информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsСетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 И ещё раз об интернет-голосовании 
 Типовые уязвимости в драйверах... 
 Logitech готовится закрыть очередную... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2002 / июнь
2002
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




The Bat!

Опровержение уязвимости в iBank 2.0.1.4
cybervlad // 14.06.02 07:15
Компания Бифит, производитель программного обеспечения для дистанционного управления счетом через интернет, опубликовала на своем сайте пресс-релиз по поводу обнаруженной Александром Комлиным уязвимости в iBank 2.0.1.4.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2002/06/18.html]
По словам разработчиков, начиная с версии 2.0.1.4, у банков отсутствует возможность самостоятельно переназначать используемые клиентами СКЗИ на другие, отличные от встроенных, но соответствующих спецификациям JCA и JCE, а сами СКЗИ должны передаваться клиенту ганартированным путем (исключающим модификацию) на дискете/CD-ROM под роспись в журнале поэкземплярного учета. Таким образом, у нечестного сотрудника банка отсутствует возможность незаметно внести программное обеспечение с закладкой на компьютер клиента.

Источник: bifit.com      
теги: уязвимости  |  предложить новость  |  обсудить  |  все отзывы (7) [4408]
назад «  » вперед

аналогичные материалы
Типовые уязвимости в драйверах уровня ядра ряда производителей // 11.08.19 03:16
Logitech готовится закрыть очередную уязвимость в Unifying Receiver // 16.07.19 03:38
Неприятная уязвимость в SQLite затрагивает тысячи приложений // 16.12.18 21:08
Уязвимости в реализациях OpenPGP и S/MIME // 15.05.18 17:31
13 уязвимостей в процессорах AMD // 13.03.18 21:48
Патч от Meltdown и Spectre положил Ubuntu // 10.01.18 22:11
Жизнь после Meltdown и Spectre // 07.01.18 18:55
 
последние новости
И ещё раз об интернет-голосовании // 18.08.19 16:38
Типовые уязвимости в драйверах уровня ядра ряда производителей // 11.08.19 03:16
Logitech готовится закрыть очередную уязвимость в Unifying Receiver // 16.07.19 03:38
Серьёзная атака на инфраструктуру OpenPGP // 02.07.19 16:39
Microsoft призналась в сознательном отключении бэкапов реестра // 01.07.19 14:05
Кавычки уличили Google в заимствовании текстов песен // 17.06.19 02:36
Некоторые пароли от G Suite хранились в открытом виде // 22.05.19 02:14

Комментарии:

А, что подпись под старым апплетом от этого исчезнет? 16.06.02 07:34  
Автор: Analyst Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Что мешает злоумышленнику использовать старый апплет? Насколько я разобрался он позволяет использовать любую библиотеку прямо с сервера?
Подпись под ним не отозвана => он будет исполняться на машине пользователя без предупреждения.
2dl - Устранение ошибки отныне есть ее опровержение? 16.06.02 15:49  
Автор: Случайно зашел Статус: Незарегистрированный пользователь
<"чистая" ссылка>
В прошлом сообщении RSN была дана ссылка на статью Комлина о ошибкахв IBank 2,1,0,4.

В частности речь шла о возможности смены провайдера шифрования на заглушку или слабый метод позволяющий установить секретный ключ (т.н ошибка III). Из статьи можно сделать вывод, что будет выполнена любая библиотека формально соответствующая по интерфейсу.

Судя по обсуждению и вышесказанному это правда.
Тем не менее появилось сообщение об "опровержении"

Поэтому появляется вопрос: устранение ошибки в новых версиях продукта отныне считается опровержением ?

Странная позиция у редакторов RSN...

Эта же проблема активно обсуждается на Bankir.ru, но и там дело не идёт к "опровержению".

http://dom.bankir.ru/showthread.php?s=6b2f186d93e464543b2502701bf9c612&threadid=20062
2dl - Устранение ошибки отныне есть ее опровержение? 17.06.02 08:41  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Судя по обсуждению и вышесказанному это правда.
> Тем не менее появилось сообщение об "опровержении"
А Вы считаете, что разработчик не имеет право высказать свое мнение по проблеме?

> Поэтому появляется вопрос: устранение ошибки в новых
> версиях продукта отныне считается опровержением ?
Нет, исправление - это исправление. Опять же, [b]по заявлению разработчика[/b], ошибка отсутствовала в той версии, которая тестировалась.

> Странная позиция у редакторов RSN...
Ничего странного. Высказалась одна сторона, почему не дать слово другой? Кстати, при формулировке новости, я постарался выдержать максимально нейтральный стиль, т.е. не высказывать своего мнения по поводу происходящего (ни от себя лично, ни от имени bugtraq.ru), а только кратко изложить суть пресс-релиза Бифита.
Первичное сообщение об ошибке появилось в ленте новостей и ушло в список рассылки. Наверное, будет честно, если ответ разработчика будет не только в форуме, на доске обсуждения новостей (которая, в рассылку, естесвенно не попадает), но и уйдет по тем же каналам оффлайновым читателям. А они уж как-нибудь разберуться сами. В конце концов, сходят сюда или на bankir.ru.
Кто-то говорит неправду? 17.06.02 12:48  
Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Доброе утро, уважаемые коллеги.
Сразу предупрежу: к "Случаяно зашедшему" я никак не отношусь :)
>
> > Поэтому появляется вопрос: устранение ошибки в новых
> > версиях продукта отныне считается опровержением ?
> Нет, исправление - это исправление. Опять же, [b]по
> заявлению разработчика[/b], ошибка отсутствовала в той
> версии, которая тестировалась.
Все же "исправление" и "опровержение" применяются в разных ситуациях.
Если сообщение об ошибке не соответсвует действительности: да это опровержение
Если соответсвует, но исправлено: это исправление.

Поэтому возникает вопрос:была ли ошибка? Вероятно была т.к.
1) по большому счёту г-н Комлин лицо незаинтересованное
2) номер версии не играл большой т.к. эта ошибка имеет долгосрочные последствия в том плане, что
2а) подписанный код может применяться достаточно долго пока не будет изменён формат подписываемого сообщения (этого похоже не было сделано)
2б) приём уже мог быть применён.

> > Странная позиция у редакторов RSN...
> Ничего странного. Высказалась одна сторона, почему не дать
> слово другой?
Логично.

Всего доброго.
Кто-то говорит неправду? 17.06.02 13:33  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Насколько я понимаю, позиция Бифита такова: опасность чисто гипотетическая, и вообще надо доверять банку, исправление же было сделано из маркетинговых соображений и случилось чуть раньше публикации Комлина.

Свое мнение по этому поводу я высказал здесь:
http://www.bugtraq.ru/cgi-bin/forum.cgi?type=sb&b=17&m=50616
Там же было обещано опубликовать и другую точку зрения.
А как-же Комлин её нашёл, коли она убрана была? 17.06.02 16:22  
Автор: Случайно зашел Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>случилось
> чуть раньше публикации Комлина.

А как-же Комлин её нашёл, коли ошибка уже убрана была?
А как-же Комлин её нашёл, коли она убрана была? 17.06.02 17:30  
Автор: Komlin Статус: Незарегистрированный пользователь
<"чистая" ссылка>

Приветствую Всех!
Вообще-то спор с Бифит шёл не о номерах версий, но если кому интересно вот
объяснение, которое дал Дмитрий Репан - директор Бифит.
Для тестирования сервиса я использовал демо-стенд этой компании, на котором забыли обновить ПО и где лежала версия недельной давности. В банки по словам Д. Репана уже поступила новая версия.

Но как я уже говорил, споры здесь и на bankrir.ru велись вовсе не о номере уязвимой версии. Просто потому, что подписи апплетов, форматы данных и интерфейсы в уязвимых и новых версиях ничем не отличаются и никто не мешает атакующему использовать старый (уязвимый) релиз апплета, который также будет исполнен без предупреждения.

Суть опровержения Бифит в другом: данная атака возможна только со стороны банка, а пользователям следует полностью доверять банку.

К сожалению, так и не было ответа на вопрос(или это я не нашёл его): зачем в таком случае вообще нужно дорогостоящее во всех отношениях ПО с ЭЦП? В условиях полного доверия пользователя банку, закреплённого в договоре, вполне достаточно программы ввода платёжки с паролем на вход (при необходимости длинным и стойким к подбору паролем на дискете).

C Уважением
A. V. Komlin


Форум на банкир.ру где шло обсуждение
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach