Результаты ежегодного исследования по анализу защищенности Российских банковских программных продуктов на Форуме «Безопасность индустрии платежных карт. Соответствие PCI и PA-DSS»

29.10.2010

6 октября на Форуме «Безопасность индустрии платежных карт. Соответствие PCI и PA-DSS», организуемого компанией Digital Security – официальным партнером выставки-конференции "INFOBEZ-EXPO/ИнфоБезопасность", специалисты исследовательского центра DSec Research Group представят результаты ежегодной проверки безопасности банковского программного обеспечения отечественных разработчиков.

В прошлом году исследователи уже рассказывали об уязвимостях банковского ПО (BSS, Inist, R-Style) и публиковали информацию на закрытом форуме Ассоциации Российских членов Европей.

В рамках доклада будет продемонстрирована атака нулевого дня (0-day) на клиентскую часть Банк-Клиента Центра Финансовых Технологий (http://faktura.ru), а также будет рассказано про уязвимости в программном обеспечении Inter-PRO (разработке Сигнал-КОМ). О данных уязвимостях разработчики были своевременно проинформированы и на данный момент они заявили об их закрытии.

«Конечно, ошибки бывают везде, но можно минимизировать угрозы, а для этого разработчикам ПО нужно понять, что уязвимости реальны, и они возможны из-за их же ошибок, допущенных на стадии разработки. На Западе такое понимание намного выше, чем у отечественных разработчиков – и это печально. Сухая статистика: за два года было проанализировано 6 разных банковских продуктов, которые в общей сумме покрывают не менее 60% всех отечественных банков, и в 5 продуктах были обнаружены критические уязвимости. Это говорит лишь о том, что в процесс разработки не внедрены процедуры тестирования безопасности, и это в эпоху развития киберпреступности…», - рассказывает Алексей Синцов, ведущий аудитор Digital Security.