информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Уязвимость iBank 2.0.1.4 12.06.02 14:51  Число просмотров: 1406
Автор: Димитрий Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемый Дмитрий Леонов!

Запись в RIPN'е о владельце домена bugtraq.ru, а также наличие на сайте копирайта и ссылки на Ваш e-mail, позволили мне сделать предположение, что портал BugTraq.RU модерируете именно Вы.

В связи с этим я обращаюсь к Вам, как к модератору портала, и, по всей видимости, Редактору новостей RSN (судя по Вашей периодическому постингу RSN в фидошную эху ru.security).

Размещенная на Вашем сайте новость - http://www.bugtraq.ru/rsn/archive/2002/06/14.html - об обнаружении уязвимости в системе iBank 2 при использовании внешнего СКЗИ является тенденциозной, явно носит "жареный" характер, и что самое печальное - не соответствует действительности.

Чуть менее недели назад я комментировал ситуацию с использованием ПБЗИ "Базис-защита" Александру Комлину. Я считал, что мне удалось донести до Александра необоснованность его выводов, ибо исходные данные, от которых отталкивался г-н Комлин, были ошибочны (по всей видимости из-за поверхностного ознакомления с системой, из-за горячности и скорополительности эксперта, а также из-за, к сожалению, явного недостатка квалификации в нюансах Java-security).

Позиция компании "БИФИТ" всегда была, есть и будет открытой в отношении вопросов информационной безопасности разрабатываемого нами банковского ПО. Мы всецело приветствуем и поддерживаем проведение независимых исследований наших разработок. Более того, мы постоянно привлекаем сторонних специалистов для проведения независимых экспертиз.

В тоже время я бы просил впредь более деликатно относиться к публикациям новостей о найденных багах в банковском и финансовом ПО. Прежде чем публиковать подобные жаренные новости следует максимально подробно и всесторонне ознакомиться с затронутыми экспертом вопросами, оценить глубину знаний экспертом исследуемой системы.

То, что приемлемо и полезно с пиаровской точки зрения для фришных интернет-сервисов и шароварных программ, совершенно недопустимо для сферы финансового ПО. Подобные жаренные всесторонне непроверенные новости в секторе банковского ПО чреваты колосальными убытками для пользоваталей этих решений.

Что если завтра, в четверг, 13 июня, какой-нибудь большой и серьезный клиент не менее серьезного банка позвонит в свой банк, и не разобравшись в сути вопроса, а также используя Вашу непроверенную новость всего лишь как повод, заявит о своем уходе из этого банка, и последний потеряет гарантированно зарабатываемые ххх k$ в месяц на этом клиенте? Что тогда? Ведь люди работают, трудятся....

Дмитрий, вчера я постарался максимально подробно прокомментировать письмо г-на Комлина в форуме Crypto на BugTraq.ru - http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=50536 . В тоже время я считаю этот комментарий совершенно недостаточным, ибо кроме форума еще была "новость".

"Новость", абсолютно не соответствующая действительности, вдобавок была изложена в стиле ответственного редактора газеты "Утренняя Заря и Боевой Клич округа Джонсон" из знаменитого рассказа Марка Твена "Журналистика в Теннесси" - http://www.twain.narod.ru/ten.htm

Дмитрий, Ваш портал пользуется заслуженным уважением, Ваш портал посещает большое количество IT-специалистов, работающих в том числе и в банковской сфере. Подобная жаренная "новость" нам и нашим клиентам точно в минус. В очень большой минус. К сожалению, далеко не все будут разбираться в перепетиях и тонкостях, в рассуждениях эксперта и в комментариях разработчика. И очень многие вынесут только негатив из этой новости, собранной, кстати из фраз бурного и эмоционального письма г-на Комлина.

Со стороны разработчика считаю совершенно невозможным удаление этой "новости" с Вашего сайта. "Новость" уже прозвучала, уже "выстрелила". Слово сказано. Удалять либо редактировать новость недопустимо.

Единственным корректным и примемелмым для нас выходом является размещение в новостях RSN официального опровержения.

Надеюсь на понимание Вами, Дмитрий, нашей позиции.

С уважением, Репан Димитрий
Исполнительный директор компании "БИФИТ" - www.bifit.com
Тел/факс (095) 465-4760, 465-0253
E-mail: rdv@bifit.com
<site updates> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach