Компания
476,69
рейтинг
31 мая 2012 в 12:16

Разработка → Еще раз о безопасности систем ДБО

На форуме по информационной безопасности Positive Hack Days, проходящем в эти дни в техноцентре Digital October, представлена отдельная секция под названием «Как защищают деньги?», в рамках которой ведущие российские и зарубежные эксперты рассматривают проблемы, стоящие перед индустрией банковской безопасности.

Для одного из конкурсов («Большой ку$h») мы с нуля разработали свою собственную систему ДБО, содержащую типичные уязвимости, выявленные экспертами компании Positive Technologies во время работ по анализу защищенности подобных систем.



Участники конкурса должны были продемонстрировать свои знания и навыки в области эксплуатации типовых уязвимостей в службах систем ДБО. В нашем «защищенном» интернет-банке (максимально приближенном к реальному) находилась определенная сумма денег.

Хакеры должны были обнаружить уязвимости системы ДБО и на втором этапе конкурса в течение ограниченного времени воспользоваться ими для несанкционированного вывода денежных средств. Выведенная сумма в итоге доставалась победителю. После окончания соревнования хакеры могли обналичить призы в банкомате с помощью фирменных карточек PHDays (фотоотчет здесь).



Однако это еще не все! Мы повторим этот конкурс, только теперь команды, участвующие в Positive Hack Days CTF, поработают над защитой систем ДБО (у них будет 4 часа на поиск и устранение уязвимостей), а проводить атаки будут пользователи сети Интернет в ходе соревнования Online HackQuest. 31 мая в 18:00 через VPN интернет-пользователи попадут в сеть CTF и начнут атаковать системы ДБО.

Используя уязвимости систем ДБО и осуществляя перевод денежных сумм со счетов участников CTF, вы сможете повлиять на рейтинг участвующих в PHDays CTF 2012 команд.



Тестовые системы ДБО доступны по следующим ссылкам:


Для вывода денежных средств вы можете использовать любой из четырех счетов:

  • 91307430600804200281 — Anonymous;
  • 91307430600372200346 — LulzSec;
  • 91307430600128500473 — Offshore of Potato;
  • 91307430600296700514 — International Fund for French Fries Welfare.

Повторите успехи участников конкурса «Большой ку$h»! Получите удовольствие от хакерского сражения с участниками CTF и «прокачайте» навыки обнаружения и использования типовых уязвимостей систем ДБО.

P. S. Напомним, что упомянутая система ДБО разработана специалистами компании Positive Technologies специально для конкурсов в рамках форума PHDays 2012. Она НЕ ЯВЛЯЕТСЯ системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.
Автор: @ptsecurity
Positive Technologies
рейтинг 476,69

Комментарии (4)

  • 0
    Ну что могу сказать, поздравляю победителей в столь интересной схватке :)
  • 0
    Главное, чтобы не заддосили
  • 0
    Интересно, уязвимость типа «пароль в открытом виде в логах» присутствующая в ДБО одного из крупных банков тоже есть, или у вас не настолько идиотские баги спрятаны? ;)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка