информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Уязвимость iBank 2.0.1.4 13.06.02 02:36  Число просмотров: 1503
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Вообще-то было достаточно и личного письма, на которое я уже ответил.
Отвечу еще раз чуть подробнее.

1. Если новость тенденциозна и высосана из пальца, то непонятно, зачем было выпускать новую версию, исправляющую описанную проблему.

2. Публикация новости откладывалась дважды, чтобы получить возможность добавить в нее слова об уже существующем исправлении - это к вопросу о жарености.

3. Естественно, я готов опубликовать в RSN и противоположную точку зрения. Поскольку в рассылку первоначальная новость еще не ушла, еще есть шанс пустить их обе в одном выпуске - а основная масса читающих приходится именно на рассылку.

4. Логическая цепочка по поводу, кому можно доверять, с доведением до абсурда (сертификационный центр - публикация кода - закладка в java.math и т.п.) на самом деле не так уж и абсурдна, если вдруг речь пойдет об абсолютной безопасности. Каковой, как мы все знаем, не бывает, поскольку речь может идти лишь о некотором допустимом уровне. Стоит ли опускать этот уровень до позиции безоглядного доверия клиента банку - вопрос очень спорный. В конце концов, будь во всем достаточно доверия, не понадобились бы игры с цифровой подписью.

Наконец, я не думаю, что данная новость будет работать только в минус. Минусы понятны, но это издержки политики full disclosure. Уязвимости есть у всех. Быстрая реакция и устранение пусть даже чисто гипотетической лазейки говорят только в пользу компании.
<site updates>
Уязвимость iBank 2.0.1.4 11.06.02 13:26  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Уязвимость iBank 2.0.1.4
Описание уязвимости http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=50191

В последней версии iBank 2.0.1.4 компании БИФИТ (www.bifit.ru) со сторонней криптографией, при недобросовестности администратора банка, существует возможность исполнения на машине клиента неподписанного кода с правами подписанного без каких-либо уведомлений пользователя.
"Отравленный" код будет исполняться с правами и от имени браузера (или его JVM) и соответственно не будет заблокирован/отслежен большинством firewall'ов и антитроянов.
Эта ошибка позволяет легко и незаметно захватить машину даже опытного пользователя с грамотно поставленной защитой.
В новой версии iBank 2.1.0.5 ошибка устранена: http://www.bifit.com/s-download.html


Полный текст
Уязвимость iBank 2.0.1.4 12.06.02 14:51  
Автор: Димитрий Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемый Дмитрий Леонов!

Запись в RIPN'е о владельце домена bugtraq.ru, а также наличие на сайте копирайта и ссылки на Ваш e-mail, позволили мне сделать предположение, что портал BugTraq.RU модерируете именно Вы.

В связи с этим я обращаюсь к Вам, как к модератору портала, и, по всей видимости, Редактору новостей RSN (судя по Вашей периодическому постингу RSN в фидошную эху ru.security).

Размещенная на Вашем сайте новость - http://www.bugtraq.ru/rsn/archive/2002/06/14.html - об обнаружении уязвимости в системе iBank 2 при использовании внешнего СКЗИ является тенденциозной, явно носит "жареный" характер, и что самое печальное - не соответствует действительности.

Чуть менее недели назад я комментировал ситуацию с использованием ПБЗИ "Базис-защита" Александру Комлину. Я считал, что мне удалось донести до Александра необоснованность его выводов, ибо исходные данные, от которых отталкивался г-н Комлин, были ошибочны (по всей видимости из-за поверхностного ознакомления с системой, из-за горячности и скорополительности эксперта, а также из-за, к сожалению, явного недостатка квалификации в нюансах Java-security).

Позиция компании "БИФИТ" всегда была, есть и будет открытой в отношении вопросов информационной безопасности разрабатываемого нами банковского ПО. Мы всецело приветствуем и поддерживаем проведение независимых исследований наших разработок. Более того, мы постоянно привлекаем сторонних специалистов для проведения независимых экспертиз.

В тоже время я бы просил впредь более деликатно относиться к публикациям новостей о найденных багах в банковском и финансовом ПО. Прежде чем публиковать подобные жаренные новости следует максимально подробно и всесторонне ознакомиться с затронутыми экспертом вопросами, оценить глубину знаний экспертом исследуемой системы.

То, что приемлемо и полезно с пиаровской точки зрения для фришных интернет-сервисов и шароварных программ, совершенно недопустимо для сферы финансового ПО. Подобные жаренные всесторонне непроверенные новости в секторе банковского ПО чреваты колосальными убытками для пользоваталей этих решений.

Что если завтра, в четверг, 13 июня, какой-нибудь большой и серьезный клиент не менее серьезного банка позвонит в свой банк, и не разобравшись в сути вопроса, а также используя Вашу непроверенную новость всего лишь как повод, заявит о своем уходе из этого банка, и последний потеряет гарантированно зарабатываемые ххх k$ в месяц на этом клиенте? Что тогда? Ведь люди работают, трудятся....

Дмитрий, вчера я постарался максимально подробно прокомментировать письмо г-на Комлина в форуме Crypto на BugTraq.ru - http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=50536 . В тоже время я считаю этот комментарий совершенно недостаточным, ибо кроме форума еще была "новость".

"Новость", абсолютно не соответствующая действительности, вдобавок была изложена в стиле ответственного редактора газеты "Утренняя Заря и Боевой Клич округа Джонсон" из знаменитого рассказа Марка Твена "Журналистика в Теннесси" - http://www.twain.narod.ru/ten.htm

Дмитрий, Ваш портал пользуется заслуженным уважением, Ваш портал посещает большое количество IT-специалистов, работающих в том числе и в банковской сфере. Подобная жаренная "новость" нам и нашим клиентам точно в минус. В очень большой минус. К сожалению, далеко не все будут разбираться в перепетиях и тонкостях, в рассуждениях эксперта и в комментариях разработчика. И очень многие вынесут только негатив из этой новости, собранной, кстати из фраз бурного и эмоционального письма г-на Комлина.

Со стороны разработчика считаю совершенно невозможным удаление этой "новости" с Вашего сайта. "Новость" уже прозвучала, уже "выстрелила". Слово сказано. Удалять либо редактировать новость недопустимо.

Единственным корректным и примемелмым для нас выходом является размещение в новостях RSN официального опровержения.

Надеюсь на понимание Вами, Дмитрий, нашей позиции.

С уважением, Репан Димитрий
Исполнительный директор компании "БИФИТ" - www.bifit.com
Тел/факс (095) 465-4760, 465-0253
E-mail: rdv@bifit.com
Уязвимость iBank 2.0.1.4 13.06.02 02:36  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Вообще-то было достаточно и личного письма, на которое я уже ответил.
Отвечу еще раз чуть подробнее.

1. Если новость тенденциозна и высосана из пальца, то непонятно, зачем было выпускать новую версию, исправляющую описанную проблему.

2. Публикация новости откладывалась дважды, чтобы получить возможность добавить в нее слова об уже существующем исправлении - это к вопросу о жарености.

3. Естественно, я готов опубликовать в RSN и противоположную точку зрения. Поскольку в рассылку первоначальная новость еще не ушла, еще есть шанс пустить их обе в одном выпуске - а основная масса читающих приходится именно на рассылку.

4. Логическая цепочка по поводу, кому можно доверять, с доведением до абсурда (сертификационный центр - публикация кода - закладка в java.math и т.п.) на самом деле не так уж и абсурдна, если вдруг речь пойдет об абсолютной безопасности. Каковой, как мы все знаем, не бывает, поскольку речь может идти лишь о некотором допустимом уровне. Стоит ли опускать этот уровень до позиции безоглядного доверия клиента банку - вопрос очень спорный. В конце концов, будь во всем достаточно доверия, не понадобились бы игры с цифровой подписью.

Наконец, я не думаю, что данная новость будет работать только в минус. Минусы понятны, но это издержки политики full disclosure. Уязвимости есть у всех. Быстрая реакция и устранение пусть даже чисто гипотетической лазейки говорят только в пользу компании.
Уязвимость iBank 2.0.1.4 17.11.02 05:57  
Автор: chubrik Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А я думаю что клиентам стоит задумываться над вопросом почему некоторые банки сами генерируют ключи и раздают клиентам.
"Хотелось бы выслушать мнение начальника транспортного цеха!" (с) Жванецкий 12.06.02 23:48  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach