В прошлом году хакеры совершили на 30 % больше атак на российские банки, чем в 2013 году, и пытались вывести со счетов около 6 млрд рублей. Чтобы повысить устойчивость банков к растущим угрозам, компания Positive Technologies организовала в середине октября двухдневный мастер-класс «Позитивное программирование». Цель проекта — рассказать создателям банковского ПО об эффективных приемах разработки защищенного кода, которые позволят сделать сервисы кредитных организаций менее уязвимыми для вторжений.
Мастер-класс старшего эксперта отдела безопасности банковских систем Тимура Юнусова и руководителя группы разработки Application Inspector Владимира Кочеткова построен на многолетнем опыте анализа защищенности систем ДБО и на исследованиях, лежащих в основе системы анализа исходных кодов PT Application Inspector.
На интенсивном практикуме были рассмотрены все аспекты конструирования защищенных банковских приложений, основное внимание эксперты уделили веб-сервисам и системам ДБО, что вполне логично:современный клиент банка достаточно редко посещает операционную кассу. По прошлогодним оценкам Bank ofAmerica, 47 % пользователей для доступа к банковским услугам используют либо свои мобильные устройства, либо сервисы в интернете. К 2020 году 95 % всех розничных банковских операций будут проводиться с помощью цифровых технологий (прогноз Bain & Company). Между тем, согласно статистике Positive Technologies, в 2014 году более половины систем ДБО (54 %) содержали XSS-уязвимости, которые позволяют осуществить MitM-атаку и перехватить доступ к интернет-банкингу. С мобильными банковскими приложениями ситуация выглядит не лучше: в 2014 году 70 % «кошельков» для Android и 50 % для iOS содержали уязвимости, достаточные для получения доступа к счету.
Особый упор при обучении был сделан на целесообразность выявления уязвимостей на ранней стадии программирования. Исправление ошибки на этапе «боевого запуска» программы обходится в 30 раз дороже, чем ее устранение во время проектирования (данные Forrester). Однако внедрение процессов жизненного цикла безопасной разработки в отсутствие эффективных средств автоматизации и без учета отраслевой специфики может оказаться крайне затратным и отчасти бесполезным занятием. Поэтому на практикуме не говорили о новомодных гибких методологиях и общих подходах к разработке ПО (Agile, Scrum, SSDL) — только реальные технические примеры и конкретные рекомендации, направленные на повышение защищенности банковских приложений.
Очень важно, чтобы современный разработчик понимал механизмы кибератак и знал инструменты злоумышленников: авторы «Позитивного программирования» чередуют offensive и defensive составляющие. Каждая тема мастер-класса рассматривалась как с позиции атакующего (примеры атак, возможные пути их дальнейшего развития), так и с позиции защищающего (приемы разработки защищенного кода, типовые ошибки).
Роман Зарипов, руководитель группы разработки АО «Райффайзенбанк»: «Семинар познакомил нас с большим количеством интересных практик и навыков в программировании. До того как мы посетили этот курс, мы рассматривали безопасность при программировании с точки зрения каких-то очевидных, всем известных вещей. Было очень полезно услышать из уст профессионалов, которые ежедневно проводят массу тестов на проникновение банковских приложений, о тонкостях программирования именно с точки зрения безопасности».
Владимир Подлесный, ведущий инженер-программист систем ДБО юридических лиц АКБ «РосЕвроБанк»:«Я думаю, что подобные тренинги нужно проводить на постоянной основе, потому что за одно-два занятия сложно охватить весь материал. Очень интересная и актуальная для нашего банка тема: если раньше безопасностью кода у нас занимались сторонние специалисты, то сейчас мы внедряем анализ безопасности непосредственно у себя».
.png)