Посетители форума Дни позитивного хака 2012 , который прошел недавно в техноцентре Digital October, они смогли не только послушать доклады профессионалов мира информационной безопасности и посмотреть эпическую битву хакеров CTF, но и принять участие в обсуждении важных вопросов индустрии безопасности.
в рамках специализированных разделов.
Одной из таких дискуссионных площадок стала секция «Как защищаются деньгиЭ», модератором которой выступил Артем Сычев (начальник управления информационной безопасности Россельхозбанка).
Помимо теории – обсуждения актуальных проблем, стоящих перед отраслью банковской безопасности – секция включала и практическую часть – конкурс» Большой Ку$х «Участникам предстояло продемонстрировать свои навыки эксплуатации типичных уязвимостей в сервисах системы ДБО — преимущественно логических, а не веб-уязвимостей.
Специально для этого конкурса мы с нуля разработали собственную систему ДБО и заложили в нее типичные уязвимости, выявленные экспертами Positive Technologies в ходе анализа защищенности таких систем.
Разработка называлась PHDays I-Bank и представляла собой типичный интернет-банк с веб-интерфейсом, пин-кодами для доступа к счету и процессинга.
Накануне конкурса участники получили образ ОС с развернутой системой RBS и тестовой базой, а также, конечно же, исходный код этой самой RBS. Соответственно, на поиск уязвимостей и написание эксплойта ушло около суток.
В ходе конкурса каждый участник получил собственный счет в RBS и настоящую банковскую карту, привязанную к конкретному счету.
Соревнование длилось 30 минут, за это время участники должны были взломать боевую базу, перевести деньги с других счетов на свои, а затем - используя выданную карту - обналичить их в банкомате, ожидавшем победителей в фойе.
наполненный деньгами.
Хоть эта возможность и не афишировалась, но украсть деньги можно было не только со счетов «банка», но и других участников конкурса ;) Статус счетов отображался на большом экране и на протяжении всей половины час зрители наблюдали, как идет процесс и кто сможет украсть, заработает больше денег.
В результате победителем конкурса стал Дары , который смог вывести 3500 рублей, Чипик занял второе место (900 рублей), а Raz0r стал третьим.
Банкомат выдал деньги без проблем: все было честно.
CTF против Online HackQuest
Далее к соревнованию присоединились команды-участницы CTF. Их задачей была защита RBS. Также они получили образ ОС с системой RBS (и исходниками), а также тестовую базу.На поиск и устранение уязвимостей им было дано 4 часа, причем устранить уязвимости можно было только без нарушения функционирования системы: не допускалась ситуация, при которой систему невозможно взломать, поскольку она не работает. Хакерами в этом соревновании были пользователи Интернета, участвовавшие в конкурсе Online HackQuest. После получения доступа к VPN у них было полчаса на проведение атаки и вывод денег со счетов команды CTF (подробные правила читайте в нашем специальном хабратопик ).
Из этой битвы команды CTF вышли победителями: им удалось сохранить практически все свои деньги.
По итогам конкурса и участники, и зрители сошлись во мнении, что он прошел на ура и стал изюминкой конкурсной программы форума.
У нас уже есть идеи, как сделать конкурс еще более интересным и зрелищным, мы постараемся реализовать их на PHDays 2013. До встречи в следующем году! P.S. Еще раз напомним, что упомянутая система ДБО была разработана специалистами Positive Technologies специально для соревнований в рамках форума PHDays 2012. НЕ ЯВЛЯЕТСЯ система, которая реально работает в любом из существующих банков; в то же время она максимально приближена к аналогичным системам и содержит характерные для них уязвимости.
Теги: #большая победа #позитивные хакерские дни #ctf #hackquest #информационная безопасность
-
Экономические Показатели (Показатели)
19 Oct, 24 -
Коллекция Gif: Будни Менеджера Проекта
19 Oct, 24 -
Microsoft Купила Avicode
19 Oct, 24 -
Идеальный Язык Сценариев Для Web — Начало
19 Oct, 24 -
Разборка Чипа Музыкальной Карты
19 Oct, 24 -
Применение Data Mining В Продажах
19 Oct, 24
