На PHDays завершился конкурс по анализу защищенности систем ДБО

image

Теги: phdays, хакер, конференция, positive technologies

Хакеры сумели не только выводить деньги из виртуального банка, но и атаковать счета друг друга.

В рамках конкурсной программы Positive Hack Days IV состоялось уже ставшее традиционным соревнование «Большой ку$h»: конкурсанты должны были искать уязвимости в системе ДБО.

Конкурс проходил в два этапа: сначала участникам для анализа были предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО, аналогичные реальным системам. На втором этапе конкурса хакеры должны были за ограниченное время проэксплуатировать обнаруженные уязвимости и вывести из банка как можно больше денег.

Специально для конкурса «Большой ку$h» была разработана система ДБО PHDays iBank, содержащая уязвимости, которые встречаются в реальных банковских системах.

За один час участники должны были воспользоваться проблемами безопасности, обнаруженными на первом этапе соревнования, и перевести деньги из банка на свой счет. Всего система содержала 20 000 рублей.

В этом году хакерам удалось почти полностью опустошить счета виртуального банка. Всего было «украдено» почти 17 тысяч рублей. Хакеры могли не только выводить деньги из виртуального банка, но и атаковать счета друг друга (участники продемонстрировали примеры таких атак).

Победителем стал участник под ником d4d, которому удалось вывести из системы 9359,71 рублей, второе место занял Helm, похитивший чуть больше 6 тысяч рублей, а BigBear с 533 рублями стал третьим.


или введите имя

CAPTCHA
так-то не всё так
23-05-2014 14:51:51
а кто-нибудь играл за "команду безопасников" банка?
0 |
BigBear
24-05-2014 14:28:51
Нет, наша цель была - проэксплуатировать уязвимости "действующей" ДБО, безопасники которых даже не подозревают об уязвимости их кода.
0 |
Normanet
29-05-2014 10:54:32
Somewhat, it is just a report as well as affidavit, recordingNike Free Herre
0 |