Еще раз о безопасности систем ДБО

^[1]На форуме по информационной безопасности Positive Hack Days ^[2], проходящем в эти дни в техноцентре Digital October, представлена отдельная секция ^[3] под названием «Как защищают деньги?», в рамках которой ведущие российские и зарубежные эксперты рассматривают проблемы, стоящие перед индустрией банковской безопасности.

Для одного из конкурсов («Большой ку$h ^[4]») мы с нуля разработали свою собственную систему ДБО, содержащую типичные уязвимости, выявленные экспертами компании Positive Technologies во время работ по анализу защищенности подобных систем.

Участники конкурса должны были продемонстрировать свои знания и навыки в области эксплуатации типовых уязвимостей в службах систем ДБО. В нашем «защищенном» интернет-банке (максимально приближенном к реальному) находилась определенная сумма денег.

Хакеры должны были обнаружить уязвимости системы ДБО и на втором этапе конкурса в течение ограниченного времени воспользоваться ими для несанкционированного вывода денежных средств. Выведенная сумма в итоге доставалась победителю. После окончания соревнования хакеры могли обналичить призы в банкомате с помощью фирменных карточек PHDays.

Однако это еще не все! Мы повторим этот конкурс, только теперь команды, участвующие в Positive Hack Days CTF ^[5], поработают над защитой систем ДБО (у них будет 4 часа на поиск и устранение уязвимостей), а проводить атаки будут пользователи сети Интернет в ходе соревнования Online HackQuest. 31 мая в 18:00 через VPN интернет-пользователи попадут в сеть CTF и начнут атаковать системы ДБО.

Используя уязвимости систем ДБО и осуществляя перевод денежных сумм со счетов участников CTF, вы сможете повлиять на рейтинг участвующих в PHDays CTF 2012 ^[5] команд.

Тестовые системы ДБО доступны по следующим ссылкам:

• только исходники приложения с тестовой базой ^[6];
• виртуальная машина с установленной системой ДБО ^[7].

Для вывода денежных средств вы можете использовать любой из четырех счетов:

• 91307430600804200281 — Anonymous;
• 91307430600372200346 — LulzSec;
• 91307430600128500473 — Offshore of Potato;
• 91307430600296700514 — International Fund for French Fries Welfare.

Повторите успехи участников конкурса «Большой ку$h»! Получите удовольствие от хакерского сражения с участниками CTF и «прокачайте» навыки обнаружения и использования типовых уязвимостей систем ДБО.

P. S. Напомним, что упомянутая система ДБО разработана специалистами компании Positive Technologies специально для конкурсов в рамках форума PHDays 2012. Она НЕ ЯВЛЯЕТСЯ системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.

Автор: ptsecurity