Подробности о взломе системы iBank (комментарии компании "БИФИТ")
В целях прояснения ситуации, сложившейся вокруг инцидента со взломом системы iBank, публикуем дополнительный комментарий исполнительного директора компании "БИФИТ" Димитрия Репана.
Компания "БИФИТ" в своем первом сообщении о выявленной ошибке в системе "iBank", разосланном по банкам еще в понедельник и вторник, не предала публичной огласке все подробности и особенности взаимодействия с российской компанией "ЛАН Крипто". После известных действий компании "ЛАН Крипто", и интервью А.А. Волчкова Издательскому Дому "Компьютерра", руководство компании "БИФИТ" решило высказать свою точку зрения на произошедшие события и имевшее место неофициальное взаимодействие с руководством компании "ЛАН Крипто", а также описать ход событий. Инициатором проведения экспертизы механизмов защиты информации в системе Интернет-Банкинга "iBank" явился один из московских банков. Начальник управления автоматизации банка предложил руководству компании "БИФИТ" предоставить банку исходные тексты модулей защиты информации, встроенных в систему "iBank", для проведения независимой экспертизы третьей компанией. В качестве эксперта был предложен российский разработчик средств криптографической защиты информации компания "ЛАН Крипто". Руководство компании "БИФИТ" провело встречу с президентом компании "ЛАН Крипто", господином Анатолием Николаевичем Лебедевым. В рамках состоявшейся беседы была достигнута устная договоренность о процедуре проведения экспертизы, о соблюдении конфиденциальности вне зависимости от результатов проведенных работ, и о соблюдении авторских прав компании "БИФИТ" на переданные компании "ЛАН Крипто" исходные тексты модулей защиты информации. В начале и в середине лета в офисе компании "ЛАН Крипто" были встречи с Алексеем Анатольевичем Волчковым (президент ассоциации "РусКрипто"), который выступал в роли эксперта компании "ЛАН Крипто". На встречах представители компании "БИФИТ" технически подробно и всесторонне рассказывали А.А. Волчкову о системе "iBank", об используемых механизмах защиты информации. 9 августа около 17 часов нам позвонил эксперт компании "ЛАН Крипто" А.А.Волчков и заявил о выявленной ошибке в механизме ЭЦП в переданным нами исходных текстах. В состоявшейся вечером в этот же день в офисе компании "ЛАН Крипто" устной беседе руководителей компаний, господа А.Н. Лебедев и А.А. Волчков высказали свою совершенно новую позицию в отношении дальнешйего сотрудничества. В ходе беседы руководство компании "ЛАН Крипто" вопреки достигнутым ранее устным соглашениям между руководителями компаний категорически отказалось предоставлять какую-либо техническую информацию. Ни о датчике случайных чисел, ни о возможности восстановления секретного ключа ЭЦП клиента речи вообще не было. Видя нежелание господ А.Н. Лебедева и А.А. Волчкова соблюдать прежние устные договоренности, взаимодействовать исключительно в конструктивном русле, и стремлении исправить выявленную ошибку, руководство компании "БИФИТ" решило силами своих разработчиков самостоятельно провести тщательный анализ исходных текстов. Утром 10 августа ошибка была найдена и устранена. После чего компания "БИФИТ" предложила руководству компании "ЛАН Крипто" продемонстрировать на контрольном примере возможность взлома, основанному на выявленной ошибке. Как известно результаты взлома оказались отрицательны. Взлома самой системы "iBank" не было вообще. В связи с выявленной ошибкой и внеплановым выпуском новой версии и обновлений, устраняющих эту ошибку, руководство компании "БИФИТ" приняло единственно верное решение об обязательном и оперативном информировании банков. Что и было сделано в понедельник и вторник этой недели (13 и 14 августа). Компания "БИФИТ" заявляет, что будет и впредь придерживаться публичной открытости в вопросах информационной безопасности, будет всегда информировать своих клиентов о выявленных ошибках в своих программных продуктах.
