Совершенно честное ограбление банка: конкурс «Большой Ку$h» на PHDays 2012

27.06.2012

Банковская секция «Как защищают деньги?» на PHDays 2012 завершилась, как хороший триллер: участники, только что обсуждавшие насущные проблемы информационной безопасности в отрасли, стали свидетелями ограбления банка. Оружием для «преступников» служили ноутбуки, а роль банка исполняла тестовая система ДБО, разработанная специалистами компании Positive Technologies.

Участники конкурса «Большой Ку$h» должны были продемонстрировать свои навыки в области эксплуатации типовых уязвимостей в службах систем ДБО — главным образом логических, а не типичных веб-уязвимостей, таких как Cross-Site Scripting или SQL Injection.

Специально для этого соревнования мы с нуля разработали собственную систему ДБО и заложили в нее типичные уязвимости, выявленные экспертами Positive Technologies в ходе анализа защищенности подобных систем. Разработка получила название PHDays I-Bank и представляла собой типичный интернет-банк с веб-интерфейсом, PIN-кодами для доступа к счету и процессингом.

За день до конкурса участники получили образ ОС с развернутой системой ДБО и тестовой базой, а также, само собой, исходники этой самой ДБО. Соответственно, на поиск уязвимостей и написание эксплойта отводилось около суток. Во время соревнования каждый участник получил свою учетную запись в ДБО и настоящую банковскую карту, привязанную к конкретному счету. Конкурс длился 30 минут, за это время участники должны были взломать уже боевую базу, перечислить деньги с других счетов на свой, после чего — с помощью выданной карточки — обналичить деньги в банкомате, который ждал победителей в фойе, заправленный деньгами.

Хотя такая возможность и не афишировалась, но украсть деньги можно было не только со счетов «банка», но и у других участников конкурса ;) Состояние счетов было выведено на большой экран и все полчаса зрители наблюдали за тем, как идет процесс, и кто смог ~~украсть~~ заработать больше денег.

В итоге победителем конкурса стал Gifts, который смог вывести 3500 руб., Chipik занял второе место (900 руб.), а Raz0 r стал третьим. Деньги банкомат выдал до копейки: все по-честному.

CTF против Online HackQuest

Далее к конкурсу подключились команды-участницы CTF. Их задачей стала защита ДБО. Они тоже получили образ ОС с системой ДБО (и исходники), а также тестовую базу. На поиск и устранение уязвимостей им отвели 4 часа, причем устранять уязвимости можно было — лишь не нарушая функционирование системы: ситуация, при которой систему нельзя взломать, потому что она не работает, — не допускалась.

Взломщиками в этом соревновании выступали интернет-пользователи, участвующие в конкурсе Online HackQuest. После получения доступа к VPN у них было полчаса на то, чтобы провести атаку и вывести деньги со счетов команды CTF (подробные правила см. в нашем специальном хабратопике). Победителями из этой схватки вышли команды CTF: им удалось сохранить практически все свои деньги.

По итогам конкурса и участники, и зрители сошлись во мнении, что он удался на славу и стал гвоздем конкурсной программы форума. У нас уже есть задумки, как сделать соревнование еще более увлекательным и зрелищным, мы попробуем реализовать их на PHDays 2013. До встречи в будущем году!

P. S. Еще раз напомним, что упомянутая система ДБО разработана специалистами компании Positive Technologies специально для конкурсов в рамках форума PHDays 2012. Она НЕ ЯВЛЯЕТСЯ системой, которая действительно работает в каком-либо из существующих банков; при этом она максимально приближена к подобным системам и содержит характерные для них уязвимости.