Опровержение уязвимости в iBank 2.0.1.4 cybervlad // 14.06.02 07:15
Компания Бифит, производитель программного обеспечения для дистанционного управления счетом через интернет, опубликовала на своем сайте пресс-релиз по поводу обнаруженной Александром Комлиным уязвимости в iBank 2.0.1.4. [Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2002/06/18.html] По словам разработчиков, начиная с версии 2.0.1.4, у банков отсутствует возможность самостоятельно переназначать используемые клиентами СКЗИ на другие, отличные от встроенных, но соответствующих спецификациям JCA и JCE, а сами СКЗИ должны передаваться клиенту ганартированным путем (исключающим модификацию) на дискете/CD-ROM под роспись в журнале поэкземплярного учета. Таким образом, у нечестного сотрудника банка отсутствует возможность незаметно внести программное обеспечение с закладкой на компьютер клиента.
Что мешает злоумышленнику использовать старый апплет? Насколько я разобрался он позволяет использовать любую библиотеку прямо с сервера?
Подпись под ним не отозвана => он будет исполняться на машине пользователя без предупреждения.
2dl - Устранение ошибки отныне есть ее опровержение?16.06.02 15:49 Автор: Случайно зашел Статус: Незарегистрированный пользователь
В прошлом сообщении RSN была дана ссылка на статью Комлина о ошибкахв IBank 2,1,0,4.
В частности речь шла о возможности смены провайдера шифрования на заглушку или слабый метод позволяющий установить секретный ключ (т.н ошибка III). Из статьи можно сделать вывод, что будет выполнена любая библиотека формально соответствующая по интерфейсу.
Судя по обсуждению и вышесказанному это правда.
Тем не менее появилось сообщение об "опровержении"
Поэтому появляется вопрос: устранение ошибки в новых версиях продукта отныне считается опровержением ?
Странная позиция у редакторов RSN...
Эта же проблема активно обсуждается на Bankir.ru, но и там дело не идёт к "опровержению".
> Судя по обсуждению и вышесказанному это правда. > Тем не менее появилось сообщение об "опровержении" А Вы считаете, что разработчик не имеет право высказать свое мнение по проблеме?
> Поэтому появляется вопрос: устранение ошибки в новых > версиях продукта отныне считается опровержением ? Нет, исправление - это исправление. Опять же, [b]по заявлению разработчика[/b], ошибка отсутствовала в той версии, которая тестировалась.
> Странная позиция у редакторов RSN... Ничего странного. Высказалась одна сторона, почему не дать слово другой? Кстати, при формулировке новости, я постарался выдержать максимально нейтральный стиль, т.е. не высказывать своего мнения по поводу происходящего (ни от себя лично, ни от имени bugtraq.ru), а только кратко изложить суть пресс-релиза Бифита.
Первичное сообщение об ошибке появилось в ленте новостей и ушло в список рассылки. Наверное, будет честно, если ответ разработчика будет не только в форуме, на доске обсуждения новостей (которая, в рассылку, естесвенно не попадает), но и уйдет по тем же каналам оффлайновым читателям. А они уж как-нибудь разберуться сами. В конце концов, сходят сюда или на bankir.ru.
Кто-то говорит неправду?17.06.02 12:48 Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь
Доброе утро, уважаемые коллеги.
Сразу предупрежу: к "Случаяно зашедшему" я никак не отношусь :)
> > > Поэтому появляется вопрос: устранение ошибки в новых > > версиях продукта отныне считается опровержением ? > Нет, исправление - это исправление. Опять же, [b]по > заявлению разработчика[/b], ошибка отсутствовала в той > версии, которая тестировалась. Все же "исправление" и "опровержение" применяются в разных ситуациях.
Если сообщение об ошибке не соответсвует действительности: да это опровержение
Если соответсвует, но исправлено: это исправление.
Поэтому возникает вопрос:была ли ошибка? Вероятно была т.к.
1) по большому счёту г-н Комлин лицо незаинтересованное
2) номер версии не играл большой т.к. эта ошибка имеет долгосрочные последствия в том плане, что
2а) подписанный код может применяться достаточно долго пока не будет изменён формат подписываемого сообщения (этого похоже не было сделано)
2б) приём уже мог быть применён.
> > Странная позиция у редакторов RSN... > Ничего странного. Высказалась одна сторона, почему не дать > слово другой? Логично.
Всего доброго.
Кто-то говорит неправду?17.06.02 13:33 Автор: dl <Dmitry Leonov>
Насколько я понимаю, позиция Бифита такова: опасность чисто гипотетическая, и вообще надо доверять банку, исправление же было сделано из маркетинговых соображений и случилось чуть раньше публикации Комлина.
Приветствую Всех!
Вообще-то спор с Бифит шёл не о номерах версий, но если кому интересно вот
объяснение, которое дал Дмитрий Репан - директор Бифит.
Для тестирования сервиса я использовал демо-стенд этой компании, на котором забыли обновить ПО и где лежала версия недельной давности. В банки по словам Д. Репана уже поступила новая версия.
Но как я уже говорил, споры здесь и на bankrir.ru велись вовсе не о номере уязвимой версии. Просто потому, что подписи апплетов, форматы данных и интерфейсы в уязвимых и новых версиях ничем не отличаются и никто не мешает атакующему использовать старый (уязвимый) релиз апплета, который также будет исполнен без предупреждения.
Суть опровержения Бифит в другом: данная атака возможна только со стороны банка, а пользователям следует полностью доверять банку.
К сожалению, так и не было ответа на вопрос(или это я не нашёл его): зачем в таком случае вообще нужно дорогостоящее во всех отношениях ПО с ЭЦП? В условиях полного доверия пользователя банку, закреплённого в договоре, вполне достаточно программы ввода платёжки с паролем на вход (при необходимости длинным и стойким к подбору паролем на дискете).