Bankir.Ru
6 декабря, вторник 15:29

Объявление

Свернуть
Пока нет объявлений.

Вопросы к Бифиту и ЛК

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопросы к Бифиту и ЛК

    хэллоу олл... а хотите сказочку? (людям без чувства юмора настоятельная просьба не
    читать ;-) ) попросили как-то раз ребята из Бифита ребят из ЛанКрипто
    их прогу пощупать... а те взяли и дырку нашли... собрались Волчков, Лебедев и Репан за
    стаканчиком пива, и решили извлечь максимум из ситуации - устроить маленькую рекламную
    акцию... ущерб для сторон вроде минимален (а то и никакого) - клиентам вроде
    предупреждение кинули, кого-то вроде даже проапгрейдили, продекларировали отсутствие
    юридических претензий друг к другу и покатили друг на друга телеги ж-) Ведь все равно
    от iBankа вряд-ли кто откажется (деньги уплочены, да и народ подумает, что уж после
    скандала безопасность у них на первом месте будет), а у ЛанКрипто слава борца за правду и
    супер-криптографа появится (да и ЭЦП свою пропихнут), КриптоАссоциация приподнимется
    (а то что-то мало кто о ней слышал), да и повод неплохой ФАПСИ отходами жизнедеятельности
    измазать ;-) И началось выяснение отношений в форумах и СМИ с применением
    ярко-эмоционально окрашенных терминов ж-) (хм, ну не в любви же им признаваться, не иначе
    как вечером созваниваются - типа, круто ты меня сегодня-ага-с меня боттл пива ж-)) итд итп
    Чем вся чехарда кончится - домысливайте сами...
    ------------------------------


    Ок, теперь по порядку... Читая форумы и статьи, я подобных сказочек штук пять придумал -
    слишком мало информации дают стороны, к тому же весьма невнятно...
    Для начала - серия вопросов, внятных ответов на которые я пока не нашел (хм, лоханулся
    наверное? ж-) )


    1. По-моему, самый важный вопрос - договор. А был ли мальчик? Если был - просьба текст
    в конфу (по-моему, на банкире г.Репан приводил даже выдержку из него). Куда он исчез
    (хм, ну и вправду, ситуация с забыванием договоров для наших банков не характерна)?
    Если договор таки был и ЛК его нарушили - да, они виноваты и непорядочны. Если договора не
    было - тогда это уже проблемы тех, кто договаривался об анализе...


    2. К вопросу о 'понедельничных' апгрейдах - были ли они и что из себя представляли? Как
    выглядели предупреждения Бифита и ЛК о дыре? Хотелось бы услышать хотя бы одного из
    клиентов Бифита - а то кроме криков конфликтующих сторон ответа на данный вопрос я не
    нашел...


    3. Вопрос к Бифиту и г.Репану - что из себя представляло сертификационное заключение ФАПСИ,
    желательно текст - из реплик по этому поводу в форумах какие-либо выводы сделать
    затруднительно. Так же - если это не секрет, хотелось бы взглянуть на текст договора на
    сертификацию - опять же если не секрет...


    4. Алексею Волкову - каким боком к этому конфликту примешана РусКрипто Ассоциация? При
    экспертизе iBank вы выступали как эксперт ЛК или РусКрипто? Почему заявление
    (http://www.ice.ru/ruscrypto/2433, пункт 'Почему было принято решение проинформировать
    широкую общественность о взломе системы интернет - банкинга iBank компании
    БИФИТ?') с обяснением причины разглашения информации исходит не от ЛК?


    5. Вопрос к Бифиту - пару дней пытался слить ваш софт (просто интересно на предмет разговора
    поглядеть) - результат нулевой... в чем проблема?


    6. Вопрос Бифиту - будет ли какой-либо сторонней организацией проведена повторная
    экспертиза софта?


    7. Вопрос ЛК - было ли вам сделано предложение встроить ваше крипто в iBank на
    'равноправных' началах? если да - что из этого получилось?


    8. Вопрос клиентам Бифита - ваше мнение обо всем этом? проводите ли вы замену подписей?
    Если не секрет - какую информацию от учавствующих в конфликте сторон вы получали после
    публичной огласки? Были ли сделаны предложения о замене софта другим?


    9. Вопрос ЛК - собираетесь ли вы продолжать свою политику разглашения информации о
    результатах экспертизы? (Кстати, ничего необычного и хакерского в данной политике нет...
    Не надо цепляться к многострадальному MS - в любом софте есть дыры (есть даже такой закон -
    об увеличении дыр с возрастанием сложности проги, и не факт, что ошибки нет в компиляторе),
    и абсолютно нормальной позицией является открытое информирование об найденных дырах
    (рассылки по безопасности Cisco, Sun и уймы других контор), причем, зачастую оно исходит
    не от производителя софта (к примеру, eEye и дыры в ИИС), или дублируется производителем
    с некоторым запозданием...)


    10. Вопрос клиентам - подверся ли кто-нибудь из вас атаке в результате разглашения
    информации об уязвимости?


    11. Вопрос Бифиту - что предпринимается в отношении ваших клиентов на данный момент?
    Какова вероятность атаки на ваш софт? Кстати, введена ли в вашей программе защита
    софта от декомпиляции (декомпиляторов Java по сети - немеряно, причем достаточно неплохо
    работающих) - ведь не факт, что ЛК могло получит информацию о баге первыми (все-таки,
    защита в основном делается от хакеров, а не от спецов ЛК ж-))) )?


    Резюмирую: дело ясное, что дело темное... Каждая сторона отстаивает свою позицию всеми
    доступными методами и пытается извлечь из ситуации максимум (что есть вобщем-то логично).
    Юридических претензий у сторон друг к другу нет (читай - ущерб не понес никто), скандал
    вышел на уровень черной рекламной акции с целью публичной дискредитации оппонента...
    Не совсем понятен наезд на ФАПСИ (и Атлас) - если они выдали отрицательное заключение (о
    чем вроде говорилось на форуме) - они-то тут причем (а что о дыре не проинформировали -
    так это их работа, но тут уже от текста договора с ними надо плясать...)? Прям как в
    песенке - агрессия слабых, спокойствие сильных... Неплохо бы и им было что-нить сказать
    (кстати, после визита в 'Атлас' у меня осталось достаточно высокое мнение о атласовцах как
    о технарях - по крайней мере, на подавляющее большинство моих вопросов по технике они
    ответили). К вопросу о формировании мнения - объективно мое мнение нейтральное (нехватка
    материала для анализа), субъективно я поддерживаю (как ни странно) Алексея Волчкова (мне
    просто ближе его позиция, к тому же на одной из выставок он мне тоненькую книжечку по
    крипто из раздатки подарил (хотел еще календарик взать, да студиоз какой-то из под носу
    увел - стареемс) ж-)))... )


    P.S. как обычно - мое мнение, токмо мое и ничье более... кстати, не направленное против
    какой-либо из сторон ж-)
    P.P.S. Алексею Волчкову и Дмитрию Репану лично - ребят, смешно и печально наблюдать,
    как два мужика, пардон, чл...ми меряются и друг друга г..ном поливают. Если уж разборка
    вышла на публику - давайте хотя бы сохранять лицо (а то пока наблюдается уровень дура...
    ой, простите ж-), непрофессионал - сам непрофессионал)...
    P.P.P.S. Ребят, а слабо за пивом встретиться и нормально поговорить? Может, какие-то
    непонятки сразу и выяснятся? ж-)
    P.P.P.P.S. Кстати (а вдруг опять кто засомневается), Wraick это железно не Алексей Волчков
    (сорри, Алексей, а то народ дотошный стал)... Опять же, кто не верит - можно по пиву (как
    раз завтра в Москве буду ж-) )

  • #2
    1. По-моему, самый важный вопрос - договор. А был ли мальчик? Если был - просьба текст
    в конфу (по-моему, на банкире г.Репан приводил даже выдержку из него). Куда он исчез
    (хм, ну и вправду, ситуация с забыванием договоров для наших банков не характерна)?
    Если договор таки был и ЛК его нарушили - да, они виноваты и непорядочны. Если договора не
    было - тогда это уже проблемы тех, кто договаривался об анализе


    Отвечаю еще раз. Никакого документа подписанного сторонами я, равно как и остальные не видел. Никаких соглашений о конфиденциальности (как впрочем и других) я не подписывал.

    2. К вопросу о 'понедельничных' апгрейдах - были ли они и что из себя представляли? Как
    выглядели предупреждения Бифита и ЛК о дыре? Хотелось бы услышать хотя бы одного из
    клиентов Бифита - а то кроме криков конфликтующих сторон ответа на данный вопрос я не
    нашел...


    Кусок текста из апгрейда Димитрий где-то здесь на форуме привел, я его уже прокомментировал - ДСЧ исправлен, исправлен неграмотно. Текст предупреждения есть на сайте Бифита, под рубрикой исправлена ошибка ...

    . Алексею Волкову - каким боком к этому конфликту примешана РусКрипто Ассоциация? При
    экспертизе iBank вы выступали как эксперт ЛК или РусКрипто? Почему заявление
    (http://www.ice.ru/ruscrypto/2433, пункт 'Почему было принято решение проинформировать
    широкую общественность о взломе системы интернет - банкинга iBank компании
    БИФИТ?') с обяснением причины разглашения информации исходит не от ЛК?


    Эксперты РусКрипто участвовали в анализе системы совместно с экспертами ЛАН Крипто. Информация пошла от РусКрипто, потому что решение опубликовать ее исходило от меня. Лебедев опубликовал заявление на сайте ЛАН Крипто в более мягком виде. Я отвечаю за себя, поэтому я объясняю свою позицию. Позицию ЛАН Крипто пусть объясняет ЛАН Крипто.

    Комментарий


    • #3
      РусКрипто более или менее высказалось, а где остальные.

      Комментарий


      • #4
        Уважаемые коллеги !

        Позвольте от имени одного из первых клиентов "Бифита" высказать свою точку зрения на проблему и ответить на вопросы. Система эксплуатируется в ОАО АКБ "Югра" с 1999 года, в настоящий момент установлена в пяти филиалах банка.

        После того, как стало известно о найденном баге, все филиалы удачно перешли на версию 1.8.2, на которой и сейчас продолжают работать. Перебоев в обслуживании клиентов не возникало, как впрочем, и пожеланий о смене ключей.

        Также, специализированным атакам на систему Интернет-банкинга Банк тоже не подвергался.

        Теперь позвольте высказать свое мнение о данной проблеме.

        Позвольте риторический вопрос: кто-нибудь из вас может представить себе банк, который будет делать доходы на подделке платежных поручений клиентов ? Сколько такой банк сможет реально просуществовать и сколько у него будет клиентов ? В банковском деле, на мой взгляд, главное - это доверие Клиента Банку. В том числе и с системой Интернет-банкинга.

        А с точки зрения автоматизатора, гораздо проще подделать или изменить клиентский документ на этапе связки iBank-АБС, не занимаясь вскрытием сложных криптографических алгоритмов.

        Не являясь специалистом в области криптографии, могу заметить, что подход компании-разработчика к открытию своих алгоритмов ЭЦП и шифрации мне представляется более честным по отношению к Банкам-пользователям системы. Но, конечно, такой подход не может не вызывать противодействия как со стороны государственных органов, так и компаний, работающих на этом рынке. История с распространявшейся в исходных текстах системой PGP является наглядным примером. А также экпортные ограничения на средства шифрации в ряде стран...

        Данный конфликт создал прецендент широкого обсуждения проблем развития криптографии, что, на мой взгляд, приведет к совершенствованию услуг, оказываемых на этом рынке, развитию законодательной базы, а в выигрыше окажемся мы все - потребители.

        С уважением ко всем участникам конференции,

        Сергей Сурба.

        Директор Департамента ИТ
        ОАО АКБ "Югра"

        Комментарий


        • #5
          отправил Le Colonel
          РусКрипто более или менее высказалось, а где остальные.
          К сожалению кроме выступлений на Банкире мне еще и работать приходится Поэтому с утра не ответил. Отвечаю по пунктам.

          1. По-моему, самый важный вопрос - договор. А был ли мальчик? Если был - просьба текст в конфу (по-моему, на банкире г.Репан приводил даже выдержку из него). Куда он исчез (хм, ну и вправду, ситуация с забыванием договоров для наших банков не характерна)? Если договор таки был и ЛК его нарушили - да, они виноваты и непорядочны. Если договора не было - тогда это уже проблемы тех, кто договаривался об анализе...
          К сожалению, в понедельник 13-го августа банк, заказавший экспертизу у ЛАН Крипто, сослался на отсутствие у него экземпляра Договора на экспертизу. Пояснив, что оба экземпляра по недосмотру остались у ЛАН Крипто. Вечером автоматизатор банка был у Лебедева с целью забрать Договор. Лебедев, со слов банковского автоматизатора, отказал возвращать банковский экземпляр. Фамилий руководителя банка, чья подпись стоит под Договором, начальника управления автоматизации и автоматизатора, ездевшего забирать Договор называть не буду из этических соображений. Захотят - сами представятся. Форум они точно читают.

          Перед заключением Договора, я просил предоставить окончательный вариант, дабы убедиться в наличие пункта о конфиденциальности. Договор в виде вордовского файла у меня есть. Именно из него я и приводил цитаты.

          2. К вопросу о 'понедельничных' апгрейдах - были ли они и что из себя представляли? Как выглядели предупреждения Бифита и ЛК о дыре? Хотелось бы услышать хотя бы одного из клиентов Бифита - а то кроме криков конфликтующих сторон ответа на данный вопрос я не нашел...
          Апрейды были. В понедельник и во вторник сами обкатали процедуру апгрейда на нескольких московских банках. Для оперативности апгрейд рассылался мылом. Представлял из себя набор файлов (новые апплеты, сервера приложений, и т.д.).

          3. Вопрос к Бифиту и г.Репану - что из себя представляло сертификационное заключение ФАПСИ, желательно текст - из реплик по этому поводу в форумах какие-либо выводы сделать затруднительно. Так же - если это не секрет, хотелось бы взглянуть на текст договора на сертификацию - опять же если не секрет...
          Никакой сертификации Агентством (ФАПСИ) iBank'а не было. Как и не было сертификационного заключения ФАПСИ.

          Было предложение от одного московского банка провести экспертизу iBank'а "в комплексе", в том числе и части исходников. В качестве эксперта выступал, как уже об этом заявлял Леонтьев Сергей, ГУП НТЦ АТЛАС (имеющий все необходимые Лицензии ФАПСИ, в том числе и на проведение экспертизы).

          Отчет был передан экспертом банку. Мы созвонились с экспертом и попросили копию отчета. Он сослался на Договор, на свои обязательства о неразглашении (даже нам!!!) и направил нас в банк, ибо все права на результаты работы принадлежали банку. Банк предоставил нам часть отчета, касательно непосредственно самого iBank'а. По всей видимости экспертиза была не только iBank'а, а более глобальная. Я не считаю возможным предоставить весь отчет в форум, ибо это дело банка, владеющего правами на отчет. Могу отметить, что мы не совсеми пунктами согласились.

          Что касается датчика, то в отчете было указано, что к ГСЧ предъявляются традиционно высокие требования, что возможны атаки из-за слабостей используемых ГСЧ и что полномасштабное исследование ГСЧ проводится в ходе сертификационных испытаний (см. ПКЗ-99).

          5. Вопрос к Бифиту - пару дней пытался слить ваш софт (просто интересно на предмет разговора поглядеть) - результат нулевой... в чем проблема?
          Нет никаких проблем. Дистрибутив 1.8.1.10 мы убрали из-за бага в нем. Дистрибутив 1.8.2 мы не выложили на сайт из-за выпуска в ближайшее время принципиально новой версии Интернет-Банкинга - iBank 2. Сейчас ведутся заключительные работы. Если есть желание получить iBank 1.8.2 - нет проблем. Выложем.

          6. Вопрос Бифиту - будет ли какой-либо сторонней организацией проведена повторная экспертиза софта?
          Обязательно. Сейчас ведутся работы по доработке текущих библиотек. Связаны они с желанием сделать наши Java-библиотеки совместимыми с сертифицированными ФАПСИ СКЗИ. Речь идет о нотации, параметрах, таблицах замен и т.д. Также для возможности из-под Java работать с сертифицированными ФАПСИ СКЗИ пишутся "обертки" для СКЗИ. Пока это только эксперименты.

          Еще проводили тестирование SeedGenerator'а (ДСЧ), давно используемого в iBank 1.х. Готовим отчет. Идет тестирование SecureRandom'а (ГСЧ), также используемого в iBank 1.x. Отчет опубликуем позже.

          7. Вопрос ЛК - было ли вам сделано предложение встроить ваше крипто в iBank на 'равноправных' началах? если да - что из этого получилось?
          Позволю себе прокомментировать этот вопрос. С пол-года назад БИФИТ вел переговоры с ЛАН Крипто о встраивании СКЗИ ЛАН Крипто в iBank. Инициатором такого шага явился один из банков, давно и успешно эксплуатировавший ЛАН Криптовское СКЗИ в рамках своего Банк-Клиента, и пожелавший интегрировать ЛАН Крипто в iBank. Мы были только "ЗА". Но по не зависящим от БИФИТа причинам СКЗИ ЛАН Крипто так и не было встроено в iBank. Я даже был готов провести эти работы бесплатно!

          11. Вопрос Бифиту - что предпринимается в отношении ваших клиентов на данный момент? Какова вероятность атаки на ваш софт? Кстати, введена ли в вашей программе защита софта от декомпиляции (декомпиляторов Java по сети - немеряно, причем достаточно неплохо работающих) - ведь не факт, что ЛК могло получит информацию о баге первыми (все-таки, защита в основном делается от хакеров, а не от спецов ЛК ж-))) )?
          Версию обновили процентов 95% банков, наших клиентов. Не все банки охотно и резво стали апгрейдиться на 1.8.2. Чтобы ускорить процесс, мы сразу и всем заявили, что переход на iBank 2 будет осущетсвляться исключительно с iBank 1.8.2.

          Защищаться от декомпиляции необходимо только из соображений сокрытия каких-то технологических изюминок в софте.

          К примеру весь iBank 2 будет точно обфусцирован. Слишком много нового и интересного есть в iBank 2. К примеру достаточно большой набор написанных нами уникальных и очень компактных визуальных компонент для JDK 1.1.

          Отношение БИФИТа к открытости механизмов защиты информации не поменяется. Исходники криптобиблиотек всегда были и будут доступны.

          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            Что касается датчика, то в отчете было указано, что к ГСЧ предъявляются традиционно высокие требования, что возможны атаки из-за слабостей используемых ГСЧ и что полномасштабное исследование ГСЧ проводится в ходе сертификационных испытаний (см. ПКЗ-99).


            Это не к Димитрию лично, а в подтверждение гипотез...
            Забавная ситация складывается по НТЦ АТЛАС.
            Итак анлиз был, и как пишет Димитрий

            "экспертиза была глобальная"

            Теперь см. цитату "возможны атаки из-за слабостей используемых ГСЧ и что полномасштабное исследование ГСЧ проводится в ходе сертификационных испытаний "
            То есть сказали общие слова, а самоочевидную дырку не увидели. Какие после этого могут быть рассуждения о квалификации экспертов АТЛАСа

            Комментарий

            Пользователи, просматривающие эту тему

            Свернуть

            Присутствует 1. Участников: 0, гостей: 1.

            Обработка...
            X