Ошибки в системе шифрования угрожают онлайн-банкингу

Николай Головко 15 Сентября 2010 - 08:10

Средства криптографической защиты информации

...

Риск раскрытия конфиденциальных данных возник в результате обнаружения недочетов в криптоалгоритмах веб-приложений, разработанных при помощи среды ASP.Net от Microsoft. ASP.Net позволяет защищать файлы cookie с конфиденциальным содержимым, которые создаются приложениями во время сеансов онлайн-банкинга и других подобных операций, посредством AES-шифрования; этот алгоритм одобрен правительством США для использования в соответствующих случаях. Тем не менее, потенциальные уязвимости, существующие в механизме обработки ошибок при изменении содержимого криптованных файлов cookie, могут позволить злоумышленнику существенно сузить диапазон возможных ключей, использовавшихся при шифровании.

Исследователи Тай Дуонг и Джулиано Риццо разработали программный инструмент, названный ими Padding Oracle Exploit Tool, чтобы продемонстрировать принципиальную осуществимость подобной атаки. Ранее им уже удавалось обнаружить похожие недочеты в JavaServer Faces и других сетевых средах.

"Наиболее важным и значимым является тот факт, что при помощи подобной атаки можно поразить вообще любое веб-приложение ASP.Net," - пояснил г-н Риццо. - "Если вкратце, то вы сможете расшифровать все, что было криптовано с помощью API этой среды - файлы cookie, сведения для аутентификации, пользовательские данные, пароли... Среда ASP.Net используется на 25% всех ресурсов в Интернете, и каждый из них может быть атакован посредством эксплуатации этих уязвимостей. Результат может быть разным; в зависимости от особенностей конкретного сервера это может быть и раскрытие некоторой информации, и полная компрометация системы".

Также г-н Риццо счел нужным заметить, что подобная атака может позволить даже не самому опытному и умелому злоумышленнику взломать веб-сайт менее чем за час. "Первый этап нападения требует отправки нескольких тысяч запросов, но, как только эта стадия будет успешно завершена, и взломщик получит секретные ключи, осуществить проникновение можно будет совершенно незаметно. Для реализации такой атаки достаточно вполне элементарных познаний в криптографии," - заявил он.

Подробную информацию по этой проблеме исследователи представят на конференции Ekoparty, проходящей в Аргентине на этой неделе.

The Register

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 20 Января 2026 - 09:35

Соответствие законодательству РФ Общее

Банк России опроверг массовую блокировку платежных карт

Банк России опроверг сообщения о якобы массовой блокировке банковских карт на фоне расширения перечня признаков подозрительных операций и ужесточения контроля за переводами. В начале недели в СМИ появилась информация о резком росте числа заблокированных карт.

В публикациях со ссылкой на экспертные оценки компании «Информзащита» утверждалось, что с начала года могло быть заблокировано до 3 млн карт. Для сравнения: в ноябре регулятор официально сообщал об «охлаждении» порядка 330 тыс. переводов.

Сообщения связывали с усилением контроля за финансовыми операциями со стороны Росфинмониторинга и Банка России. Ещё в конце декабря 2025 года многие пользователи сталкивались с заморозкой платежей и переводов, в том числе между собственными счетами. В отдельных случаях речь шла не только о приостановке конкретных операций, но и о блокировке всего счёта. При этом доступ восстанавливался только после личного обращения в банк и не всегда оперативно.

Однако в ЦБ назвали информацию о массовых блокировках некорректной.

«С 1 января по 19 января 2026 года мы получили 7431 обращение граждан по поводу блокировки карт. Это вдвое меньше обычного уровня обращений», — сообщила пресс-служба Банка России «Российской газете».

Как уточнили в регуляторе, при выявлении признаков мошенничества карты и счета не блокируются автоматически. В таких случаях перевод либо отклоняется, либо приостанавливается на срок до 48 часов. Банк обязан уведомить клиента о принятых мерах и предоставить возможность подтвердить операцию не позднее чем через сутки. После получения подтверждения транзакция должна быть проведена незамедлительно.

Доцент Финансового университета при правительстве РФ Пётр Щербаченко связал рост числа жалоб с усилением мер по противодействию мошенникам и назвал оценку в 3 млн отклонённых операций явно завышенной:

«Меры по борьбе с мошенническими операциями в первую очередь затрагивают дропов — людей, на которых оформляют десятки и даже сотни карт, в том числе виртуальных. Именно такие карты могли массово попадать под блокировки, что усложняет преступникам вывод похищенных средств».

В Банке России также отметили, что постоянно дорабатывают механизмы реабилитации клиентов, ошибочно попавших в перечень подозреваемых в мошеннических операциях. В частности, это касается пользователей, проводивших операции с криптовалютой. Работа в этом направлении будет продолжена.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »