Скандал на рынке и-банкинга: "ЛАН Крипто" пытается расшатать ситуацию
Вся история, по словам президента ассоциации "Рускрипто" Алексея Волчкова, началась с того, что банки, будучи одними из основных потребителей средств информационной защиты, стали уделять меньше внимания вопросам безопасности своих сетей: "Если еще 2-3 года назад отношение к средствам защиты со стороны финансовых кругов было серьезным и настороженным, то со временем все расслабились, - рассказывает CNews.ru специалист. - Хотелось бы напомнить банковскому сообществу, что экономить на защите информации убыточно".
Для того чтобы точнее понять суть конфликта необходимо кратко остановиться на описании ситуации на рынке. Российские разработчики систем интернет-банкинга, по словам Алексея Волчкова, при выборе средств криптографии располагают тремя типами решений. Первая группа - средства, разработанные компаниями, обладающими лицензией ФАПСИ на проектирование средств шифрования; вторая - решения фирм, такой лицензии не имеющих, и третья - "публично доступные тексты алгоритмов, которые в российских условиях определяются как условно бесплатные".
Не имея широкой клиентской базы для собственных интернет-услуг, банки не горят желанием переплачивать (по их мнению) за интернет-системы и разработчики вынуждены демпинговать. Именно в демпинге упрекают компанию "Бифит", разработчика широко используемой системы интернет-банкинга. Малозначительность рынка интернет-банкинга для банков - вот основной "ландшафт", в котором развиваются драматические события, описываемые ниже.
Корни этой полудетективной истории уходят в прошлую зиму, когда некий банк (не будем его называть) заказал компании "ЛАН Крипто" экспертизу своей информационной системы и в рамках договора предоставил экспертам исходный код программы интернет-банкинга i-bank. Стоимость услуг, по словам Анатолия Лебедева ныне президента "ЛАН Крипто", а ранее сотруднике ФАПСИ, составляла от 2 до 3 тыс. долларов. Как сообщил CNews.ru исполнительный директор "Бифит" Дмитрий Репан, его компания изначально проводила политику открытости в отношении собственных продуктов и поэтому не стала возражать против экспертизы.
Именно в этот момент стоит сказать несколько слов непосредственно о самом продукте. Вот как описал i-bank уже известный нам Алексей Волчков ("Рускрипто"): "Свое знакомство с решением "Бифит" я начал еще около года назад, когда работал в банке "Столичный", позднее переименованный в "1-й ОВК". В то время они рассматривали возможность установки у себя системы i-bank. Я встречался с представителями "Бифита" и вел переговоры по этому поводу. Уже в то время меня несколько озадачило то, что в решении одновременно используются почти все известные средства: система RSA, встроенный в ОС Windows 40 битный протокол SSL, алгоритмы ГОСТ 34.10 и 34.11, ГОСТ на шифрование 28147-89 и система проверки подписи с помощью центров сертификации". По словам президента "Рускрипто", разработчики "Бифита" "свалили все в общую кучу от непонимания". Оставим в стороне мнение эксперта о технологическом решении i-bank - это исключительно его мнение. Важно, то, что по словам Алексея Волчкова, демпингующий "Бифит", взяв в качестве основы для датчика случайных чисел собственной разработки алгоритм "публичного пользования", отошел от стандарта этого алгоритма. Именно сбой этого датчика при генерации клиентского ключа и явился поводом для скандала.
Оказалось, что для проведения атаки необходимо иметь один подписанный клиентом документ. В результате, в течение незначительного времени (от нескольких минут до 5-6 часов) восстанавливается секретный ключ подписи (компьютер PII 500).
По словам Дмитрия Репана ("Бифит"), возможность для взлома мог получить только администратор системы интернет-банкинга, то есть банковский сотрудник. Для взлома извне "дыра" использоваться не могла. Все клиенты "Бифита" отреагировали на оповещение об опасности спокойно ("как дохлые львы") и сообщили, что самостоятельно генерируют клиентские ключи и все отношения с клиентами в этом вопросе улажены: "В условиях договора значится, что пользователь целиком доверяет безопасности банковского ПО".
Промах разработчиков "Бифит" специалисты "ЛАН Крипто" обнаружили в ходе экспертизы для упоминавшегося банка. В минувший четверг, 9 августа, сообщение о возможности подделки ключа в i-bank было направлено из "ЛАН Крипто" в "Бифит" по факсу. Дополнительно к сообщению прилагались и условия кооперации для совместного решения проблемы.
"Мы предложили свой модуль защиты информации для встраивания в i-bank, но руководители "Бифит" отказались, заявив, что сами залатают программу", - так описывает ход переговоров Анатолий Лебедев ("ЛАН Крипто").
Как сообщил CNews.ru Дмитрий Репан ("Бифит"), переговоры проходили несколько иначе: "В четверг, получив сообщение о возможности нарушения системы безопасности i-bank, мы провели тщательную экспертизу и самостоятельно обнаружили "дыру". Заменили датчик случайных чисел. Подписали сообщение, отослали в "ЛАН Крипто" - они взломать не могут. Выпустили обновление. Предупредили наших партнеров и около половины из них в Москве уже обновили версию. В регионы мы сейчас отправляем.
На следующий день, в пятницу, мы подверглись прямому шантажу со стороны Лебедева и Волчкова, которые требовали эксклюзивного положения их решения по безопасности в рамках системы i-bank. Мы же предлагали им участвовать наравне с другими. Мне все равно чей продукт выберет клиент банка, будь то "Верба", "Криптопро" или "ЛАН Крипто". Но они не согласились". В ходе частной беседы, по словам Дмитрия Репана, компания предлагала "ЛАН Крипто деньги за соблюдение конфиденциальности, но последние заявили, что заработают больше на ПР.
Какой может быть ПР, спросите вы, если "ЛАН Крипто" по условиям с банком икс, обязалась соблюдать полную конфиденциальность результатов экспертизы? По словам Анатолия Лебедева, никакого договора вообще не было: "До договора так и не дошло. Переговоры ведутся очень вяло". Как сообщил CNews.ru Дмитрий Репан ("Бифит"), договор все же был подписан, но произошло непредвиденное: "Представители банка не забрали из офиса "ЛАН Крипто" свою копию (!). Отправившись за ней в понедельник, сотрудники кредитной организации получили отказ.
"Требование банков скрывать результаты нашей экспертизы i-bank не справедливо, - считает Анатолий Лебедев ("ЛАН Крипто"). - Я чувствую моральную ответственность перед клиентами десятков банков. Кроме того, наша компания сама является клиентом одного из банков, использующих эту интернет-систему и мы не хотели бы чтобы они пострадали от этой фатальной ошибки".
Сегодня утром в редакцию CNews.ru поступило письмо, подписанное Алексеем Волчковым, в котором сообщалось о том, что 14 августа 2001 года компанией "ЛАН Крипто" было заявлено о взломе защиты системе интернет-банкинга компании "Бифит".
Помимо прочего, в тексте говорилось следующее: "Взлом стал возможен благодаря неграмотной реализации системы ЭЦП, в частности из-за использования датчика случайных чисел собственной разработки. Тексты программ для взлома можно получить на сайте "ЛАН Крипто". Консультации по телефонам компании. Список некоторых банков, использующих систему "Бифит" можно найти здесь".
Как выяснилось позже, информация о публикации текста хакерской программы на сайте "Лан Крипто" не соответствует действительности: "Я позвонил Алексею и отругал его за эту ошибку", - заявил нам Анатолий Лебедев. Более того, по словам главы "ЛАН Крипто", он не хотел чтобы информация о "дыре" в i-bank стала достоянием общественности: "Алексей сделал это от своего имени. Мне это действие не очень нравится, не хотелось бы шума, но в то же время "Бифит" тихо меняет версию программы, а это опасно для банков и наш долг проинформировать их".
Ошибочность информации о размещении "программ для взлома" на сайте "ЛАН Крипто" подтвердил и Алексей Волчков: "Да. Это моя вина. Я сообщил об ошибке в форуме одного из сайтов, как только узнал о несоответствии информации действительности".
Какие выводы можно сделать из всей этой мутной и не совсем чистоплотной истории? Виноваты все. Банки виноваты в том, что экономят на безопасности используемых информационных продуктов. Реалии бизнеса, вынуждающие разработчиков систем интернет-банкинга демпинговать, также не освобождают их от ответственности за разработку ненадежных элементов. Виноваты и обиженные специалисты, запускающие в печать информацию об ошибках банковских программ. Вместо того, чтобы подвергать опасности счета клиентов, вероятно, следовало корпоративно решить данную проблему. А в конечном счете виноваты мы с вами, дорогие читатели, за то, что не хотим платить деньги банкам за услуги обслуживания через интернет, из-за чего банки мало платят разработчикам систем, разработчики мало платят поставщикам решений безопасности и так далее... Мы всегда остаемся виноватыми. Можно, конечно, еще все свалить на Чубайса, мол, он виноват, что мы такие бедные и пассивные.
