Услуги Positive Technologies для банковской отрасли

5 комментариев :

  1. Вопрос про вероятность: как считалась вероятность обнаружения?

    ОтветитьУдалить
  2. а как считалась лучшесть в рф команды?
    чем она именно лучшая?
    чем она лучше dsec?
    безапеляционный говнопиар в обычном стиле ПТ

    ОтветитьУдалить
  3. Пятничная серия комментов от К.О. :)
    Секрет успеха при анализе защищенности отечественных банковских систем
    1. Потрошим iBank и BSS, собираем в копилку их баги.
    2. Используем баги из копилки при хакинге yet another DBS.
    ...
    4. Profit!

    ОтветитьУдалить
  4. Мысли вслух. Навеяло стандартными формулами на слайдах 27-29.

    1. (слайд 27) Очевидно, что в вероятность обнаружения уязвимости надо интегрировать оценку мотивации ищущего.

    2. Логично, что мотивация ищущего зависит в том числе и от доступности (наличия, простоты) схемы монетизации, которую он запустит после обнаружения уязвимости (если это прямой заказ - то схема просто вырождается в цепочку из пары звеньев).

    3. Тогда логично интегрировать в понятие "простота эксплуатации" не только техническую простоту (получить дамп базы или подцепить клиента-жертву через BeeF), но и возможность получения профита (профит = достижение или приближение к цели) от этой самой эксплуатации.

    4. Из п.1-3, например, тогда последует, что уязвимости, через которые можно проводить атаки на клиентов, не интересуют ребяток, проводящих нетаргетированные атаки на клиентов: у них уже оточена схема с инсталлами специализированного ВПО.
    И наоборот, уязвимости, через которые можно проводить атаки на клиентов, заинтересуют только тех ребяток, которые собрались атаковать конкретного клиента.

    5. Один и тот же риск R можно получить при двух вариантах: большой ущерб при низкой частоте или малый ущерб при высокой частоте. Логичные вопросы:
    - Какой вариант необходимо адресовать банкам в первую очередь?
    - В разрезе вопроса выше - второй: как бы ты оценил риск, связанный с эксплуатацией в приложении сервера ДБО SQLi?

    ОтветитьУдалить
  5. @Alexey Sintsov

    Вероятность обнаружения в данном случае - кол-во уязвимостей каждого типа, которая закладывалась на этапе разработки.

    @dsec

    >> безапеляционный говнопиар в обычном стиле ПТ

    даже не задел 8))

    @Andrew Petukhov

    >> как бы ты оценил риск, связанный с эксплуатацией в приложении сервера ДБО SQLi?

    В зависимости от импакта, к которому может привести эксплуатация SQLi, риск может существенно варьироваться.

    ОтветитьУдалить