30.09.2010
Результаты ежегодного исследования по анализу защищенности Российских банковских программных продуктов на Форуме «Безопасность индустрии платежных карт. Соответствие PCI и PA-DSS»
6 октября на Форуме «Безопасность индустрии платежных карт. Соответствие PCI и PA-DSS», организуемого компанией Digital Security – официальным партнером выставки-конференции "INFOBEZ-EXPO/ИнфоБезопасность", специалисты исследовательского центра DSec Research Group представят результаты ежегодной проверки безопасности банковского программного обеспечения отечественных разработчиков.
В прошлом году исследователи уже рассказывали об уязвимостях банковского ПО (BSS, Inist, R-Style) и публиковали информацию на закрытом форуме Ассоциации Российских членов Европей.
В рамках доклада будет продемонстрирована атака нулевого дня (0day) на клиентскую часть Банк-Клиента Центра Финансовых Технологий (http://faktura.ru), а также будет рассказано про уязвимости в программном обеспечении Inter-PRO (разработке Сигнал-КОМ). О данных уязвимостях разработчики были своевременно проинформированы и на данный момент они заявили об их закрытии.
«Конечно, ошибки бывают везде, но можно минимизировать угрозы, а для
этого разработчикам ПО нужно понять, что уязвимости реальны, и они
возможны из-за их же ошибок, допущенных на стадии разработки. На Западе такое
понимание намного выше, чем у отечественных разработчиков – и это
печально. Сухая статистика: за два года было проанализировано 6 разных
банковских продуктов, которые в общей сумме покрывают не менее 60% всех
отечественных банков, и в 5 продуктах были обнаружены критические
уязвимости. Это говорит лишь о том, что в процесс разработки не
внедрены процедуры тестирования безопасности, и это в эпоху развития
киберпреступности…», - рассказывает Алексей Синцов, ведущий аудитор Digital Security.