информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2002 / июнь
2002
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





Уязвимость iBank 2.0.1.4
dl // 11.06.02 13:26
В последней версии iBank 2.0.1.4 компании БИФИТ (www.bifit.ru) со сторонней криптографией, при недобросовестности администратора банка, существует возможность исполнения на машине клиента неподписанного кода с правами подписанного без каких-либо уведомлений пользователя.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2002/06/14.html]

"Отравленный" код будет исполняться с правами и от имени браузера (или его JVM) и соответственно не будет заблокирован/отслежен большинством firewall'ов и антитроянов.

Эта ошибка позволяет легко и незаметно захватить машину даже опытного пользователя с грамотно поставленной защитой.

В новой версии iBank 2.1.0.5 ошибка устранена: http://www.bifit.com/s-download.html

Источник: Описание уязвимости    
предложить новость  |  обсудить  |  все отзывы (4) [7717]
назад «  » вперед

последние новости
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Doom на газонокосилках // 28.02.24 17:19
Умер Никлаус Вирт // 04.01.24 14:05
С наступающим // 31.12.23 23:59
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Google Drive находит файлы // 07.12.23 01:46
Google Drive теряет файлы // 27.11.23 20:02

Комментарии:

Уязвимость iBank 2.0.1.4 12.06.02 14:51  
Автор: Димитрий Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемый Дмитрий Леонов!

Запись в RIPN'е о владельце домена bugtraq.ru, а также наличие на сайте копирайта и ссылки на Ваш e-mail, позволили мне сделать предположение, что портал BugTraq.RU модерируете именно Вы.

В связи с этим я обращаюсь к Вам, как к модератору портала, и, по всей видимости, Редактору новостей RSN (судя по Вашей периодическому постингу RSN в фидошную эху ru.security).

Размещенная на Вашем сайте новость - http://www.bugtraq.ru/rsn/archive/2002/06/14.html - об обнаружении уязвимости в системе iBank 2 при использовании внешнего СКЗИ является тенденциозной, явно носит "жареный" характер, и что самое печальное - не соответствует действительности.

Чуть менее недели назад я комментировал ситуацию с использованием ПБЗИ "Базис-защита" Александру Комлину. Я считал, что мне удалось донести до Александра необоснованность его выводов, ибо исходные данные, от которых отталкивался г-н Комлин, были ошибочны (по всей видимости из-за поверхностного ознакомления с системой, из-за горячности и скорополительности эксперта, а также из-за, к сожалению, явного недостатка квалификации в нюансах Java-security).

Позиция компании "БИФИТ" всегда была, есть и будет открытой в отношении вопросов информационной безопасности разрабатываемого нами банковского ПО. Мы всецело приветствуем и поддерживаем проведение независимых исследований наших разработок. Более того, мы постоянно привлекаем сторонних специалистов для проведения независимых экспертиз.

В тоже время я бы просил впредь более деликатно относиться к публикациям новостей о найденных багах в банковском и финансовом ПО. Прежде чем публиковать подобные жаренные новости следует максимально подробно и всесторонне ознакомиться с затронутыми экспертом вопросами, оценить глубину знаний экспертом исследуемой системы.

То, что приемлемо и полезно с пиаровской точки зрения для фришных интернет-сервисов и шароварных программ, совершенно недопустимо для сферы финансового ПО. Подобные жаренные всесторонне непроверенные новости в секторе банковского ПО чреваты колосальными убытками для пользоваталей этих решений.

Что если завтра, в четверг, 13 июня, какой-нибудь большой и серьезный клиент не менее серьезного банка позвонит в свой банк, и не разобравшись в сути вопроса, а также используя Вашу непроверенную новость всего лишь как повод, заявит о своем уходе из этого банка, и последний потеряет гарантированно зарабатываемые ххх k$ в месяц на этом клиенте? Что тогда? Ведь люди работают, трудятся....

Дмитрий, вчера я постарался максимально подробно прокомментировать письмо г-на Комлина в форуме Crypto на BugTraq.ru - http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=50536 . В тоже время я считаю этот комментарий совершенно недостаточным, ибо кроме форума еще была "новость".

"Новость", абсолютно не соответствующая действительности, вдобавок была изложена в стиле ответственного редактора газеты "Утренняя Заря и Боевой Клич округа Джонсон" из знаменитого рассказа Марка Твена "Журналистика в Теннесси" - http://www.twain.narod.ru/ten.htm

Дмитрий, Ваш портал пользуется заслуженным уважением, Ваш портал посещает большое количество IT-специалистов, работающих в том числе и в банковской сфере. Подобная жаренная "новость" нам и нашим клиентам точно в минус. В очень большой минус. К сожалению, далеко не все будут разбираться в перепетиях и тонкостях, в рассуждениях эксперта и в комментариях разработчика. И очень многие вынесут только негатив из этой новости, собранной, кстати из фраз бурного и эмоционального письма г-на Комлина.

Со стороны разработчика считаю совершенно невозможным удаление этой "новости" с Вашего сайта. "Новость" уже прозвучала, уже "выстрелила". Слово сказано. Удалять либо редактировать новость недопустимо.

Единственным корректным и примемелмым для нас выходом является размещение в новостях RSN официального опровержения.

Надеюсь на понимание Вами, Дмитрий, нашей позиции.

С уважением, Репан Димитрий
Исполнительный директор компании "БИФИТ" - www.bifit.com
Тел/факс (095) 465-4760, 465-0253
E-mail: rdv@bifit.com
Уязвимость iBank 2.0.1.4 13.06.02 02:36  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Вообще-то было достаточно и личного письма, на которое я уже ответил.
Отвечу еще раз чуть подробнее.

1. Если новость тенденциозна и высосана из пальца, то непонятно, зачем было выпускать новую версию, исправляющую описанную проблему.

2. Публикация новости откладывалась дважды, чтобы получить возможность добавить в нее слова об уже существующем исправлении - это к вопросу о жарености.

3. Естественно, я готов опубликовать в RSN и противоположную точку зрения. Поскольку в рассылку первоначальная новость еще не ушла, еще есть шанс пустить их обе в одном выпуске - а основная масса читающих приходится именно на рассылку.

4. Логическая цепочка по поводу, кому можно доверять, с доведением до абсурда (сертификационный центр - публикация кода - закладка в java.math и т.п.) на самом деле не так уж и абсурдна, если вдруг речь пойдет об абсолютной безопасности. Каковой, как мы все знаем, не бывает, поскольку речь может идти лишь о некотором допустимом уровне. Стоит ли опускать этот уровень до позиции безоглядного доверия клиента банку - вопрос очень спорный. В конце концов, будь во всем достаточно доверия, не понадобились бы игры с цифровой подписью.

Наконец, я не думаю, что данная новость будет работать только в минус. Минусы понятны, но это издержки политики full disclosure. Уязвимости есть у всех. Быстрая реакция и устранение пусть даже чисто гипотетической лазейки говорят только в пользу компании.
Уязвимость iBank 2.0.1.4 17.11.02 05:57  
Автор: chubrik Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А я думаю что клиентам стоит задумываться над вопросом почему некоторые банки сами генерируют ключи и раздают клиентам.
"Хотелось бы выслушать мнение начальника транспортного цеха!" (с) Жванецкий 12.06.02 23:48  
Автор: Sandy <Alexander Stepanov> Статус: Elderman
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach