В среду в Рунете разразился скандал вокруг системы интернет-банкинга iBank компании "", в защите которой компания "" нашла серьезную дыру, позволяющую подделывать электронные подписи.
Как сообщает CNews, сообщение о возможности взлома программы цифровой подписи в системе iBank поступило от Алексея Волчкова, президента ассоциации "". Из письма Волчкова следует, что "для проведения атаки необходимо иметь один подписанный клиентом документ. В результате в течение незначительного времени (от нескольких минут до 5-6 часов) восстанавливается секретный ключ подписи. Взлом стал возможен благодаря неграмотной реализации системы ЭЦП, в частности из-за использования датчика случайных чисел собственной разработки. Тексты программ для взлома можно получить на сайте "ЛАН Крипто". Консультации по телефонам компании. Список некоторых банков, использующих систему "Бифит", можно найти на ".
В списке, приведенном на данном сайте, фигурируют Газпромбанк, БИН-Банк, Инвестсбербанк, Югра КБ, Центрокредит и еще несколько десятков финансовых учреждений.
Правда, президент "ЛАН Крипто" Анатолий Лебедев сообщил, что его компания не делала заявления для прессы, и присланное в CNews письмо не являлось его инициативой. По словам Лебедева, на сайте "ЛАН Крипто" не публиковалось никаких программ для взлома защиты интернет-банкинга. Однако в настоящее время там все-таки об упомянутой дыре в системе iBank.
В ответ на сообщения "РусКрипто" и "ЛАН Крипто" компания "Бифит" в среду выпустила , в котором сообщается, что компания обнаружила и устранила "глюк" системы, который теоретически мог привести к взлому защиты.
Как сообщается в пресс-релизе, "злоумышленники из Интернет, а также сотрудники банка, не имеющие доступа к Серверу БД системы "iBank", даже теоретически не могли воспользоваться обнаруженной уязвимостью. Атаку на восстановление секретного ключа ЭЦП клиента теоретически может провести только банковский администратор системы "iBank". Уровень сложности реализации такой атаки достаточно высок, требует глубоких знаний в области Java, фундаментальных знаний в криптографии и сравним с уровнем сложности атаки, направленной на встраивание банковским Администратором в Java-апплеты механизма похищения секретного ключа ЭЦП клиента и его передачи в банк".
При этом, как сообщил в интервью "Компьюленте" исполнительный директор компании "Бифит" Дмитрий Репан, компания "ЛАН Крипто" собиралась использовать найденную дыру в своих целях, но "Бифит" не согласился на их условия.
"Нам предложили: они молчат, а мы взамен ставим в свои программы их криптографию, причем, эксклюзивно. - сообщил Репан. - Я им сказал: "Все, на что я готов, это встроить Вашу криптографию вместе со всеми другими". Ведь у нас есть банки, которые хотят другую защиту. Причем, если бы цены у "ЛАН Крипто" были по 1-5 долл. за подпись, а у них цены то - по 70-100 долл. за подпись. Они не раскрыли нам никаких технических моментов, не сказали даже, на что была направлена атака".
Видимо, после этого отказа "ЛАН Крипто" и решила предать огласке информацию о дыре в защите iBank. В предупреждении на сайте "ЛАН Крипто" говорится:
"Реакция разработчиков на сообщенную им информацию о фатальной ошибке в программе подписи – попытка ее «потихоньку» заменить наскоро залатанной версией той же программы – в данной ситуации не адекватна. Это делает банк полностью беззащитным перед возможным отказом клиента от любого электронного платежа за период применения старой программы и, что более серьезно, до замены его ключа подписывания. С другой стороны, клиент оказывается полностью беззащитным перед возможностью восстановления его ключа подписывания по любому документу, подписанному старой программой".
Copyright © 2000-2002 Нетоскоп