В ходе анализа исходных текстов механизмов защиты информации, используемых в версиях до 1.8.1.х системы "iBank" включительно, компания "БИФИТ" выявила и устранила потенциальную уязвимость в механизме ЭЦП, основанную на использовании криптографически нестойких генераторов случайных чисел, встроенных в Java-машины Web-браузеров Microsoft Internet Explorer и Netscape Communicator. Суть найденной уязвимости сводилась к потенциальной возможности Банка по электронному документу с ЭЦП клиента восстановить секретный ключ ЭЦП клиента. Внешний злоумышленник из Интернет, а также сотрудники банка, не имеющие доступа к Серверу БД системы "iBank" даже теоретически не могли воспользоваться обнаруженной уязвимостью. Атаку на восстановление секретного ключа ЭЦП клиента теоретически может провести только банковский Администратор системы "iBank". Уровень сложности реализации такой атаки достаточно высок, требует глубоких знаний в области Java, фундаментальных знаний в криптографии и сравним с уровнем сложности атаки, направленной на встраивание банковским Администратором в Java-апплеты механизма похищения секретного ключа ЭЦП клиента и его передачи в банк. Для исправления ситуации компания "БИФИТ" провела модификацию исходных текстов системы. В качестве генератора случайных чисел теперь используется криптографически стойкий генератор SecureRandom, являющийся модификацией SecureRandom из JDK 1.1.7, и основанный на измерении разности временных интервалов при запуске большого количества потоков для формирования стартового вектора (seed), и использовании хэш-функций при генерации случайных чисел. Компания "БИФИТ" незамедлительно устранила выявленную ошибку, выпустив новую версию 1.8.2 системы "iBank" и пакет обновлений для более ранних версий 1.8.1.х. В настоящее время подавляющее большинство банков уже провели обновление системы "iBank" до версии 1.8.2. Компания "БИФИТ" заявляет, что будет и впредь стремиться к публичной открытости в вопросах информационной безопасности разрабатываемых ею программных продуктов. Компания "БИФИТ" всегда готова предоставить всем заинтересованным сторонам доступ к исходным текстам используемых механизмов защиты информации.
