Обращение в службу качества


Проверьте правильность заполнения обязательных полей
Обязательные поля для заполнения

ПЕРСОНАЛЬНЫЙ ЗАПРОС

  • Хранение и обработка данных
  • Телекомуникационные решения
  • Аутсорсонг и сервис
  • Информационная безопасность
  • Корпоративная сеть
  • Мониторинг IT-инфраструктуры
  • Инженерные решения
  • Биометрические системы
  • Геоинформационные системы
  • Другое
Проверьте правильность заполнения обязательных полей
Обязательные поля для заполнения

Откликнуться на вакансию

Проверьте правильность заполнения обязательных полей
Обязательные поля для заполнения

ОБРАТНАЯ СВЯЗЬ

Проверьте правильность заполнения обязательных полей
Обязательные поля для заполнения

КОНСУЛЬТАЦИЯ СПЕЦИАЛИСТА

Проверьте правильность заполнения обязательных полей
Обязательные поля для заполнения

КОНСУЛЬТАЦИЯ СПЕЦИАЛИСТА

Проверьте правильность заполнения обязательных полей
Обязательные поля для заполнения

Перезвоните мне

Проверьте правильность заполнения обязательных полей

Подписка

Подписка

Проверьте правильность заполнения обязательных полей

Banki.ru – «POSITIVE»

29.05.2013

Прошедшая неделя была очень насыщенной. 23-24 мая в Москве прошёл форум Positive Hack Days, на который меня пригласили в качестве эксперта по информационной безопасности от «Техносерва» наши партнёры. Несмотря на странное название, это мероприятие произвело позитивное впечатление. Именно это и послужило такому названию статьи. А теперь немного о самом форуме.

Первое, что поразило – это масштаб мероприятия. Огромные залы, много участников. Большая очередь на регистрацию, но продвигается она быстро. Отличная организация, информирование и обслуживание. Удивило и порадовало, что участники такого серьёзного форума были очень молоды. Средний возраст, по моей оценке составлял 27 лет. А это значит, что информационную безопасность ожидает яркое будущее. С удовольствием отмечу, что серьёзные вопросы выступающим задавали, в том числе, и молодые, красивые девушки. Не смотря на то, что залы были большими, они не могли вместить всех желающих. В проходах и вдоль стен стояли слушатели. А послушать было что. Среди участников и выступающих были представители финансовых организаций: Центрального Банка, Сбербанка, группы ВТБ и ряда других крупных и средних банков. Выступающие затрагивали самые разные темы. Начиная от оборудования для съёма информации до аналитических отчётов и представления результатов исследовательских работ. Представитель «Лаборатория Касперского» рассказал, как вычисляют и находят авторов и исполнителей информационных атак.

На форуме рассказывали, как создавать ловушки для атакующих хакеров, обсуждались особенности апплетов для взлома атакующих, сбора технической информации и даже персональных данных атакующих. Скажите, что это незаконно? А атаковать банки и переводить деньги от имени других – это законно? На форуме не обсуждались этические и юридические вопросы. Всё внимание было уделено вопросам уязвимостей и борьбе с ними. Но, вернёмся к сбору информации об атакующих. Для чего эта информация нужна, и как ею можно воспользоваться? Собрав информацию об атакующем, её можно поместить в чёрный список и тем самым предотвратить возможность хищения чужих денег. Можно проверить наличие атакующего среди клиентов банка, со всеми вытекающими последствиями. Сотрудники Информационной Безопасности банков, предлагаю взять это на вооружение!

Специалисты по техническому оборудованию рассказывали и показывали, места уязвимостей в типовом и конкретном оборудовании, и озвучивали меры по их устранению. Демонстрировали работу приспособлений для изъятия выдаваемых банкоматами денег. Устройства для мониторинга за банкоматами и действиями пользователей. Было отмечено, что ответственность за контроль на наличие установки скимеров, трапингов для удержания карт – должен осуществляться со стороны банка или обслуживающей банкоматы организации.

В одной из статей блога мы обсуждали преимущества промышленных решений и самостоятельной разработки. Как это не покажется странным, но на форуме было отмечено, что собственная разработка системы ДБО содержат меньше уязвимостей. Не смотря на то, что в этих разработках хуже реализованы механизмы защиты, так как у разработчиков в кредитных организациях ниже уровень специальных знаний. Зачастую в банке ПО разрабатывают экономисты, методологи, но не программисты (это мнение выступающих, а не моё).


Александр Горшков,
начальник управления банковских технологий «Техносерва»

Было отмечено, что продуктивные системы более уязвимы, чем тестовые. Это объясняется тем, что тестовые платформы чаще обновляются и на них не забывают поставить обновления для баз данных и операционных систем. Достаточно много внимания было уделено вопросам взлома информационных систем изнутри. Есть мнение, что внутренняя сеть безопасна, так как она хорошо защищена по периметру. Однако, это далеко не так.

Информационной безопасности нет, если отсутствует контроль подключения к сети изнутри. Излишнее доверие к защите периметра и отсутствие обученного персонала приводят к ненамеренному или намеренному нарушению информационной безопасности.

Представитель Центрального Банка подтвердил, что они ведут сбор информации по не санкционированному переводу денежных средств (фродовым операциям) в банках, но результаты анализа не озвучил. На форуме были приведены другие интересные цифры: 23% уязвимостей связано с кодом программ, 42% - с недостатками механизмов защиты, 34% - вызваны недостатками в конфигурации, остальные уязвимости возникают из-за использования устаревших версий ПО. Участникам форума было продемонстрирован перехват SMS-кода, отправленного на мобильное устройство с операционной системой Android. Выступающий отметил, что для windows phone и iPhone перехватить SMS-сообщения этим способом пока не получилось.

Обзор Positive Hack Days будет не полным, если не рассказать об атмосфере, которая царила на этом форуме. По аналогии с зарубежными мероприятиями этот форум имел явные черты шоу. Так, в центральном зале были организованы конкурсы и соревнования: поиск движущихся по территории форума беспроводных точек, соревнование по вскрытию замков, взлом хэшей на скорость, поиск и анализ общедоступной информации в целях конкурентной разведки, осуществление бесплатных звонков, преодоление систем контроля, исследование и взлом интернет-банка, содержащего типовые уязвимости ДБО, взлом банкомата, конкурс по взлому сетевой инфраструктуры, соревнования пьяных мастеров по обходу WAF. Приношу извинения, что статья получилась такой большой, но что делать, мероприятие было интересным и полезным. Рассказать о нём более кратко ну никак не получалось.


Предыдущая публикация Вернуться к списку публикаций Следующая публикация