Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
2dl. Реконструкция ошибки. Угадал? 10.06.02 09:15 Число просмотров: 2761
Автор: exhacker Статус: Незарегистрированный пользователь
Отредактировано 10.06.02 09:20 Количество правок: 2
|
Что-то новое на bugtraq'e. Раньше анонсов не встречалось.
Попробую догадаться про что.
На форуме bankir.ru промелькнуло сообщение комлина о наличие в ibank орг. ошибки в защите которая будет в воскресенье опубликованна на rsn. Потом подозрительно тихий ответ Бифита, "мы готовы ответить...", затёртое сообщение комлина, и удивлённые вопросы посетителей, что всё это значит. Здесь сообщения в обещанные сроки не появилось. Полагаю оно и непоявится поэтому и пишу сам..
Что значило слово "орг." Если "организационная" то это практически всё объясняет.
Полагаю комлин писал об ошибке связанной с ненадёжной инсталляцией ibank: об отсуствии сертификата на сервер bifit.com и подписи под некоторыми приложениями.
Это позволяет подменять программы при их установке.
Угадал?
Реконструкция ошибки в iBank.
Копия ответа с http://dom.bankir.ru/showthread.php?s=1b613c69e99fa65e9f042f304bf55f26&postid=380876#post380876
Ц и т а т а :
--------------------------------------------------------------------------------
Экспертик.
Орг. - значит организационная? Каким контекстом это может быть отнесено к программе?.
--------------------------------------------------------------------------------
Организационная – значит не в самой программе, а в её окружении и условиях применения (например инсталляции).
Наталья, раз уж Вы "эксперта" в своём нике держите, надобно уметь с пол-намёка догадываться
Этой фразы Комлина вполне достаточно. Может он мог рассказать подбробнее , но полагаю, ноги отсюда росли, а подробности не столь уж важны.
Не исключаю, что всё-таки ошибся и Комлин писал про другую ошибку, но эту рекомендую устранить как можно быстрее.
Зайдите на bifit.com, скачайте продукт. http://www.bifit.com/s-download.html
Ц и т а т а :
--------------------------------------------------------------------------------
" У нас нет никаких демонстрационных версий, lite-версий, пробных версий и т.п. На нашем сайте доступен единый коммерческий дистрибутив системы iBank 2. " (И апдейты к нему там же - моё прим).
--------------------------------------------------------------------------------
На этом можно и остановиться 8=)
Программа , её утилиты и апдейты передаются по http [ftp] . Только по нему 8={ ).
В переводе на профессиональный сие значит, что архив получаемый банком после скачивания зависит:
а) От провайдера бифит-а
б) от его (банка) провайдера.
в) от тех кто между провайдерами на канале сидит
г) от тех кто их сломать может.
SSLя или Сертификата там и в помине нет ( https://www.bifit.com выдаёт ошибку). Хочешь ни хочешь качай в открытую. И проверить неизменность скачанного нельзя.
После этого продукт предлагается устанавливать на ответственные участки работы банка и его клиентов
Почему их ещё ФАПСИ как лицензиата за такой способ передачи ПО и обновлений к нему не взгрело непонятно.
Такой способ передачи возможен только ежели речь едёт о заверенном (напр. цифровой подписью ПО). Смотрим архив. Общей подписи нет. Большинство приложений Java (например admin.jar) действительно заверены, но приложения третих сторон (драйверы JDBC от Oracle , сервлеты от Sun, какие-то dll-ки, tools.jar и т.д ) доступны для модификации, не говоря уж о батниках, которые их вызывают
Даже Микрософт позволяет получить свои коммерческие продукты по закрытым каналам. (https://www.microsoft.com)
Как люди, коммерческое крипто пишущее, важности его надёжной передачи не понимают не постижимо.
2Komlin: Я угадал? Речь шла:
об отсуствии у bifit.com сертификата (поддержки SSL) и незаверенности архива?
2Бифит
Понимаю для сервера это нагрузка и сертификат денег стоит, но клиенты то у Вас не простые , и программка не копеечный. Или Вы не знаете какие у провайдеров (особенно региональных) каналы надёжные или какая сейчас у их сотрудников зарплата (в среднем $300)?
Коли хорошего хакера под рукой не окажется - $1000 -$3000 сотруднику провайдера на закладку на канал с головой хватит (всего-то дела - запись в DNS на недельку поправить -).
За прямую дорожку на сервер банка (или к его клиенту) эту сумму рано или поздно заплатят.
Ежели Вам мои слова теоретизированием пустым кажутся вспомните как Ленту.Ру ломали. Никто об их стенки (firewall'ы) не бился (думаю они ещё попрочнее Ваших, да банковских будут). Тихонько провайдера накрыли и в нужный момент в аккурат на новогодние праздники поменяли новость на свою.
Подробности здесь: http://bugtraq.ru/review/archive/2000/09-01-0.html
Хорошо парень больной был и какую-то чушь написал. Ведь мог-бы пол-страны на уши поставить.
Сейчас так добрая половина взломов делается. Провайдер(канал) по определению более уязвим чем сервер.
Поэтому господа, не надо 50 баксов на сторонний сертификат жалеть. А лучше потратьте $$$ на авторизатора VeriSign , который в IE по умолчанию прописан . Потом гораздо дороже выйдет ежели выяснится, что банк или его клиента подменённым ПО нагреют.
А ещё лучше без крайней необходимости критичное к безопасности ПО с сервера не распространять вообще. Тем паче открытого.
С Уважением exHacker.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
