международной конференции ZeroNights 2011в ноябре в Санкт-Петербурге.
«К сожалению, некоторые разработчики очень своеобразно относятся к процессу распространения обновлений. Например, до сих пор есть банки с уязвимым ПО, при этом разработчик знает об этом более года, а вот банк - нет. Мы понимаем трудность распространения исправлений в такой сложной среде, но и молчать тоже нельзя. Мы в рамках исследовательской деятельности сообщаем производителю о проблеме, но производитель ничего не делает, считая, что лучше промолчать, чем принять для себя этот репутационный риск. Кроме этого, год назад мы говорили разработчикам о необходимости пересмотреть свой подход к разработке банковского ПО, но, к сожалению, по прежнему находим простейшие ошибки с помощью фаззеров, способные, например, полностью вывести из строя систему ДБО из сети Интернет. В этом году мы также уделили внимание веб и
архитектуре. Так, например, мы показали, как используя лишь одну уязвимость класса XSS на веб-сервере, можно обмануть пользователя ДБО с токеном и отправить мошенническое платежное поручение. Или другой пример - как используя SQL инъекцию, вообще обойти проверку ЭЦП» - прокомментировал результат исследования руководитель департамента аудита ИБ Алексей Синцов.
