Во время форума Positive Hack Days III, который состоялся 23 и 24 мая в Москве, зарубежные эксперты по физической безопасности обнаружили и продемонстрировали уязвимости банковского оборудования. Одна из них позволяла получить доступ к сервисной зоне банкомата без ключа, а вторая — перевести банкомат в сервисный режим (в котором он наиболее уязвим для атаки), используя обычную канцелярскую скрепку.
Впоследствии на площадке форума прошло соревнование, в ходе которого участники должны были за ограниченное время эксплуатировать обнаруженные уязвимости и воспроизвести действия, позволяющие перевести банкомат в сервисный режим.
Участники конкурса пытаются взломать банкомат
Победителем соревнования стал студент первого курса филиала Северо-Кавказского федерального университета Михаил Елизаров (г. Невинномысск, Ставропольский край), сумевший быстрее других финалистов выполнить конкурсные задания.
Традиционно на Positive Hack Days вопросам банковской безопасности уделяется большое внимание. Так, помимо соревнования по анализу физической защищенности банкомата, прошел конкурс «Большой Ку$h», участники которого искали ошибки безопасности в системе ДБО. Также во второй день форума состоялась секция «Банковские приложения и киберпреступность: кто победит?», модератором которой стал начальник управления ИБ Россельхозбанка Артем Михайлович Сычев.
Помимо соревнования по анализу физической безопасности банкомата, специалисты по информационной безопасности компании Positive Technologies Ольга Кочетова и Алексей Осипов провели серию мастер-классов, благодаря которым слушатели узнали о методах, которыми мошенники пользуются, чтобы завладеть деньгами доверчивых граждан. Среди способов обмана: установка накладок на клавиатуру, слоты для карты или выдачи купюр, установка подглядывающих мини-видеокамер.
«Театр начинается с вешалки, а безопасность — с физической защиты, и об этом не стоит забывать даже в наш век сверхсовременных вирусов и киберужия. Информация об уязвимостях, которые эксплуатировались во время соревнования, была передана разработчикам банкоматов для подготовки контрмер», — сказала Ольга Кочетова.
Победитель соревнования Михаил Елизаров также стал победителем конкурса по анализу защищенности систем АСУ ТП под названием Choo Choo Pwn, который проводился в рамках форума.
Победитель и финалисты соревнования Leave ATM Alone получили памятные призы от организатора форума PHDays, компании Positive Technologies, — и от спонсоров мероприятия.
.png){kind=logo}