Как стало известно, компании "ЛАН Крипто" удалось взломать защиту, используемую в системе интернет-банкинга iBank компании "Бифит". Эту систему используют десятки банков в России.

Для проведения атаки необходимо иметь один подписанный клиентом документ и доступ к серверу базы данных iBank. Особых вычислительных мощностей не потребуется, хватит и обычной, довольно средней по нынешним меркам персоналки. Компьютер на процессоре Pentium II 500 МГц восстанавливает секретный ключ подписи за 5-6 часов.

Система iBank реализована на Java. Проблема заключалась в неверной реализации использованного в iBank генератора случайных чисел. Те генераторы, которые встроены в Java-машины браузеров MS Interner Explorer и Netscape Communicator, оказались криптографически нестойкими.

Компания "БИФИТ" незамедлительно устранила выявленную ошибку, выпустив новую версию (1.8.2) системы iBank и пакет обновлений для более ранних версий 1.8.1.х. В настоящее время подавляющее большинство банков уже провели обновление системы "iBank" до версии 1.8.2.

Чтобы избавиться от ошибки, стандартный генератор пришлось заменить. Вместо него теперь применяется модифицированный генератор SecureRandom из JDK 1.1.7, измеряющий разности временных интервалов при запуске большого количества потоков для формирования стартового вектора (seed) и использующий хэш-функции при генерации случайных чисел.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии