Нетоскоп/Новости/15.08.2001 http://www.netoscope.ru/news/2001/08/15/3163.html "ЛАН Крипто" взломала защиту российских банков Ленка Виноградова 15.08.2001 19:28 |
||
В среду в Рунете разразился скандал вокруг системы интернет-банкинга iBank компании "
Как сообщает CNews, сообщение о возможности взлома программы цифровой подписи в системе iBank поступило от Алексея Волчкова, президента ассоциации "
В списке, приведенном на данном сайте, фигурируют Газпромбанк, БИН-Банк, Инвестсбербанк, Югра КБ, Центрокредит и еще несколько десятков финансовых учреждений.
Правда, президент "ЛАН Крипто" Анатолий Лебедев сообщил, что его компания не делала заявления для прессы, и присланное в CNews письмо не являлось его инициативой. По словам Лебедева, на сайте "ЛАН Крипто" не публиковалось никаких программ для взлома защиты интернет-банкинга. Однако в настоящее время там все-таки
В ответ на сообщения "РусКрипто" и "ЛАН Крипто" компания "Бифит" в среду выпустила
Как сообщается в пресс-релизе, "злоумышленники из Интернет, а также сотрудники банка, не имеющие доступа к Серверу БД системы "iBank", даже теоретически не могли воспользоваться обнаруженной уязвимостью. Атаку на восстановление секретного ключа ЭЦП клиента теоретически может провести только банковский администратор системы "iBank". Уровень сложности реализации такой атаки достаточно высок, требует глубоких знаний в области Java, фундаментальных знаний в криптографии и сравним с уровнем сложности атаки, направленной на встраивание банковским Администратором в Java-апплеты механизма похищения секретного ключа ЭЦП клиента и его передачи в банк".
При этом, как сообщил в интервью "Компьюленте" исполнительный директор компании "Бифит" Дмитрий Репан, компания "ЛАН Крипто" собиралась использовать найденную дыру в своих целях, но "Бифит" не согласился на их условия.
"Нам предложили: они молчат, а мы взамен ставим в свои программы их криптографию, причем, эксклюзивно. - сообщил Репан. - Я им сказал: "Все, на что я готов, это встроить Вашу криптографию вместе со всеми другими". Ведь у нас есть банки, которые хотят другую защиту. Причем, если бы цены у "ЛАН Крипто" были по 1-5 долл. за подпись, а у них цены то - по 70-100 долл. за подпись. Они не раскрыли нам никаких технических моментов, не сказали даже, на что была направлена атака".
Видимо, после этого отказа "ЛАН Крипто" и решила предать огласке информацию о дыре в защите iBank. В предупреждении на сайте "ЛАН Крипто" говорится:
"Реакция разработчиков на сообщенную им информацию о фатальной ошибке в программе подписи попытка ее «потихоньку» заменить наскоро залатанной версией той же программы в данной ситуации не адекватна. Это делает банк полностью беззащитным перед возможным отказом клиента от любого электронного платежа за период применения старой программы и, что более серьезно, до замены его ключа подписывания. С другой стороны, клиент оказывается полностью беззащитным перед возможностью восстановления его ключа подписывания по любому документу, подписанному старой программой".
Copyright © 2000-2002 Нетоскоп www.netoscope.ru |