За сколько можно взломать мобильную сеть?
Надежно ли электронное правительство
в эпоху WikiLeaks и Anonymous?

Взлом АСУ ТП – голливудские байки
или реалии сегодняшнего дня?
Интернет-банкинг – возможна ли победа
в битве с мошенниками?

Киберпреступность, кибершпионаж, кибервойна. Где грань?

среда, 22 августа 2012 г.

Типичные уязвимости систем ДБО

В московском хакспейсе Neúron состоялся мастер-класс, посвященный итогам конкурса «Большой ку$h» (PHDays 2012), где были рассмотрены типичные уязвимости в системах дистанционного банковского обслуживания. Хакерский клуб на Лужнецкой набережной посетили несколько десятков специалистов по информационной безопасности из различных банков, эксперты ИБ и исследователи уязвимостей.

Напомним, что специально для этого соревнования мы с нуля разработали собственную систему ДБО и заложили в нее типичные уязвимости, выявленные экспертами Positive Technologies в ходе работ по анализу защищенности таких систем. Разработка получила название PHDays I-Bank и представляла собой типичный интернет-банк с веб-интерфейсом, PIN-кодами для доступа к счету и процессингом. Всего в PHDays I-Bank было заложено 200 уязвимостей. Следует отметить, что уязвимости систем ДБО выходят за рамки классических веб-уязвимостей (таких как XSS или SQL Injection): по большей части уязвимости в PHDays I-Bank логические.



На площадке хакспейса Neúron выступили эксперты компании Positive Technologies (Денис Баранов, Глеб Грицай и Артем Чайкин) с презентацией «Уязвимости ДБО на примере PHDays I-Bank», в ходе которой рассказали о типичных проблемах защищенности систем дистанционного банковского обслуживания.

понедельник, 20 августа 2012 г.

Positive Hack Days CTF vol. 2

В ходе битвы хакеров Capture The Flag, прошедшей в этом году на форуме PHDays 2012, 12 команд из 10 стран взламывали сети противников и защищали свои на протяжении двух дней и одной ночи без остановки. Условия сражения были максимально приближены к боевым: никаких выдуманных уязвимостей, только реально встречающиеся в современных информационных системах.

Инфраструктура для хакерской битвы была построена по принципу «Царь горы»: очки начислялись не только за захват систем, но и за их удержание, что добавило соревнованию остроты.

Соревнование стало гвоздем программы форума, и мы задали себе вопрос: почему бы не провести отдельную «королевскую битву» для интернет-сообщества — скажем, во второй половине августа? Подробности под катом.