BugTraq.Ru
Русский BugTraq
http://www.bugtraq.ru/rsn/archive/2002/06/18.html

Опровержение уязвимости в iBank 2.0.1.4
cybervlad // 14.06.02 07:15
Компания Бифит, производитель программного обеспечения для дистанционного управления счетом через интернет, опубликовала на своем сайте пресс-релиз по поводу обнаруженной Александром Комлиным уязвимости в iBank 2.0.1.4.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2002/06/18.html]
По словам разработчиков, начиная с версии 2.0.1.4, у банков отсутствует возможность самостоятельно переназначать используемые клиентами СКЗИ на другие, отличные от встроенных, но соответствующих спецификациям JCA и JCE, а сами СКЗИ должны передаваться клиенту ганартированным путем (исключающим модификацию) на дискете/CD-ROM под роспись в журнале поэкземплярного учета. Таким образом, у нечестного сотрудника банка отсутствует возможность незаметно внести программное обеспечение с закладкой на компьютер клиента.

Источник: bifit.com    
теги: уязвимости  |  предложить новость  |  обсудить  |  все отзывы (7) [4932]
назад «  » вперед

аналогичные материалы
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Атака в стиле Meltdown на iOS/macOS-браузеры // 25.10.23 22:40
Массовое внедрение вредоносного кода в драйверы Windows // 17.07.23 01:42
Переполнение буфера остается самой опасной уязвимостью // 30.06.23 23:32
Уязвимость в KeePass // 21.05.23 19:20
Рекордное число уязвимостей в 2021 // 28.05.22 21:06
 
последние новости
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Doom на газонокосилках // 28.02.24 17:19
Умер Никлаус Вирт // 04.01.24 14:05
С наступающим // 31.12.23 23:59
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Google Drive находит файлы // 07.12.23 01:46
Google Drive теряет файлы // 27.11.23 20:02

Комментарии:

А, что подпись под старым апплетом от этого исчезнет? 16.06.02 07:34  
Автор: Analyst Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Что мешает злоумышленнику использовать старый апплет? Насколько я разобрался он позволяет использовать любую библиотеку прямо с сервера?
Подпись под ним не отозвана => он будет исполняться на машине пользователя без предупреждения.
2dl - Устранение ошибки отныне есть ее опровержение? 16.06.02 15:49  
Автор: Случайно зашел Статус: Незарегистрированный пользователь
<"чистая" ссылка>
В прошлом сообщении RSN была дана ссылка на статью Комлина о ошибкахв IBank 2,1,0,4.

В частности речь шла о возможности смены провайдера шифрования на заглушку или слабый метод позволяющий установить секретный ключ (т.н ошибка III). Из статьи можно сделать вывод, что будет выполнена любая библиотека формально соответствующая по интерфейсу.

Судя по обсуждению и вышесказанному это правда.
Тем не менее появилось сообщение об "опровержении"

Поэтому появляется вопрос: устранение ошибки в новых версиях продукта отныне считается опровержением ?

Странная позиция у редакторов RSN...

Эта же проблема активно обсуждается на Bankir.ru, но и там дело не идёт к "опровержению".

http://dom.bankir.ru/showthread.php?s=6b2f186d93e464543b2502701bf9c612&threadid=20062
2dl - Устранение ошибки отныне есть ее опровержение? 17.06.02 08:41  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Судя по обсуждению и вышесказанному это правда.
> Тем не менее появилось сообщение об "опровержении"
А Вы считаете, что разработчик не имеет право высказать свое мнение по проблеме?

> Поэтому появляется вопрос: устранение ошибки в новых
> версиях продукта отныне считается опровержением ?
Нет, исправление - это исправление. Опять же, [b]по заявлению разработчика[/b], ошибка отсутствовала в той версии, которая тестировалась.

> Странная позиция у редакторов RSN...
Ничего странного. Высказалась одна сторона, почему не дать слово другой? Кстати, при формулировке новости, я постарался выдержать максимально нейтральный стиль, т.е. не высказывать своего мнения по поводу происходящего (ни от себя лично, ни от имени bugtraq.ru), а только кратко изложить суть пресс-релиза Бифита.
Первичное сообщение об ошибке появилось в ленте новостей и ушло в список рассылки. Наверное, будет честно, если ответ разработчика будет не только в форуме, на доске обсуждения новостей (которая, в рассылку, естесвенно не попадает), но и уйдет по тем же каналам оффлайновым читателям. А они уж как-нибудь разберуться сами. В конце концов, сходят сюда или на bankir.ru.
Кто-то говорит неправду? 17.06.02 12:48  
Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Доброе утро, уважаемые коллеги.
Сразу предупрежу: к "Случаяно зашедшему" я никак не отношусь :)
>
> > Поэтому появляется вопрос: устранение ошибки в новых
> > версиях продукта отныне считается опровержением ?
> Нет, исправление - это исправление. Опять же, [b]по
> заявлению разработчика[/b], ошибка отсутствовала в той
> версии, которая тестировалась.
Все же "исправление" и "опровержение" применяются в разных ситуациях.
Если сообщение об ошибке не соответсвует действительности: да это опровержение
Если соответсвует, но исправлено: это исправление.

Поэтому возникает вопрос:была ли ошибка? Вероятно была т.к.
1) по большому счёту г-н Комлин лицо незаинтересованное
2) номер версии не играл большой т.к. эта ошибка имеет долгосрочные последствия в том плане, что
2а) подписанный код может применяться достаточно долго пока не будет изменён формат подписываемого сообщения (этого похоже не было сделано)
2б) приём уже мог быть применён.

> > Странная позиция у редакторов RSN...
> Ничего странного. Высказалась одна сторона, почему не дать
> слово другой?
Логично.

Всего доброго.
Кто-то говорит неправду? 17.06.02 13:33  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Насколько я понимаю, позиция Бифита такова: опасность чисто гипотетическая, и вообще надо доверять банку, исправление же было сделано из маркетинговых соображений и случилось чуть раньше публикации Комлина.

Свое мнение по этому поводу я высказал здесь:
http://www.bugtraq.ru/cgi-bin/forum.cgi?type=sb&b=17&m=50616
Там же было обещано опубликовать и другую точку зрения.
А как-же Комлин её нашёл, коли она убрана была? 17.06.02 16:22  
Автор: Случайно зашел Статус: Незарегистрированный пользователь
<"чистая" ссылка>
>случилось
> чуть раньше публикации Комлина.

А как-же Комлин её нашёл, коли ошибка уже убрана была?
А как-же Комлин её нашёл, коли она убрана была? 17.06.02 17:30  
Автор: Komlin Статус: Незарегистрированный пользователь
<"чистая" ссылка>

Приветствую Всех!
Вообще-то спор с Бифит шёл не о номерах версий, но если кому интересно вот
объяснение, которое дал Дмитрий Репан - директор Бифит.
Для тестирования сервиса я использовал демо-стенд этой компании, на котором забыли обновить ПО и где лежала версия недельной давности. В банки по словам Д. Репана уже поступила новая версия.

Но как я уже говорил, споры здесь и на bankrir.ru велись вовсе не о номере уязвимой версии. Просто потому, что подписи апплетов, форматы данных и интерфейсы в уязвимых и новых версиях ничем не отличаются и никто не мешает атакующему использовать старый (уязвимый) релиз апплета, который также будет исполнен без предупреждения.

Суть опровержения Бифит в другом: данная атака возможна только со стороны банка, а пользователям следует полностью доверять банку.

К сожалению, так и не было ответа на вопрос(или это я не нашёл его): зачем в таком случае вообще нужно дорогостоящее во всех отношениях ПО с ЭЦП? В условиях полного доверия пользователя банку, закреплённого в договоре, вполне достаточно программы ввода платёжки с паролем на вход (при необходимости длинным и стойким к подбору паролем на дискете).

C Уважением
A. V. Komlin


Форум на банкир.ру где шло обсуждение
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach