Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Уязвимость iBank 2.0.1.4 11.06.02 13:26
Publisher: dl <Dmitry Leonov>
|
Уязвимость iBank 2.0.1.4 Описание уязвимости http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=50191
В последней версии iBank 2.0.1.4 компании БИФИТ (www.bifit.ru) со
сторонней криптографией, при недобросовестности администратора банка,
существует возможность исполнения на машине клиента неподписанного кода с правами подписанного без каких-либо уведомлений пользователя.
"Отравленный" код будет исполняться с правами и от имени браузера (или
его JVM) и соответственно не будет заблокирован/отслежен большинством
firewall'ов и антитроянов.
Эта ошибка позволяет легко и незаметно захватить машину даже опытного пользователя с грамотно поставленной защитой.
В новой версии iBank 2.1.0.5 ошибка устранена: http://www.bifit.com/s-download.html
Полный текст
|
|
Уязвимость iBank 2.0.1.4 12.06.02 14:51
Автор: Димитрий Статус: Незарегистрированный пользователь
|
Уважаемый Дмитрий Леонов!
Запись в RIPN'е о владельце домена bugtraq.ru, а также наличие на сайте копирайта и ссылки на Ваш e-mail, позволили мне сделать предположение, что портал BugTraq.RU модерируете именно Вы.
В связи с этим я обращаюсь к Вам, как к модератору портала, и, по всей видимости, Редактору новостей RSN (судя по Вашей периодическому постингу RSN в фидошную эху ru.security).
Размещенная на Вашем сайте новость - http://www.bugtraq.ru/rsn/archive/2002/06/14.html - об обнаружении уязвимости в системе iBank 2 при использовании внешнего СКЗИ является тенденциозной, явно носит "жареный" характер, и что самое печальное - не соответствует действительности.
Чуть менее недели назад я комментировал ситуацию с использованием ПБЗИ "Базис-защита" Александру Комлину. Я считал, что мне удалось донести до Александра необоснованность его выводов, ибо исходные данные, от которых отталкивался г-н Комлин, были ошибочны (по всей видимости из-за поверхностного ознакомления с системой, из-за горячности и скорополительности эксперта, а также из-за, к сожалению, явного недостатка квалификации в нюансах Java-security).
Позиция компании "БИФИТ" всегда была, есть и будет открытой в отношении вопросов информационной безопасности разрабатываемого нами банковского ПО. Мы всецело приветствуем и поддерживаем проведение независимых исследований наших разработок. Более того, мы постоянно привлекаем сторонних специалистов для проведения независимых экспертиз.
В тоже время я бы просил впредь более деликатно относиться к публикациям новостей о найденных багах в банковском и финансовом ПО. Прежде чем публиковать подобные жаренные новости следует максимально подробно и всесторонне ознакомиться с затронутыми экспертом вопросами, оценить глубину знаний экспертом исследуемой системы.
То, что приемлемо и полезно с пиаровской точки зрения для фришных интернет-сервисов и шароварных программ, совершенно недопустимо для сферы финансового ПО. Подобные жаренные всесторонне непроверенные новости в секторе банковского ПО чреваты колосальными убытками для пользоваталей этих решений.
Что если завтра, в четверг, 13 июня, какой-нибудь большой и серьезный клиент не менее серьезного банка позвонит в свой банк, и не разобравшись в сути вопроса, а также используя Вашу непроверенную новость всего лишь как повод, заявит о своем уходе из этого банка, и последний потеряет гарантированно зарабатываемые ххх k$ в месяц на этом клиенте? Что тогда? Ведь люди работают, трудятся....
Дмитрий, вчера я постарался максимально подробно прокомментировать письмо г-на Комлина в форуме Crypto на BugTraq.ru - http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=50536 . В тоже время я считаю этот комментарий совершенно недостаточным, ибо кроме форума еще была "новость".
"Новость", абсолютно не соответствующая действительности, вдобавок была изложена в стиле ответственного редактора газеты "Утренняя Заря и Боевой Клич округа Джонсон" из знаменитого рассказа Марка Твена "Журналистика в Теннесси" - http://www.twain.narod.ru/ten.htm
Дмитрий, Ваш портал пользуется заслуженным уважением, Ваш портал посещает большое количество IT-специалистов, работающих в том числе и в банковской сфере. Подобная жаренная "новость" нам и нашим клиентам точно в минус. В очень большой минус. К сожалению, далеко не все будут разбираться в перепетиях и тонкостях, в рассуждениях эксперта и в комментариях разработчика. И очень многие вынесут только негатив из этой новости, собранной, кстати из фраз бурного и эмоционального письма г-на Комлина.
Со стороны разработчика считаю совершенно невозможным удаление этой "новости" с Вашего сайта. "Новость" уже прозвучала, уже "выстрелила". Слово сказано. Удалять либо редактировать новость недопустимо.
Единственным корректным и примемелмым для нас выходом является размещение в новостях RSN официального опровержения.
Надеюсь на понимание Вами, Дмитрий, нашей позиции.
С уважением, Репан Димитрий
Исполнительный директор компании "БИФИТ" - www.bifit.com
Тел/факс (095) 465-4760, 465-0253
E-mail: rdv@bifit.com
|
| |
Уязвимость iBank 2.0.1.4 13.06.02 02:36
Автор: dl <Dmitry Leonov>
|
Вообще-то было достаточно и личного письма, на которое я уже ответил.
Отвечу еще раз чуть подробнее.
1. Если новость тенденциозна и высосана из пальца, то непонятно, зачем было выпускать новую версию, исправляющую описанную проблему.
2. Публикация новости откладывалась дважды, чтобы получить возможность добавить в нее слова об уже существующем исправлении - это к вопросу о жарености.
3. Естественно, я готов опубликовать в RSN и противоположную точку зрения. Поскольку в рассылку первоначальная новость еще не ушла, еще есть шанс пустить их обе в одном выпуске - а основная масса читающих приходится именно на рассылку.
4. Логическая цепочка по поводу, кому можно доверять, с доведением до абсурда (сертификационный центр - публикация кода - закладка в java.math и т.п.) на самом деле не так уж и абсурдна, если вдруг речь пойдет об абсолютной безопасности. Каковой, как мы все знаем, не бывает, поскольку речь может идти лишь о некотором допустимом уровне. Стоит ли опускать этот уровень до позиции безоглядного доверия клиента банку - вопрос очень спорный. В конце концов, будь во всем достаточно доверия, не понадобились бы игры с цифровой подписью.
Наконец, я не думаю, что данная новость будет работать только в минус. Минусы понятны, но это издержки политики full disclosure. Уязвимости есть у всех. Быстрая реакция и устранение пусть даже чисто гипотетической лазейки говорят только в пользу компании.
|
| | |
Уязвимость iBank 2.0.1.4 17.11.02 05:57
Автор: chubrik Статус: Незарегистрированный пользователь
|
А я думаю что клиентам стоит задумываться над вопросом почему некоторые банки сами генерируют ключи и раздают клиентам.
|
| |
"Хотелось бы выслушать мнение начальника транспортного цеха!" (с) Жванецкий 12.06.02 23:48
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
|
|
|