Rambler's Top100
  интернет финансы главная | карта | поиск | | реклама  
главнаяИнтервью с исполнительным директором фирмы "Бифит" о взломе системы iBank Безопасность  Новости  Интернет Финансы

XIV Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2024»
XIV Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2024»
Новости
Публикации
События
Ресурсы
Глоссарий
Партнеры
О проекте
Форум

Решения:

Интернет-банкинг


Интернет-трейдинг


Интернет-страхование


Интернет-расчеты


Безопасность

Aplex.ru Разработка веб-сайтов

Intersoft Lab (17.06.11)

XXIV Международный Форум iFin-2024 "Электронные финансовые услуги и технологии"

X Международный Форум ВБА-2023 «Вся банковская автоматизация»

XIII Международная конференция «МОБИЛЬНЫЕ ФИНАНСЫ 2023»



Спецпредложение:

Автострахование, страхование автомобиля, страхование жизни, медицинское страхование - cкидка 5% для посетителей iFin.ru подробнеe >>

Астраброкер 


-=startpage=-
Н О В О С Т И


Интервью с исполнительным директором фирмы "Бифит" о взломе системы iBank
"Компьюлента" уже писала о том, что компания "ЛАН Крипто" смогла преодолеть защиту системы интернет-банкинга iBank, разработанную компанией "БИФИТ". Поскольку подробности этой истории не сообщались, мы обратились за разъяснениями к производителю iBank. Исполнительный директор компании "БИФИТ" Дмитрий Репан рассказал нам о произошедшем.

Компьюлента: Какие изменения были внесены в систему iBank после появления сообщений о том, что ее защита может быть взломана?
Д.Р.: "Была внесена модификация в процедуру подписи. Встроен новый криптографически стойкий генератор случайных чисел. Он и раньше использовался при генерации ключей, но в процедуре формирования подписи по недосмотру использовался обычный random, который встроен в веб-браузеры, т.е random Microsoft и Netscape. Этим и воспользовалась [компания] "ЛАН Крипто".

Компьюлента: Как была выявлена ошибка?
Д.Р.: "Еще зимой СДМ-банк изъявил желание провести экспертизу, договорился с "ЛАН Крипто" и попросил у нас исходники. Мы всегда их предоставляли, секрета никогда не делали. В прошлый четверг нам позвонил Волчков, президент Роскрипта, - он тоже, как я понял, с "ЛАН Крипто" работает, потому что участвовал в проведении экспертизы. Он и сообщил нам о выявленном уязвимом месте в системе. Естественно, до этого у нас было джентльменское соглашение: при любых ситуациях "ЛАН Крипто" никаких комментариев не дает, а банк и разработчик, по своему усмотрению, дают информацию о проведенной экспертизе".

Компьюлента: Но вышло иначе?
Д.Р.: "Да, мы к ним приехали в четверг вечером. Нам предложили: они молчат, а мы взамен ставим в свои программы их криптографию, причем, эксклюзивно. Я им сказал: "Все, на что я готов, это встроить Вашу криптографию вместе со всеми другими". Ведь у нас есть банки, которые хотят другую защиту. Причем, если бы цены у "ЛАН Крипто" были по 1-5 долл. за подпись, а у них цены то - по 70-100 долл. за подпись. Они не раскрыли нам никаких технических моментов, не сказали даже, на что была направлена атака.
Была достигнута договоренность, что мы пошлем им подписанное контрольное сообщение, они его взломают, и нам продемонстрируют свои возможности. Мы в пятницу с утра разобрались, в чем дело, послали им сообщение, естественно подписанное и с использованием нового криптографического датчика. Они до сих пор его ломают".

Компьюлента: Насколько на самом деле была опасна эта "дыра"?
Д.Р.: "Ей мог воспользоваться только банковский автоматизатор, который имеет доступ к базе документов с электронно-цифровой подписью. Речь идет об атаке со стороны инсайдера, причем, не обычного инсайдера, а со стороны "бога", администратора системы. В принципе, подобная атака достаточно сложна. Во-первых, надо хорошо знать криптографию, разобраться, как работает датчик. Во-вторых, надо написать все на Java, разобрать код, понять, как формируется ЭЦП, понять, как формируется сообщение, которое ей подписано.
На самом деле "ЛАН Крипто" так и не смогла сделать утилиту, которая взламывала бы реально iBank, они просто взломали те исходники, которые мы предоставили".
16.08.2001Источник: КомпьюЛента
все новости | подписка на рассылку

 

-=endpage=-



Размещение информации на сайте | Условия размещения рекламы


Copyright 2000-2010 iFin.ru, e-mail:
создание сайта: Aplex, Дизайн: Максим Черемхин
TopList Rambler's Top100