В который раз про Клиент-Банк или когда вы меняли ваш пароль из трех букв?Грустная сказка с повисшим концом.
Есть фирма, есть счет в банке, есть десятки операций в неделю. Конечно, есть Клиент-Банк. Он жутко защищенный, крутой и серьезный, с ключами, ЭЦП, двусторонним шифрованным транспортом и т.п.
У нас бухгалтер обслуживает 3 фирмы, все в одном банке, все банк-клиенты на 1 компе, на всех (внимание!) одинаковый пароль из трех букв. Из соображений вашей и моей безопасности писать его не буду.
Получив банк-клиент в банке, я сразу поинтересовался у сотрудника техподдержки по поводу смены пароля. Сотрудник с видом оскорбленной невинности принес мне, как блондинке, распечатку из помощи, где написано «В меню Сервис выберите пункт Сменить пароль, введите старый и новый».
Ну здорово, подумал я, и забыл на время.
Но вот под новый 2010 год я собрался сменить пароль. Проверил 31 декабря 2009 года в последний раз счет и нажал ту самую кнопочку из меню Сервис.
Ввел старый пароль, ввел новый. Два раза ввел. Все отлично, работает.
Думаю, выйду-войду.
Вхожу с новым паролем. Выдается ошибка драйвера БД, что пароль к DBA не опознан и вообще проверьте пароль (скрин не сохранил к сожалению). Все такое системное и латинское. Повторил, повторил дважды с тем же эффектом.
Думаю, ну значит не сменился пароль.
Ввожу старый. Система выдает ДРУГОЕ сообщение об ошибке, цивильное, клиент-банковское, мол пароль неверный.
Пробую ввести 123456 в окно пароля, вижу опять цивильное русское сообщение что пароль не тот.
Какие выводы? Что БД банк-клиента хранится отдельно, что она защищена паролем (слава Творцу), но при смене пароля в софтине пароль к БД не меняется (иначе как объяснить разные сообщения об ошибке?).
Ну новый год настает, банк-клиент не работает, иду праздновать, уверенный что никто не вломится на счет точно, раз оба пароля не подходят.
11 января звоню в банк тому самому товарищу из саппорта. Что выясняется:
1. Все мои гипотезы верны. Московская техподдержка банка (или даже разработчика) «не рекомендует менять пароль».
2. Сменить пароль можно «напрямую в DBA» (умные люди с Хабра, вы понимаете что это заклинание значит?).
3. Нашу проблему с доступом можно решить ТОЛЬКО получив свежий дистрибутив с вшитым старым паролем.
Конец немного предсказуем. Так и вышло — привез я свежий дистрибутив.
Резюме.
1. Если за комп бухгалтера может сесть посторонний и увидеть знакомый ярлычок банк-клиента, он смело может писать пароль из трех букв и оперировать вашим счетом.
2. На мои настойчивые просьбы решить вопрос мне прислали инструкцию из 5 строк по факсу.
Передайте вашему директору. В меню… надо снять крыжик ..., потом зайти в окошко… etc
Мы догадались что такое «крыжик», хотя довести процедуру до конца не смогли. Естественно, что инструкция была писана специально для меня и в помощи отсутствует.
3. На мои описания угроз, вытекающих из ситуации, ругательства, перечисление рисков, которые они создают своей системой, ничего внятного мне не ответили.
Закончить хотелось бы строками из описания банк-клиента:
Поскольку система BS-Client предназначена для работы с финансовыми документами, вопросам безопасности в ней уделяется повышенное внимание. В системе используется криптографические стойкие шифрование и электронно-цифровая подпись (ЭЦП) всех данных, которыми Клиенты обмениваются с Банком. Шифрование защищает данные от перехвата злоумышленником, ЭЦП однозначно удостоверяет авторство данных.
Секурная, кошерная, грамотная, защищенная система. ЭЦП, транспорт…
Просто пароли у всех одинаковые. Для удобства.
Просто сменить их нельзя. На всякий случай.
Для интересующихся — BS-Client, версия 3.15.6.270
PS. Не забудьте снять крыжик.
http://habrahabr.ru/blogs/infosecurity/83025/#habracut 
