В Москве прошел Международный хакерский форум Positive Hack Days 2012. В рамках конкурса Большой Kush хакеры соревновались во взломе систем дистанционного банковского обслуживания (ДБО). Победителю удалось «увести» из банка 3,5 тыс. рублей, используя популярные уязвимости языка PHP.
Ежегодно хакеры незаконно проникают в системы ДБО и крадут миллиарды долларов. В связи с этим организаторы форума Positive Hack Days 2012 решили уделить этой теме особое внимание.
На «растерзание» хакеров отдали специально разработанную, имитационную систему ДБО, вобравшую в себя наиболее распространенные уязвимости реальных систем. Девятерым участникам конкурса было отведено ровно 20 минут на то, чтобы сканировать систему на наличие «дыр» и «багов», и, используя их перевести деньги на свой счет. Всего в эту своеобразную «пиньяту» было загружено 20 тыс. рублей, однако победитель смог забрать только 3,5 тыс.
«Это была простая работа, но из-за того, что в процессе конкурса сервер «упал», в чем была и моя вина, мне не удалось забрать все деньги», - пояснил ситуацию победитель конкурса, россиянин Алексей Осипов.
Он добавил, что ранее не работал с системами ДБО, однако имел дело с популярным языком программирования PHP, на котором она была написана. Сверхвысоким уровнем безопасности он, как известно, не отличается. «Специалист моего уровня без проблем их (уязвимости) распознает», - считает Осипов, студент пятого курса факультета Автоматики и вычислительной техники МГУ.
Серебряный и бронзовый призеры «увели» из системы по 900 и 500 рублей соответственно.
Сотрудник консалтинговой компании Digital Security Глеб Чербов, занявший второе место, малый размер выигрыша объясняет тем, что участники не захотели или не смогли найти наиболее крупные уязвимости системы, глубоко запрятанные в код, и ограничились самыми очевидными. В противном случае, они могли бы получить доступ к счетам с гораздо большим количеством денег.
Например, сам Чербов, использовал слабость системы генерации новых паролей от учетных записей пользователей системы. По его словам, эту систему можно было легко эмулировать. При этом эксперт уточняет, что предложенная на конкурс система ДБО написана проще, чем настоящие. «Но на взлом настоящих систем у хакеров обычно есть недели, а не один день, как на этом конкурсе», - поясняет он.
Positive Hack Days 2012 - организованный компанией Positive Technologies международный форум для специалистов по информационной безопасности - проходит в Москве в мае. В программе форума: конкурсы, доклады на актуальные темы безопасности в IT и советы профессионалов российских и зарубежных компаний.
Отличительной особенностью мероприятия является его специализация на практических вопросах компьютерной безопасности - в программу PHD не допускаются рекламные презентации и доклады, посвященные описанию характеристик и преимуществ коммерческих продуктов компаний-участниц.
Источник: aktualno.ru
