Как блондинки качают деньги из воздуха

На проводимом сейчас банковском форуме в Магнитогорске, Евгения Поцелуевская наглядно продемонстрировала, что взломать, а затем и монетизировать атаку на систему дистанционного банковского обслуживания не сложнее, чем овладеть кун-фу по приготовлению кофе :)


Инфофорум 2013: презентация с мастер-класса


В конце прошлого года компанией Fox-IT был опубликован всесторонний отчет, посвященный расследованию инцидента безопасности, который в последствии привел к банкротству голландского центра сертификации DigiNotar. Меня заинтересовал этот документ тем, что в нем детально рассматриваются технические подробности успешно реализованной атаки со стороны сети Интернет, а также приведено описание атакуемой информационной системы. Нужно сказать, что мне всегда было любопытно узнать, как работают коллеги по цеху, которые находятся несколько в другой плоскости относительно белых шляп. Сопоставить используемые методы и подходы, сравнить используемый инструментарий и т.п.

Детально изучив отчет Fox-IT, я постарался максимально близко восстановить хронологию событий и приблизительно воссоздал общую архитектуру сети DigiNotar на тестовом полигоне. Что-то пришлось собирать буквально по обрывкам фраз, что-то пришлось додумывать, основываясь на неких предположениях. В конечном итоге плоды этой аналитической работы легли в основу мастер-класса, который прошел на Инфофоруме 2013, где я совместно с аудиторией повторил подвиги черных шляп :) Презентация с выступления приведена ниже.