В который раз про Клиент-Банк или когда вы меняли ваш пароль из трех букв?
Грустная сказка с повисшим концом.

Есть фирма, есть счет в банке, есть десятки операций в неделю. Конечно, есть Клиент-Банк. Он жутко защищенный, крутой и серьезный, с ключами, ЭЦП, двусторонним шифрованным транспортом и т.п.

У нас бухгалтер обслуживает 3 фирмы, все в одном банке, все банк-клиенты на 1 компе, на всех (внимание!) одинаковый пароль из трех букв. Из соображений вашей и моей безопасности писать его не буду.

Получив банк-клиент в банке, я сразу поинтересовался у сотрудника техподдержки по поводу смены пароля. Сотрудник с видом оскорбленной невинности принес мне, как блондинке, распечатку из помощи, где написано «В меню Сервис выберите пункт Сменить пароль, введите старый и новый».

Ну здорово, подумал я, и забыл на время.

Но вот под новый 2010 год я собрался сменить пароль. Проверил 31 декабря 2009 года в последний раз счет и нажал ту самую кнопочку из меню Сервис.

Ввел старый пароль, ввел новый. Два раза ввел. Все отлично, работает.
Думаю, выйду-войду.

Вхожу с новым паролем. Выдается ошибка драйвера БД, что пароль к DBA не опознан и вообще проверьте пароль (скрин не сохранил к сожалению). Все такое системное и латинское. Повторил, повторил дважды с тем же эффектом.

Думаю, ну значит не сменился пароль.

Ввожу старый. Система выдает ДРУГОЕ сообщение об ошибке, цивильное, клиент-банковское, мол пароль неверный.

Пробую ввести 123456 в окно пароля, вижу опять цивильное русское сообщение что пароль не тот.

Какие выводы? Что БД банк-клиента хранится отдельно, что она защищена паролем (слава Творцу), но при смене пароля в софтине пароль к БД не меняется (иначе как объяснить разные сообщения об ошибке?).

Ну новый год настает, банк-клиент не работает, иду праздновать, уверенный что никто не вломится на счет точно, раз оба пароля не подходят.

11 января звоню в банк тому самому товарищу из саппорта. Что выясняется:
1. Все мои гипотезы верны. Московская техподдержка банка (или даже разработчика) «не рекомендует менять пароль».
2. Сменить пароль можно «напрямую в DBA» (умные люди с Хабра, вы понимаете что это заклинание значит?).
3. Нашу проблему с доступом можно решить ТОЛЬКО получив свежий дистрибутив с вшитым старым паролем.

Конец немного предсказуем. Так и вышло — привез я свежий дистрибутив.

Резюме.
1. Если за комп бухгалтера может сесть посторонний и увидеть знакомый ярлычок банк-клиента, он смело может писать пароль из трех букв и оперировать вашим счетом.
2. На мои настойчивые просьбы решить вопрос мне прислали инструкцию из 5 строк по факсу.

Передайте вашему директору. В меню… надо снять крыжик ..., потом зайти в окошко… etc

Мы догадались что такое «крыжик», хотя довести процедуру до конца не смогли. Естественно, что инструкция была писана специально для меня и в помощи отсутствует.
3. На мои описания угроз, вытекающих из ситуации, ругательства, перечисление рисков, которые они создают своей системой, ничего внятного мне не ответили.

Закончить хотелось бы строками из описания банк-клиента:

Поскольку система BS-Client предназначена для работы с финансовыми документами, вопросам безопасности в ней уделяется повышенное внимание. В системе используется криптографические стойкие шифрование и электронно-цифровая подпись (ЭЦП) всех данных, которыми Клиенты обмениваются с Банком. Шифрование защищает данные от перехвата злоумышленником, ЭЦП однозначно удостоверяет авторство данных.



Секурная, кошерная, грамотная, защищенная система. ЭЦП, транспорт…
Просто пароли у всех одинаковые. Для удобства.
Просто сменить их нельзя. На всякий случай.

Для интересующихся — BS-Client, версия 3.15.6.270

PS. Не забудьте снять крыжик.

http://habrahabr.ru/blogs/infosecurity/83025/#habracut