информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsВсе любят медСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
А как-же Комлин её нашёл, коли она убрана была? 17.06.02 16:22  Число просмотров: 1332
Автор: Случайно зашел Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>случилось
> чуть раньше публикации Комлина.

А как-же Комлин её нашёл, коли ошибка уже убрана была?
<site updates>
Опровержение уязвимости в iBank 2.0.1.4 14.06.02 07:15  
Publisher: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
Опровержение уязвимости в iBank 2.0.1.4
bifit.com http://www.bifit.com/news.html

Компания Бифит, производитель программного обеспечения для дистанционного управления счетом через интернет, опубликовала на своем сайте пресс-релиз по поводу обнаруженной Александром Комлиным уязвимости в iBank 2.0.1.4. По словам разработчиков, начиная с версии 2.0.1.4, у банков отсутствует возможность самостоятельно переназначать используемые клиентами СКЗИ на другие, отличные от встроенных, но соответствующих спецификациям JCA и JCE, а сами СКЗИ должны передаваться клиенту ганартированным путем (исключающим модификацию) на дискете/CD-ROM под роспись в журнале поэкземплярного учета. Таким образом, у нечестного сотрудника банка отсутствует возможность незаметно внести программное обеспечение с закладкой на компьютер клиента.


Полный текст
А, что подпись под старым апплетом от этого исчезнет? 16.06.02 07:34  
Автор: Analyst Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Что мешает злоумышленнику использовать старый апплет? Насколько я разобрался он позволяет использовать любую библиотеку прямо с сервера?
Подпись под ним не отозвана => он будет исполняться на машине пользователя без предупреждения.
2dl - Устранение ошибки отныне есть ее опровержение? 16.06.02 15:49  
Автор: Случайно зашел Статус: Незарегистрированный пользователь
<"чистая" ссылка>
В прошлом сообщении RSN была дана ссылка на статью Комлина о ошибкахв IBank 2,1,0,4.

В частности речь шла о возможности смены провайдера шифрования на заглушку или слабый метод позволяющий установить секретный ключ (т.н ошибка III). Из статьи можно сделать вывод, что будет выполнена любая библиотека формально соответствующая по интерфейсу.

Судя по обсуждению и вышесказанному это правда.
Тем не менее появилось сообщение об "опровержении"

Поэтому появляется вопрос: устранение ошибки в новых версиях продукта отныне считается опровержением ?

Странная позиция у редакторов RSN...

Эта же проблема активно обсуждается на Bankir.ru, но и там дело не идёт к "опровержению".

http://dom.bankir.ru/showthread.php?s=6b2f186d93e464543b2502701bf9c612&threadid=20062
2dl - Устранение ошибки отныне есть ее опровержение? 17.06.02 08:41  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Судя по обсуждению и вышесказанному это правда.
> Тем не менее появилось сообщение об "опровержении"
А Вы считаете, что разработчик не имеет право высказать свое мнение по проблеме?

> Поэтому появляется вопрос: устранение ошибки в новых
> версиях продукта отныне считается опровержением ?
Нет, исправление - это исправление. Опять же, [b]по заявлению разработчика[/b], ошибка отсутствовала в той версии, которая тестировалась.

> Странная позиция у редакторов RSN...
Ничего странного. Высказалась одна сторона, почему не дать слово другой? Кстати, при формулировке новости, я постарался выдержать максимально нейтральный стиль, т.е. не высказывать своего мнения по поводу происходящего (ни от себя лично, ни от имени bugtraq.ru), а только кратко изложить суть пресс-релиза Бифита.
Первичное сообщение об ошибке появилось в ленте новостей и ушло в список рассылки. Наверное, будет честно, если ответ разработчика будет не только в форуме, на доске обсуждения новостей (которая, в рассылку, естесвенно не попадает), но и уйдет по тем же каналам оффлайновым читателям. А они уж как-нибудь разберуться сами. В конце концов, сходят сюда или на bankir.ru.
Кто-то говорит неправду? 17.06.02 12:48  
Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Доброе утро, уважаемые коллеги.
Сразу предупрежу: к "Случаяно зашедшему" я никак не отношусь :)
>
> > Поэтому появляется вопрос: устранение ошибки в новых
> > версиях продукта отныне считается опровержением ?
> Нет, исправление - это исправление. Опять же, [b]по
> заявлению разработчика[/b], ошибка отсутствовала в той
> версии, которая тестировалась.
Все же "исправление" и "опровержение" применяются в разных ситуациях.
Если сообщение об ошибке не соответсвует действительности: да это опровержение
Если соответсвует, но исправлено: это исправление.

Поэтому возникает вопрос:была ли ошибка? Вероятно была т.к.
1) по большому счёту г-н Комлин лицо незаинтересованное
2) номер версии не играл большой т.к. эта ошибка имеет долгосрочные последствия в том плане, что
2а) подписанный код может применяться достаточно долго пока не будет изменён формат подписываемого сообщения (этого похоже не было сделано)
2б) приём уже мог быть применён.

> > Странная позиция у редакторов RSN...
> Ничего странного. Высказалась одна сторона, почему не дать
> слово другой?
Логично.

Всего доброго.
Кто-то говорит неправду? 17.06.02 13:33  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Насколько я понимаю, позиция Бифита такова: опасность чисто гипотетическая, и вообще надо доверять банку, исправление же было сделано из маркетинговых соображений и случилось чуть раньше публикации Комлина.

Свое мнение по этому поводу я высказал здесь:
http://www.bugtraq.ru/cgi-bin/forum.cgi?type=sb&b=17&m=50616
Там же было обещано опубликовать и другую точку зрения.
А как-же Комлин её нашёл, коли она убрана была? 17.06.02 16:22  
Автор: Случайно зашел Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>случилось
> чуть раньше публикации Комлина.

А как-же Комлин её нашёл, коли ошибка уже убрана была?
А как-же Комлин её нашёл, коли она убрана была? 17.06.02 17:30  
Автор: Komlin Статус: Незарегистрированный пользователь
<"чистая" ссылка>

Приветствую Всех!
Вообще-то спор с Бифит шёл не о номерах версий, но если кому интересно вот
объяснение, которое дал Дмитрий Репан - директор Бифит.
Для тестирования сервиса я использовал демо-стенд этой компании, на котором забыли обновить ПО и где лежала версия недельной давности. В банки по словам Д. Репана уже поступила новая версия.

Но как я уже говорил, споры здесь и на bankrir.ru велись вовсе не о номере уязвимой версии. Просто потому, что подписи апплетов, форматы данных и интерфейсы в уязвимых и новых версиях ничем не отличаются и никто не мешает атакующему использовать старый (уязвимый) релиз апплета, который также будет исполнен без предупреждения.

Суть опровержения Бифит в другом: данная атака возможна только со стороны банка, а пользователям следует полностью доверять банку.

К сожалению, так и не было ответа на вопрос(или это я не нашёл его): зачем в таком случае вообще нужно дорогостоящее во всех отношениях ПО с ЭЦП? В условиях полного доверия пользователя банку, закреплённого в договоре, вполне достаточно программы ввода платёжки с паролем на вход (при необходимости длинным и стойким к подбору паролем на дискете).

C Уважением
A. V. Komlin


Форум на банкир.ру где шло обсуждение
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach