|
Поделиться
Поделиться
Скандал на рынке и-банкинга: "ЛАН Крипто" пытается расшатать ситуацию
Следом за недавней громкой историей, связанной со сбоем в одной из систем интернет-трейдинга, на просторах российских онлайн-финансов вспыхнул новый скандал, на этот раз на рынке систем интернет-банкинга. Компания "ЛАН Крипто" и ассоциация "Рускрипто" пытаются вынудить поставщика банковской системы i-bank - фирму "Бифит" - отказаться от демпинговых цен на рынке. Издание CNews.ru получило исчерпывающие комментарии всех основных участников скандала. Вся история, по словам президента ассоциации "Рускрипто" Алексея Волчкова, началась с того, что банки, будучи одними из основных потребителей средств информационной защиты, стали уделять меньше внимания вопросам безопасности своих сетей: "Если еще 2-3 года назад отношение к средствам защиты со стороны финансовых кругов было серьезным и настороженным, то со временем все расслабились, - рассказывает CNews.ru специалист. - Хотелось бы напомнить банковскому сообществу, что экономить на защите информации убыточно".Для того чтобы точнее понять суть конфликта необходимо кратко остановиться на описании ситуации на рынке. Российские разработчики систем интернет-банкинга, по словам Алексея Волчкова, при выборе средств криптографии располагают тремя типами решений. Первая группа - средства, разработанные компаниями, обладающими лицензией ФАПСИ на проектирование средств шифрования; вторая - решения фирм, такой лицензии не имеющих, и третья - "публично доступные тексты алгоритмов, которые в российских условиях определяются как условно бесплатные".
Не имея широкой клиентской базы для собственных интернет-услуг, банки не горят желанием переплачивать (по их мнению) за интернет-системы и разработчики вынуждены демпинговать. Именно в демпинге упрекают компанию "Бифит", разработчика широко используемой системы интернет-банкинга. Малозначительность рынка интернет-банкинга для банков - вот основной "ландшафт", в котором развиваются драматические события, описываемые ниже.
Корни этой полудетективной истории уходят в прошлую зиму, когда некий банк (не будем его называть) заказал компании "ЛАН Крипто" экспертизу своей информационной системы и в рамках договора предоставил экспертам исходный код программы интернет-банкинга i-bank. Стоимость услуг, по словам Анатолия Лебедева ныне президента "ЛАН Крипто", а ранее сотруднике ФАПСИ, составляла от 2 до 3 тыс. долларов. Как сообщил CNews.ru исполнительный директор "Бифит" Дмитрий Репан, его компания изначально проводила политику открытости в отношении собственных продуктов и поэтому не стала возражать против экспертизы.
Именно в этот момент стоит сказать несколько слов непосредственно о самом продукте. Вот как описал i-bank уже известный нам Алексей Волчков ("Рускрипто"): "Свое знакомство с решением "Бифит" я начал еще около года назад, когда работал в банке "Столичный", позднее переименованный в "1-й ОВК". В то время они рассматривали возможность установки у себя системы i-bank. Я встречался с представителями "Бифита" и вел переговоры по этому поводу. Уже в то время меня несколько озадачило то, что в решении одновременно используются почти все известные средства: система RSA, встроенный в ОС Windows 40 битный протокол SSL, алгоритмы ГОСТ 34.10 и 34.11, ГОСТ на шифрование 28147-89 и система проверки подписи с помощью центров сертификации". По словам президента "Рускрипто", разработчики "Бифита" "свалили все в общую кучу от непонимания". Оставим в стороне мнение эксперта о технологическом решении i-bank - это исключительно его мнение. Важно, то, что по словам Алексея Волчкова, демпингующий "Бифит", взяв в качестве основы для датчика случайных чисел собственной разработки алгоритм "публичного пользования", отошел от стандарта этого алгоритма. Именно сбой этого датчика при генерации клиентского ключа и явился поводом для скандала.
Оказалось, что для проведения атаки необходимо иметь один подписанный клиентом документ. В результате, в течение незначительного времени (от нескольких минут до 5-6 часов) восстанавливается секретный ключ подписи (компьютер PII 500).
По словам Дмитрия Репана ("Бифит"), возможность для взлома мог получить только администратор системы интернет-банкинга, то есть банковский сотрудник. Для взлома извне "дыра" использоваться не могла. Все клиенты "Бифита" отреагировали на оповещение об опасности спокойно ("как дохлые львы") и сообщили, что самостоятельно генерируют клиентские ключи и все отношения с клиентами в этом вопросе улажены: "В условиях договора значится, что пользователь целиком доверяет безопасности банковского ПО".
Промах разработчиков "Бифит" специалисты "ЛАН Крипто" обнаружили в ходе экспертизы для упоминавшегося банка. В минувший четверг, 9 августа, сообщение о возможности подделки ключа в i-bank было направлено из "ЛАН Крипто" в "Бифит" по факсу. Дополнительно к сообщению прилагались и условия кооперации для совместного решения проблемы.
"Мы предложили свой модуль защиты информации для встраивания в i-bank, но руководители "Бифит" отказались, заявив, что сами залатают программу", - так описывает ход переговоров Анатолий Лебедев ("ЛАН Крипто").
Как сообщил CNews.ru Дмитрий Репан ("Бифит"), переговоры проходили несколько иначе: "В четверг, получив сообщение о возможности нарушения системы безопасности i-bank, мы провели тщательную экспертизу и самостоятельно обнаружили "дыру". Заменили датчик случайных чисел. Подписали сообщение, отослали в "ЛАН Крипто" - они взломать не могут. Выпустили обновление. Предупредили наших партнеров и около половины из них в Москве уже обновили версию. В регионы мы сейчас отправляем.
На следующий день, в пятницу, мы подверглись прямому шантажу со стороны Лебедева и Волчкова, которые требовали эксклюзивного положения их решения по безопасности в рамках системы i-bank. Мы же предлагали им участвовать наравне с другими. Мне все равно чей продукт выберет клиент банка, будь то "Верба", "Криптопро" или "ЛАН Крипто". Но они не согласились". В ходе частной беседы, по словам Дмитрия Репана, компания предлагала "ЛАН Крипто деньги за соблюдение конфиденциальности, но последние заявили, что заработают больше на ПР.
Продолжение ..>>
Короткая ссылка
