Еще раз о безопасности систем ДБО

    На форуме по информационной безопасности Positive Hack Days, проходящем в эти дни в техноцентре Digital October, представлена отдельная секция под названием «Как защищают деньги?», в рамках которой ведущие российские и зарубежные эксперты рассматривают проблемы, стоящие перед индустрией банковской безопасности.

    Для одного из конкурсов («Большой ку$h») мы с нуля разработали свою собственную систему ДБО, содержащую типичные уязвимости, выявленные экспертами компании Positive Technologies во время работ по анализу защищенности подобных систем.



    Участники конкурса должны были продемонстрировать свои знания и навыки в области эксплуатации типовых уязвимостей в службах систем ДБО. В нашем «защищенном» интернет-банке (максимально приближенном к реальному) находилась определенная сумма денег.

    Хакеры должны были обнаружить уязвимости системы ДБО и на втором этапе конкурса в течение ограниченного времени воспользоваться ими для несанкционированного вывода денежных средств. Выведенная сумма в итоге доставалась победителю. После окончания соревнования хакеры могли обналичить призы в банкомате с помощью фирменных карточек PHDays (фотоотчет здесь).



    Однако это еще не все! Мы повторим этот конкурс, только теперь команды, участвующие в Positive Hack Days CTF, поработают над защитой систем ДБО (у них будет 4 часа на поиск и устранение уязвимостей), а проводить атаки будут пользователи сети Интернет в ходе соревнования Online HackQuest. 31 мая в 18:00 через VPN интернет-пользователи попадут в сеть CTF и начнут атаковать системы ДБО.

    Используя уязвимости систем ДБО и осуществляя перевод денежных сумм со счетов участников CTF, вы сможете повлиять на рейтинг участвующих в PHDays CTF 2012 команд.



    Тестовые системы ДБО доступны по следующим ссылкам:


    Для вывода денежных средств вы можете использовать любой из четырех счетов:

    • 91307430600804200281 — Anonymous;
    • 91307430600372200346 — LulzSec;
    • 91307430600128500473 — Offshore of Potato;
    • 91307430600296700514 — International Fund for French Fries Welfare.

    Повторите успехи участников конкурса «Большой ку$h»! Получите удовольствие от хакерского сражения с участниками CTF и «прокачайте» навыки обнаружения и использования типовых уязвимостей систем ДБО.

    P. S. Напомним, что упомянутая система ДБО разработана специалистами компании Positive Technologies специально для конкурсов в рамках форума PHDays 2012. Она НЕ ЯВЛЯЕТСЯ системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.
    Метки:
    • +16
    • 6,8k
    • 4
    Positive Technologies 176,25
    Компания
    Поделиться публикацией
    Комментарии 4
    • 0
      Ну что могу сказать, поздравляю победителей в столь интересной схватке :)
      • 0
        Главное, чтобы не заддосили
        • 0
          Интересно, уязвимость типа «пароль в открытом виде в логах» присутствующая в ДБО одного из крупных банков тоже есть, или у вас не настолько идиотские баги спрятаны? ;)

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое