¬ ћоскве прошел форум по практической безопасности Positive Hack Days III. Ёто ежегодное меропри€тие, где собираютс€ лучшие в мире специалисты по защите информации. “ема информационной безопасности банков традиционно стала здесь одной из ключевых. ¬ рамках форума прошли дискуссии, соревновани€ и мастер-классы, посв€щенные банковской тематике.

¬ частности устроители форума – компани€ Positive Technologies – организовали конкурс «Ѕольшой ку$h», где свое мастерство продемонстрировали кибер-взломщики. —пециально дл€ этого конкурса специалисты разработали систему ƒЅќ PHDays iBank, содержаща€ у€звимости, которые встречаютс€ в банковских системах в реальной жизни. «а один час дес€ть участников должны были воспользоватьс€ проблемами безопасности, обнаруженными на первом этапе соревновани€, и перевести деньги с чужих счетов на свой. ¬сего система содержала 20 000 рублей.

Ќасколько у€звимы нынешние банковские системы доказал студент п€того курса —ам√ј” јнатолий  атюшин. ћолодому хакеру под ником heartless потребовалось всего несколько часов, чтобы взломать систему дистанционного банковского обслуживани€ (ƒЅќ) и «похитить» 4995 рублей. ¬ыигрыш победител€ был удвоен интеллектуальным партнером форума PHDays – компанией «јстерос». «ќбнаружение проблем безопасности в образе системы зан€ло где-то четыре часа, затем нужно было лишь написать скрипт дл€ автоматизации эксплуатировани€ у€звимости», – сказал јнатолий  атюшин после финала конкурса. ¬торое место в соревновании зан€л студент факультета математики Ќ»” ¬ЎЁ ќмар √аниев (beched), который смог «похитить» 3277 рублей. ќстальным восьми участникам конкурса не удалось вывести из PHDays iBank ни одного рубл€.

ѕо словам старшего вице-президента ќјќ  Ѕ «—олидарность» —ерге€ ’арского, порой люди с подозрением относ€тс€ к любым интернет-сервисам, опаса€сь возможности взлома и мошенничества. «ќтмечу, что в своей практике с подобными случа€ми мы не сталкивались и защиту систем ƒЅќ € оцениваю на высоком уровне. ќсновна€ об€занность клиента – не разглашать свои персональные данные. ¬прочем, хочу сказать, что наши клиенты ответственно относ€тс€ к конфиденциальной информации, бережно хран€ сведени€ дл€ входа в системы. Ѕывают случаи, когда клиент, использу€ систему дистанционного обслуживани€, становитс€ жертвой злоумышленника, например, перевед€ средства на счет фиктивного интернет-магазина. Ќужно понимать, что банк за это ответственности не несет, он предоставл€ет лишь канал взаимодействи€. „то касаетс€ конкурса: реб€та, безусловно, молодцы. ќсобенно порадовало, что победителем стал наш земл€к», - отметил господин ’арский.
 омментировать результаты конкурса, по словам господина ’арского несколько затруднительно, т.к. нет подробной информации обо всех услови€х конкурса и алгоритмах «взлома».
«ќтмечу только, что это в первую очередь конкурс. ”частники оперировали не реально существующей системой ƒЅќ, а специально созданной дл€ данного конкурса. Ћогично предположить, что разработчики PHDays iBank заранее делали «дыры» в системе, на которые и предполагалось нанести атаку. Ѕез этого конкурс было бы невозможно провести. —читаю, что по результатам конкурса нельз€ оценивать реальную ситуацию с системами дистанционного банковского обслуживани€», - отметил он.

¬прочем, по оценкам экспертов, проблема ненадежности банковских систем все же присутствует.

«Ќа данный момент в –‘ не существует какого-либо нормативного или отраслевого документа, устанавливающего требовани€ к системам ƒЅќ. ѕри формировании требований к обеспечению информационной безопасности систем ƒЅќ требуетс€ учитывать положени€ —тандарта Ѕанка –оссии —“ќ Ѕ– »ЅЅ—-1.0-2010 «ќбеспечение информационной безопасности организаций банковской системы –оссийской ‘едерации. ќбщие положени€», тем не менее они не затрагивают процесс разработки данных систем, сами системы не подвергаютс€ прохождению процедуры исследовани€ на предмет отсутстви€ Ќƒ¬ либо об€зательному анализу защищенности, почему при написании собственных систем многие разработчики банков допускают грубые ошибки, привод€щие к эксплуатации у€звимостей, которые наблюдаютс€ и в вендорских решени€х, что объ€сн€ет проблему», – говорит директор департамента международных проектов, аудита и консалтинга компании Group-IB јндрей  омаров.

ѕо его словам, при детальном рассмотрении современного состо€ни€ дистанционных финансовых инструментов стоит не согласитьс€ с их абсолютной незащищенностью, хот€ бы потому что многие из банков практикуют систематический анализ защищенности как собственных решений, так и вендорских. «ѕриложени€, обрабатывающие и хран€щие данные о кредитных картах, проход€т процедуру сертификации по стандарту PA-DSS, что предполагает вы€вление возможных у€звимостей, тем не менее данный стандарт не уживаетс€ с действительностью, так как существует множество приложений, которые не обрабатывают подобные потоки, пример – толстые клиенты дл€ юридических лиц. “ем не менее при оценке защищенности, пожалуй, топ-3 российских систем ƒЅќ, даже невооруженным взгл€дом, можно найти у€звимости разной критичности, в основном, направленные на безопасность клиентов, а не серверной стороны», – говорит эксперт.