job.rbc.ru
Главные новости
e-Business Hi-Tech Telecom Аналитика
WEEKLY.CNEWS.RU
17.08.2001, пятница
Комментарии :: подписка Главная страница Главная страница
NASDAQ | 1 867, 01 | -3, 28%
на сайте
Интернет за неделю
Обзоры рынков
Рассылки по e-mail
Настройки новостей
Рейтинг новостей
Поиск
Пресс-релизы
Календарь событий
Анонсы СМИ
Работа в IT-секторе
Работа в CNews.ru
Форум
Чат
CNews на Вашем сайте!
Об издании

статья недели
Рынок серверных систем 2001: битва архитектур
Рынок серверных систем 2001: битва архитектур

поиск



Powered by Altavista

вопрос недели
Какой производитель внес наибольший вклад в развитие компьютерного рынка России?
R&K
Formoza
Aquarius
IBM
Intel
SUN
Compaq
HP
Dell
NEC


подписка
Аналитика
"Интернет за неделю"
ТОП 15 новостей
  

купи на pchome



ваш e-mail
Имя пользователя:

Пароль:

Регистрация

реклама


Скандал на рынке и-банкинга: "ЛАН Крипто" пытается расшатать ситуацию

Следом за недавней громкой историей, связанной со сбоем в одной из систем интернет-трейдинга, на просторах российских онлайн-финансов вспыхнул новый скандал, на этот раз на рынке систем интернет-банкинга. Компания "ЛАН Крипто" и ассоциация "Рускрипто" пытаются вынудить поставщика банковской системы i-bank - фирму "Бифит" - отказаться от демпинговых цен на рынке. Издание CNews.ru получило исчерпывающие комментарии всех основных участников скандала.

обсудить
переслать
распечатать
Вся история, по словам президента ассоциации "Рускрипто" Алексея Волчкова, началась с того, что банки, будучи одними из основных потребителей средств информационной защиты, стали уделять меньше внимания вопросам безопасности своих сетей: "Если еще 2-3 года назад отношение к средствам защиты со стороны финансовых кругов было серьезным и настороженным, то со временем все расслабились, - рассказывает CNews.ru специалист. - Хотелось бы напомнить банковскому сообществу, что экономить на защите информации убыточно".

Для того чтобы точнее понять суть конфликта необходимо кратко остановиться на описании ситуации на рынке. Российские разработчики систем интернет-банкинга, по словам Алексея Волчкова, при выборе средств криптографии располагают тремя типами решений. Первая группа - средства, разработанные компаниями, обладающими лицензией ФАПСИ на проектирование средств шифрования; вторая - решения фирм, такой лицензии не имеющих, и третья - "публично доступные тексты алгоритмов, которые в российских условиях определяются как условно бесплатные".

Не имея широкой клиентской базы для собственных интернет-услуг, банки не горят желанием переплачивать (по их мнению) за интернет-системы и разработчики вынуждены демпинговать. Именно в демпинге упрекают компанию "Бифит", разработчика широко используемой системы интернет-банкинга. Малозначительность рынка интернет-банкинга для банков - вот основной "ландшафт", в котором развиваются драматические события, описываемые ниже.

Корни этой полудетективной истории уходят в прошлую зиму, когда некий банк (не будем его называть) заказал компании "ЛАН Крипто" экспертизу своей информационной системы и в рамках договора предоставил экспертам исходный код программы интернет-банкинга i-bank. Стоимость услуг, по словам Анатолия Лебедева ныне президента "ЛАН Крипто", а ранее сотруднике ФАПСИ, составляла от 2 до 3 тыс. долларов. Как сообщил CNews.ru исполнительный директор "Бифит" Дмитрий Репан, его компания изначально проводила политику открытости в отношении собственных продуктов и поэтому не стала возражать против экспертизы.

Именно в этот момент стоит сказать несколько слов непосредственно о самом продукте. Вот как описал i-bank уже известный нам Алексей Волчков ("Рускрипто"): "Свое знакомство с решением "Бифит" я начал еще около года назад, когда работал в банке "Столичный", позднее переименованный в "1-й ОВК". В то время они рассматривали возможность установки у себя системы i-bank. Я встречался с представителями "Бифита" и вел переговоры по этому поводу. Уже в то время меня несколько озадачило то, что в решении одновременно используются почти все известные средства: система RSA, встроенный в ОС Windows 40 битный протокол SSL, алгоритмы ГОСТ 34.10 и 34.11, ГОСТ на шифрование 28147-89 и система проверки подписи с помощью центров сертификации". По словам президента "Рускрипто", разработчики "Бифита" "свалили все в общую кучу от непонимания". Оставим в стороне мнение эксперта о технологическом решении i-bank - это исключительно его мнение. Важно, то, что по словам Алексея Волчкова, демпингующий "Бифит", взяв в качестве основы для датчика случайных чисел собственной разработки алгоритм "публичного пользования", отошел от стандарта этого алгоритма. Именно сбой этого датчика при генерации клиентского ключа и явился поводом для скандала.

Оказалось, что для проведения атаки необходимо иметь один подписанный клиентом документ. В результате, в течение незначительного времени (от нескольких минут до 5-6 часов) восстанавливается секретный ключ подписи (компьютер PII 500).

По словам Дмитрия Репана ("Бифит"), возможность для взлома мог получить только администратор системы интернет-банкинга, то есть банковский сотрудник. Для взлома извне "дыра" использоваться не могла. Все клиенты "Бифита" отреагировали на оповещение об опасности спокойно ("как дохлые львы") и сообщили, что самостоятельно генерируют клиентские ключи и все отношения с клиентами в этом вопросе улажены: "В условиях договора значится, что пользователь целиком доверяет безопасности банковского ПО".

Промах разработчиков "Бифит" специалисты "ЛАН Крипто" обнаружили в ходе экспертизы для упоминавшегося банка. В минувший четверг, 9 августа, сообщение о возможности подделки ключа в i-bank было направлено из "ЛАН Крипто" в "Бифит" по факсу. Дополнительно к сообщению прилагались и условия кооперации для совместного решения проблемы.

"Мы предложили свой модуль защиты информации для встраивания в i-bank, но руководители "Бифит" отказались, заявив, что сами залатают программу", - так описывает ход переговоров Анатолий Лебедев ("ЛАН Крипто").

Как сообщил CNews.ru Дмитрий Репан ("Бифит"), переговоры проходили несколько иначе: "В четверг, получив сообщение о возможности нарушения системы безопасности i-bank, мы провели тщательную экспертизу и самостоятельно обнаружили "дыру". Заменили датчик случайных чисел. Подписали сообщение, отослали в "ЛАН Крипто" - они взломать не могут. Выпустили обновление. Предупредили наших партнеров и около половины из них в Москве уже обновили версию. В регионы мы сейчас отправляем.

На следующий день, в пятницу, мы подверглись прямому шантажу со стороны Лебедева и Волчкова, которые требовали эксклюзивного положения их решения по безопасности в рамках системы i-bank. Мы же предлагали им участвовать наравне с другими. Мне все равно чей продукт выберет клиент банка, будь то "Верба", "Криптопро" или "ЛАН Крипто". Но они не согласились". В ходе частной беседы, по словам Дмитрия Репана, компания предлагала "ЛАН Крипто деньги за соблюдение конфиденциальности, но последние заявили, что заработают больше на ПР.

Какой может быть ПР, спросите вы, если "ЛАН Крипто" по условиям с банком икс, обязалась соблюдать полную конфиденциальность результатов экспертизы? По словам Анатолия Лебедева, никакого договора вообще не было: "До договора так и не дошло. Переговоры ведутся очень вяло". Как сообщил CNews.ru Дмитрий Репан ("Бифит"), договор все же был подписан, но произошло непредвиденное: "Представители банка не забрали из офиса "ЛАН Крипто" свою копию (!). Отправившись за ней в понедельник, сотрудники кредитной организации получили отказ.

"Требование банков скрывать результаты нашей экспертизы i-bank не справедливо, - считает Анатолий Лебедев ("ЛАН Крипто"). - Я чувствую моральную ответственность перед клиентами десятков банков. Кроме того, наша компания сама является клиентом одного из банков, использующих эту интернет-систему и мы не хотели бы чтобы они пострадали от этой фатальной ошибки".

Сегодня утром в редакцию CNews.ru поступило письмо, подписанное Алексеем Волчковым, в котором сообщалось о том, что 14 августа 2001 года компанией "ЛАН Крипто" было заявлено о взломе защиты системе интернет-банкинга компании "Бифит".

Помимо прочего, в тексте говорилось следующее:
"Взлом стал возможен благодаря неграмотной реализации системы ЭЦП, в частности из-за использования датчика случайных чисел собственной разработки. Тексты программ для взлома можно получить на сайте "ЛАН Крипто". Консультации по телефонам компании. Список некоторых банков, использующих систему "Бифит" можно найти здесь".

Как выяснилось позже, информация о публикации текста хакерской программы на сайте "Лан Крипто" не соответствует действительности: "Я позвонил Алексею и отругал его за эту ошибку", - заявил нам Анатолий Лебедев. Более того, по словам главы "ЛАН Крипто", он не хотел чтобы информация о "дыре" в i-bank стала достоянием общественности: "Алексей сделал это от своего имени. Мне это действие не очень нравится, не хотелось бы шума, но в то же время "Бифит" тихо меняет версию программы, а это опасно для банков и наш долг проинформировать их".

Ошибочность информации о размещении "программ для взлома" на сайте "ЛАН Крипто" подтвердил и Алексей Волчков: "Да. Это моя вина. Я сообщил об ошибке в форуме одного из сайтов, как только узнал о несоответствии информации действительности".

Какие выводы можно сделать из всей этой мутной и не совсем чистоплотной истории? Виноваты все. Банки виноваты в том, что экономят на безопасности используемых информационных продуктов. Реалии бизнеса, вынуждающие разработчиков систем интернет-банкинга демпинговать, также не освобождают их от ответственности за разработку ненадежных элементов. Виноваты и обиженные специалисты, запускающие в печать информацию об ошибках банковских программ. Вместо того, чтобы подвергать опасности счета клиентов, вероятно, следовало корпоративно решить данную проблему. А в конечном счете виноваты мы с вами, дорогие читатели, за то, что не хотим платить деньги банкам за услуги обслуживания через интернет, из-за чего банки мало платят разработчикам систем, разработчики мало платят поставщикам решений безопасности и так далее... Мы всегда остаемся виноватыми. Можно, конечно, еще все свалить на Чубайса, мол, он виноват, что мы такие бедные и пассивные.



 
обсудить в форуме
переслать
распечатать
книга жалоб и предложений


Популярные новости

e-Business
Юристы Шумахера собираются подать в суд на подростка
Lastminute.com надеется, что выход в реал поможет стать рентабельной

Hi-Tech
Java "догонит и перегонит" C/C++ к 2002 году
Новости из-под полы: Handspring выпустит две новые модели КПК

Telecom
Лицензии на мобильную связь в Бразилии снова остались непроданными
Турция намерена продать лицензии на UMTS-связь в конце 2002 г.


Интернет-Форум

Замечания и пожелания присылайте на webmaster@cnews.ru
По вопросам рекламы, спонсорства разделов новостей и подписки на новости обращайтесь в редакцию
Все права защищены © 1995 - 2001 Интернет-холдинг РБК
Тел. +7-095-363-1111 (доб. 233)



Aport Апорт Top 1000 Top List
читайте также
UMTS в России - что, где, когда?
Ситуация с госрегулированием интернета в Китае
Интернет-реклама: не все форматы и методы еще запатентованы ;)
Рынок серверных систем 2001: битва архитектур
РОЦИТ: Практика построения B2B площадок
"Яндекс" станет прибыльным к 2003 году

архив
ИюльИюль Август
Пн Вт Ср Чт Пт Сб Вс
  01 02 03 04 05
06 07 08 09 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31
Все заголовки
Сегодня

популярные темы на форуме
"ЛАН Крипто" пытается расшатать ситуацию - 2
Интернет-реклама: не все форматы и методы еще запатентованы ;)
Финансирование IT в США: желающих не осталось
"Соник Дуо" и "Северо-Западный GSM" прокричат в "Мегафон" на всю страну
Интернет-кофеварку продали за $5 тыс.
Сайт управляется системой uCoz