисты 'ЛАН Крипто' обнаружили фатальные ошибки в программе, позволяющие легко (буквально в течение нескольких минут с помощью персонального компьютера) восстанавливать ключ подписи пользователя только по подписанному сообщению, даже не зная ключа проверки!

                        Суть ошибки заключается в следующем:

                        При формировании подписи по стандарту ГОСТ Р. 34.10 для каждой операции подписи, кроме секретного ключа подписи требуется уникальное, секретное число, обозначаемое в терминах стандарта K.

                        ВЫДЕРЖКА ИЗ ТЕКСТА СТАНДАРТА:
                        'Целое число K, которое генерируется в процедуре подписи сообщения , должно быть секретным и должно быть уничтожено сразу после выработки
                        подписи. Число K снимается с физического датчика случайных чисел
                        или вырабатывается псевдослучайным методом с использованием
                        секретных параметров'

                        В том случае, если данное число становится известным злоумышленнику, то по подписанному документу восстанавливается секретный ключ, использованный для подписи. Для этого необходимо провести одну операцию умножения, одну операцию вычитания и одну операцию деления.

                        После этого злоумышленник легко формирует подпись от имени истинного ключа подписи под любым документом.

                        ЧТО РЕАЛИЗОВАНО В СИСТЕМЕ БИФИТ НЕВЕРНО
                        1. В качестве исходного состояния датчика случайных чисел для выработки числа K использовалось время формирования подписи. Зная ориентировочно время проставления подписи, простым перебором восстанавливается исходное состояние датчика случайных чисел и следовательно значение К и секретный ключ.
                        2. В исправленной версии в качестве исходного состояния датчика случайных чисел используются некоторые параметры состояния операционной системы, полученные по детерминированному алгоритму. В настоящее время свойства этого способа выбора начального состояния уточняются.
                        3. Сама реализация датчика случайных чисел не соответствует описанию, приведенному в ГОСТ Р. 34.10

                        Реакция разработчиков на сообщенную им информацию о фатальной ошибке в программе подписи - попытка ее 'потихоньку' заменить наскоро залатанной версией той же программы - в данной ситуации не адекватна.

                        ПОЧЕМУ НЕЛЬЗЯ ИСПОЛЬЗОВАТЬ ИЗМЕНЕННУЮ СИСТЕМУ
                        1. Реализация датчика случайных чисел не приведена в соответствие с ГОСТ Р. 34.10
                        2. Способ выбора секретного значения K не может считаться надежным без исследования.

                        Это делает банк полностью беззащитным перед возможным отказом клиента от любого электронного платежа за период применения старой программы и, что более серьезно, до замены его ключа подписи. С другой стороны, клиент оказывается полностью беззащитным перед возможностью восстановления его ключа подписи по любому документу, подписанному старой программой.

                        В данном случае это могут проделать не только проверенные сотрудники службы информационной безопасности, которым в некоторых банках доверяют генерацию ключей для пользователей, но любой, кому станет, доступен хотя бы один подписанный клиентом электронный документ.

                        Поэтому, даже при условии, что 'залатанная' наспех программа не имеет больше подобных 'дырок', ситуация требует срочных и аккуратных действий банка по замене программы, а главное и ключей клиентов, оформления актов об отсутствии претензий клиентов по старым электронным документам.

                        ЧТО НАДО СДЕЛАТЬ
                        1. Привести реализацию датчика случайных чисел в соответствие с ГОСТ Р. 34.10
                        2. Заменить способ выбора секретного значения K, на один из исследованных.

                        Попытки скрыть эти факты, чреваты настолько серьезными последствиями для участников электронных платежей, что могут из-за досадных ошибок в одной конкретной программе подорвать доверие к технологии в целом.

                        Комментарий


                        • #13
                          Sandyman: А у нас - клиентов!!!!
                          Чтобы заработать на жизнь, надо работать. Но чтобы разбогатеть, надо придумать что-то другое.

                          Комментарий


                          • #14
                            На его месте прекрасно может оказаться тот же Ланкрипто, у которого, по утверждению Cryptolog'a, исходники тоже открыты

                            Но ведь не оказалось, все строго наоборот.

                            Комментарий


                            • #15
                              Рассмотрим ситуацию из другой области: конкурируют две строительные фирмы. И вот, одна из них заявляет, что если в домах, построенных конкурентом, в таком-то подъезде, на таком-то этаже стукнуть кувалдой по стенке, то дом развалится. И неважно, что таких домов десятки, что все они заселены, и всегда найдется придурок, который решит это проверить

                              Прекрасный пример, так что значит молчать в тряпочку и ждать пока кто-нибудь в этом месте картину повесить захочет.

                              Конечно нет. Жильцов надо отселить, а дом перестроить. Поскольку Бифит не захотел говорить, что в его доме стены из микробетона (90% микрофонов и 10% бетона), то нашлись добрые люди, предупредили. А Д.Р. вместо того чтобы о клиентах позаботиться все стрелки в Инете Л. и В. назначает.

                              Комментарий


                              • #16
                                to Slon

                                Между прочим, про дыры в программах пишут и те, кто ими пользуется и у которых хватает компетентности эти дыры найти. Т.е. это могут быть администраторы сетей, программисты, которые случайно нашли эти дыры или просто понадобилось им произвести проверку чего либо.

                                И выкладывается все совершенно официально на нескольких сайтах (не хакерских), потому как описание ошибки содержит инструкции по ее исправлению... Это может быть, скажем, запрещение некоторых установок, используемых по умолчанию, как, например в Outlook'е.

                                А Ланкрипто можно обвинить только в непорядочном поведении и все...

                                Еще пример: Автомобильные фирмы (за рубежом )тоже отзывают свою продукцию и компенсируют затраты клиентам, если выясняются какие-нибудь проблемы с конструкцией этой марки автомобиля. А там затраты несравнимо большие...


                                -------------------------------
                                Лежачего не бьют - его топчут...

                                Комментарий


                                • #17
                                  to godata

                                  А Ланкрипто можно обвинить только в непорядочном поведении и все...

                                  Скорее можно обвинить В. в бестолковости, он сгоряча ляпнул, что де ЛК на сайте програмы для взлома выложила, а типа не crack, а crash - предупреждение о взломе. Так что этика страдает скорее у Бифита, котрый сначала хотел все спрятать, а когда ему не дали стал всех грязью поливать, как карманник Кирпич в трамавае, когда его на кошельке взяли

                                  С Уважением
                                  Криптолог

                                  Комментарий


                                  • #18
                                    А Ланкрипто можно обвинить только в непорядочном поведении и все...

                                    без комментариев

                                    Комментарий


                                    • #19
                                      to Cryptolog

                                      Так что этика страдает скорее у Бифита, котрый сначала хотел все спрятать

                                      клиентов-то своих он и предупредил и проапгрейдил
                                      ему бы, конечно, надо было в СМИ после ком.предложения Ланкрипто пойти - не догадались видать :-)

                                      Алексей Денисов

                                      Комментарий


                                      • #20
                                        Вам еще не надоело, Cryptolog-Волчков, пороть всякую чушь?

                                        БИФИТ ничего ни от кого не прятал. БИФИТ честно и оперативно уведомил своих клиентов. Большую часть уведомил в понедельник. Остальных - во вторник.

                                        Это уже потом, в среду Лебедев стал письма по банка да по СМИ рассылать, делая себе девешую рекламу большого специалиста.

                                        Что касается СМИ, то наш пресс-релиз был разослан в среду с утра. Я прекрасно понимал, что если всплывет история о недостойном поведении ЛАН Крипто в лице Лебедева и Вас, Волчков, то пользы Вашей компании это особо не прибавит.

                                        Но у меня, в отличе от Вас, не было цели показывать всё гнилое нутро Вашего бизнеса. И я не видел смысла упомянать об участии ЛК с Волчковым и участии банка-заказчика экспертизы.

                                        Вы же, Волчков, не проявив должной выдержки, сами себя в грязь втоптали.

                                        С уважением, Репан Димитрий
                                        Компания "БИФИТ"
                                        С уважением, Репан Димитрий
                                        Компания "БИФИТ" - www.bifit.com

                                        Комментарий


                                        • #21
                                          Дался, cryptolog, Вам этот Бифит! Пусть это будет Суперкрипто и Ланкрипто (не возражаете) - речь идет об алгоритме разрешения подобных ситуаций в будущем. И не у таких фирм, как Ланкрипто, находят опасные баги, почитайте сообщения о дырах в web-серверах (причем не только в IIS). И точно также Суперкрипто будет говорить, что стены домов конкурента из микробетона, что жильцов надо выселять и т.д. Повторяю: что следует делать банкам-клиентам, а чего не делать, должен сказать им сам разработчик, а не "доброжелатель". Если какой из банков не доверяет разработчику, то он просто приостановит у себя функционирование системы.

                                          А вопить о дыре всему миру, тем более если сам занимаешься разработкой систем криптозащиты, когда разработчик еще не успел заменить версию всем своим банкам-клиентам ?! За это морду в парке бьют!
                                          Пожалуйста, после устранения угрозы взлома для всех банков, скромное (чтобы не расшатать рынок интернет-банкинга) сообщение о баге в продукте конкурента и о своем участии в этом деле.

                                          Комментарий


                                          • #22
                                            AlexeiD

                                            клиентов-то своих он и предупредил и проапгрейдил

                                            Не совсем так, а скорее совсем не так.
                                            Вот реставрация событий по репликам Р., В., Л. и их действиям, вчера весь вечер на это убил.

                                            Участники Б. - Бифит, ЛК - Лан Крипто, РК - Рускрипто, ? - неизвестно кто.


                                            ЧЕТВЕРГ 9.
                                            ЛК - найдена дыра, оповещены клиенты Б. заинтересованные в проверке качества.

                                            ? - оповещает о дыре Б.
                                            Б. - приезжает в ЛК
                                            ЛК - Б. Переговоры (самый мутный момент, правду могут знать только ЛК и Б)

                                            ПЯТНИЦА
                                            Б. На своем сайте объявляет об апгрейде зачем не сказал (при этом как-то по детски
                                            попытался скрыть кто его клиенты - отключил страничку на своем сайте)
                                            ЛК. Оповещает Б., что Б. не прав и апгрейдом не обойтись.
                                            Б. На своем сайте объявляет, что был баг в подписи, исправили, но ничего
                                            страшного. (страница клиентов отключена)

                                            ПОНЕДЕЛЬНИК УТРО

                                            ЛК Рассылает по банкам клиентам бифита предупреждение.
                                            Б. Включает страницу клиентов
                                            Б. Открывает дискуссию на банкире, как все исправлено
                                            РК. Рассылает инфо по непонятному списку рассылки, содержащую ошибочное
                                            сообщение о наличии на сайте ЛК программ взлома.
                                            РК. Извиняется, но не везде за ошибку.
                                            Б. Признается, что дыру нашел не он

                                            ПОНЕДЕЛЬНИК ВЕЧЕР

                                            ? Выясняет, что в апгрейде опять не ГОСТ
                                            ? Сообщает РК и ЛК об этом
                                            РК Распространяет эту новость
                                            Б. Неявно признает, что рекомендации ЛК о том, что надо делать (процессуально) по
                                            затыканию дыры верны.

                                            ТЕКУЩИЕ СОБЫТИЯ

                                            Мочилово, на уровне СМИ

                                            Чего ждут. Внятной позиции Бфита и гарантий надежности его системы защиты информации.

                                            Комментарий


                                            • #23
                                              Для sandyman

                                              речь идет об алгоритме разрешения подобных ситуаций в будущем

                                              Мое мнение, только за столом переговоров, и в узком кругу.

                                              И не у таких фирм, как Ланкрипто, находят опасные баги, почитайте сообщения о дырах в web-серверах

                                              Верно, но речь идет не о нахождении дыры, это уже проехали, а о том, что Б., сначала от собственной гордости все делал сам, потом облажался и начал обвинять всех в том что ему на это указали.

                                              ". Если какой из банков не доверяет разработчику, то он просто приостановит у себя функционирование системы

                                              Если разработчик обманывает банк, то простите как это банку выяснить. Л. сначала предупреждал банки негласно, это даже Д. признает, а вот потом, когда Д. кидалово начал, ну тогда извини

                                              За это морду в парке бьют
                                              Этим Р. уже угрожал.

                                              Комментарий


                                              • #24
                                                Для Димитрий

                                                От Вас не хамства в сторону Л. и В. ждут, а объяснений. Им, же, как я понял по вяловатой реакции обоих вообще плевать на то какие еще гадости, которые Вы можете сказать.

                                                Комментарий


                                                • #25
                                                  to Cryptolog

                                                  немного странно видеть столько несоответствий (интересно кто прав)
                                                  со слов г-на Репана ЛК и РК стали пугать его клиентов со среды, а не с понедельника. И причина была как раз обратная: смотря как уплывают денежки, которые уже в кармане звенеть начали...

                                                  БИФИТ ничего ни от кого не прятал. БИФИТ честно и оперативно уведомил своих клиентов. Большую часть уведомил в понедельник. Остальных - во вторник.

                                                  Это уже потом, в среду Лебедев стал письма по банка да по СМИ рассылать, делая себе девешую рекламу большого специалиста.

                                                  Что касается СМИ, то наш пресс-релиз был разослан в среду с утра.


                                                  другое несоответствие
                                                  со слов Репана, ЛК и РК информировали Б о том что нашли дыру, но ничего о том что эта за дыра, где и т.п.
                                                  так что авторов у бага два - видимо, и Б и ЛК/РК все-таки нашли ее независимо (Б сам проштудировал свои исходники после переговоров) и претензии ЛК/РКна роль спасителей, мягко говоря, необоснованы, скорее уж на роль шантажистов в лучших традициях жанра.

                                                  Я не хочу пускаться во все тяжкие, но этим скандалом создан прецедент на рынке. Надеюсь выводы будут правильные. Необходима корпоративная, даже цеховая, солидарность.

                                                  И Bayer, и автомобильные гиганты САМИ информировали клиентов даже если дефекты были установлены третьими сторонами. И это правильно - все понимают, что от ошибок не застрахован никто. Кстати ЛК и РК тоже легко могут попасть в соответствующую позу.

                                                  А г-н Волчков так себе на яйца наступил, что, похоже, как переговорщик он кончился. Слава богу, у него организация некоммерческая. Г-н Репан тоже, конечно, хорош - надо было договор-то выцепить или свой прямой заключить, понадеялся на слово "авторитетных" людей, но его последующие действия вынужденные. Не погибать же из-за одного соскучившегося по лаврам и непорядочного эксперта

                                                  Алексей Денисов

                                                  Комментарий


                                                  • #26
                                                    немного странно видеть столько несоответствий (интересно кто прав)

                                                    Тут уже не помню где, но Р. сказал, что были заказчики, после нахождения дыры и они были проинформированы раньше Р., это логично кто ьзаказал результаты, тот и получил.

                                                    В. тоже тут всего наговорил, но смысл простой, эксперт дыру нашел, предложил помощь. Далее обсуждать надо было до упора условия этой помощи, привлекая в т.ч. и банки с их средствами.

                                                    Что делает Р. В лучших традииях своего поведения на форуме трубит я нашел дыру и кидает людей, котрые ее нашли.

                                                    Кидать бывших офицеров КГБ себе дороже. Они кидалово с детства изучали. Вот и летит Бифит, как фанера над Парижем.

                                                    А г-н Волчков так себе на яйца наступил

                                                    Вопрос чего он добивается, если Р. до температуры кипения довести, то грамотно дровишек подбрасывает, если денег заработать, то надо узнать еще кто ему платит и сколько.

                                                    Криптолог

                                                    Комментарий


                                                    • #27
                                                      отправил Волчков А.А. (aka Cryptolog)
                                                      ЧЕТВЕРГ 9.
                                                      ЛК - найдена дыра, оповещены клиенты Б. заинтересованные в проверке качества.
                                                      Действительно так и было. Компанией ЛАН Крипто были оповещены два банка. Первый - который заказывал экспертизу, и второй, который раньше покупал у ЛАН Крипто их СКЗИ, а с переходом на iBank, перестал сие делать.

                                                      Ситуация происходила практически уже вечером. Начальник управления автоматизации Банка-Заказчика экспертизы покинул офис ЛАН Крипто перед нашим приездом. Столь тонкую подробность знало два человека - Лебедев и Волчков.

                                                      ? - оповещает о дыре Б.
                                                      Волчков, ты самого себя знаком вопроса обозначил?

                                                      Ты же сам мне позвонил и как маленькое дитя взахлеб пропел, что дескать Вы нас взломали и по полученному сообщению с ЭЦП клиента и открытому ключу вы можете подделать подпись под другим сообщением!!!

                                                      Б. - приезжает в ЛК
                                                      Не через полчаса, как повествует Волчков, а где-то через час - от Первомайки до Олимпийского в это время трудно добраться особенно.

                                                      ЛК - Б. Переговоры (самый мутный момент, правду могут знать только ЛК и Б)
                                                      Да ладно тебе, Волчков, прикидываться. То, что банк приезжал ты знаешь. То, что ЛАН Крипто другой банк оповестил - ты знаешь. А вот о чем мы с тобой говорили на встрече ты уже забыл?!

                                                      ПЯТНИЦА
                                                      Б. На своем сайте объявляет об апгрейде зачем не сказал (при этом как-то по детски попытался скрыть кто его клиенты - отключил страничку на своем сайте)
                                                      Да, Волчков, ты действительно смотрел список банков. Были конкретно заходы с двух адресов ЛАН Крипто - 212.34.42.131 и 212.34.42.142. Это можно на SpyLOG'е посмотреть. Да и по логам Web-сайта БИФИТа.

                                                      Только, опять ты врешь, Волчков. Никакие страницы я не отключал. Зачем?! Ведь вся информация есть на том же iFin.RU. И никакого анонса в пятницу о выпуске новой версии я не делал. Всё, что мы сделали - сняли дистрибутивы 1.8.1.10. Ибо в нем был баг, и мы не хотели распространять ПО с багом.

                                                      ЛК. Оповещает Б., что Б. не прав и апгрейдом не обойтись. Б. На своем сайте объявляет, что был баг в подписи, исправили, но ничего страшного. (страница клиентов отключена)
                                                      И здесь ты врешь, Волчков. Ты звонишь мне на мобилу с десяток раз в пятницу с утра с требованием прислать контрольный пример. Даже Лебедев позвонил (один раз) в 10 часов, спрашивая почему я тебе еще не прислал.

                                                      Когда мы в полдвенадцатого (дня) прислали тебе контрольный пример, ты стал звонить через каждые 10 минут, и выяснять: "под какой ОС мы делали контрольный пример", "какую JRE использовали", "каким JDK компилировали", и т.д. У тебя не прогонялся твой bifitcrack

                                                      Ты даже в голову не мог взять, почему не получается подобрать k. Ты даже параметры для своего bifitcrack'а задал с 6-00 по 12-00

                                                      А потом ты перекинулся на Банк-Заказчика и загорелся желанием взломать ЭЦП под платежкой, чтобы Александра убедить.

                                                      Ты начал ко мне звонить и требовать правила формирования из полей платежки строки для подписи. Да у тебя же необфусцированный апплет был под носом. Там делов то на 10 минут для начинающего Java-программера!!!

                                                      Я тебе предложил самому во всем разобраться и всё-таки взломать контрольный пример.

                                                      И уже вечером, ближе к 21-00 я позвонил тебе и попросил доложить о результатах взлома. На что ты утвердительно ответил: "взломаем и позвоним. А сейчас всё считается".

                                                      В 22-25 (только что посмотрел в лог своей мобилы), ты позвонил мне с номера 8-903-746-16-40 (не знаю, чья это мобилка) и радостно сообщил, что взломал платежку из Банка.

                                                      А в понедельник, когда я с Андреем Бородавкиным были в банке, Лебедев звонил Олегу и опять требовал алгоритм формирования из платежки строки для подписи . И Лебедев четко сказал Олегу, что пока Вы еще не смогли взломать переданную Вам еще в пятницу платежку, из-за незнания алгоритма формирования строки.

                                                      Мы в банке смеялись над Вами ..."профессионалы"...

                                                      ПОНЕДЕЛЬНИК УТРО
                                                      ЛК Рассылает по банкам клиентам бифита предупреждение.
                                                      Да ладно врать. Мне банки стали звонить только в среду, и задавали вопросы типа: "Вот только что от ЛАН Крипто прислал по факсу паскивльное письмо с коммерческим предложением. Хотят деньги за показ дыры"

                                                      Если бы Лебедев, начал оповещать банки в понедельник, я бы уже в понедельник это знал.

                                                      Б. Открывает дискуссию на банкире, как все исправлено
                                                      Опять бред. Мы не скрывали информацию о найденном баге. В понедельник и вторник мы оповестили банки.

                                                      А в среду еще перед рассылкой Лебедевым по СМИ своего знаменитого письма (у меня их штук восемь лежит - банки по факсу прислали), мы выложили наш разосланный ранее по банкам пресс-релиз на Банкир.РУ. И разослали его по СМИ.

                                                      РК. Рассылает инфо по непонятному списку рассылки, содержащую ошибочное сообщение о наличии на сайте ЛК программ взлома.
                                                      Ну это уже ты сам, Волчков, лажанулся. Тебя только за сам факт разработки и распространения вредоносных программ по статье 273 УК РФ к суду привлечь можно. Да не просто к суду, а и посадить. Радуйся и напивайся, что Управление "Р" к тебе в тот же день не приехало. Хотя всякое еще может быть

                                                      Б. Признается, что дыру нашел не он
                                                      Дыру нашли мы сами. Никакой Волчков и ЛАН Крипто нам ничем не помогали. Совсем ничем.

                                                      А вот инициатором поиска нами этой дыры действительно был разгоряченный Волчков и слишком уверенно державшийся Лебедев. На блеф это не было похоже.

                                                      ПОНЕДЕЛЬНИК ВЕЧЕР

                                                      ? Выясняет, что в апгрейде опять не ГОСТ
                                                      ? Сообщает РК и ЛК об этом
                                                      РК Распространяет эту новость
                                                      Б. Неявно признает, что рекомендации ЛК о том, что надо делать (процессуально) по
                                                      затыканию дыры верны.
                                                      Вранье. В понедельник вообще еще была тишина. Лебедев не мог поверить, что мы своими силами всё сделали.

                                                      Волчков, попроси у банков копию сообщения, разосланного нами. Почитай. Там всё четко и верно указано. Расставлены все акценты.

                                                      ТЕКУЩИЕ СОБЫТИЯ

                                                      Мочилово, на уровне СМИ
                                                      О, да-а-а. Это точно. Волчков изо всех сил тужится. Только гляди, чтобы глаза не лопнули

                                                      Ну а ТАКОГО ВРАНЬЯ, как в интервью Волчкова Компьютерре я еще нигде не видел. Это что-то, это просто шедевр вранья...

                                                      С уважением, Репан Димитрий
                                                      Компания "БИФИТ"
                                                      С уважением, Репан Димитрий
                                                      Компания "БИФИТ" - www.bifit.com

                                                      Комментарий


                                                      • #28
                                                        Cryptolog
                                                        Кидать бывших офицеров КГБ себе дороже. Они кидалово с детства изучали

                                                        Может, тогда с ними лучше вообще не связываться?..

                                                        Прав Александр Васильевич - в выигрыше только офицера действующие...

                                                        А куда ж теперь податься бедным крестьянам - банкам, клиентам? С одной стороны - "контора" с "закладками", с другой - недобросовестные производители и .. гм, тестеры.

                                                        Комментарий


                                                        • #29
                                                          Опять себя вынужден процитировать.

                                                          От Вас не хамства в сторону Л. и В. ждут, а объяснений. Им, же, как я понял по вяловатой реакции обоих вообще плевать на то какие еще гадости, которые Вы можете сказать.


                                                          Объяснения где, где деньги Зин, что Банкам делать.

                                                          Комментарий


                                                          • #30
                                                            Для Abo

                                                            А куда ж теперь податься бедным крестьянам - банкам, клиентам

                                                            К производителям добросовестным.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X