Comments 6
Ну и что делать с изменением файлов ПО — хэш суммы и их контроль сторонним ПО которое так же проверяется на правильность работы?
Но всетаки это не взлом SFIWT, а взлом клиентского приложения SFIWT.
Но всетаки это не взлом SFIWT, а взлом клиентского приложения SFIWT.
0
Да, это не взлом SWIFT. Но клиентское приложение тоже можно сделать надежнее, хотя бы и контролем целостности.
0
В этом нет необходимости. Это не дело банковского клиента бороться с угрозами безопасности. Для контроля целостности есть электронная подпись исполнимых файлов, которой весь нормальный софт, а уж тем более банковский, подписывается. Без такой подписи в защищённой среде никакие исполнимые файлы не должно быть возможно запустить вообще.
Дополнительно должна быть задействована функциональность ревизора по мониторингу контрольной суммы критических файлов. Собственно, это чёрным по белому записано в требовании 11.5 стандарта PCI DSS.
Система SWIFT виновата в одном: требования соответствия стандарту (PCI DSS или аналогичному) либо не выставляются вообще, либо не проверяется их выполнение. Если требования были выставлены, то, в идеальном мире, должны «полететь шапки» как аудитора, так и того, кто этого аудитора сертифицировал. Реально, мне кажется, как всегда, не ответит никто.
Дополнительно должна быть задействована функциональность ревизора по мониторингу контрольной суммы критических файлов. Собственно, это чёрным по белому записано в требовании 11.5 стандарта PCI DSS.
Система SWIFT виновата в одном: требования соответствия стандарту (PCI DSS или аналогичному) либо не выставляются вообще, либо не проверяется их выполнение. Если требования были выставлены, то, в идеальном мире, должны «полететь шапки» как аудитора, так и того, кто этого аудитора сертифицировал. Реально, мне кажется, как всегда, не ответит никто.
+1
Цифровые подписи и целостность кода — это вторично.
Валидация данных и прочая бизнес-логика не должны быть в клиенте вообще, а сервер не должен доверять данным клиента.
Валидация данных и прочая бизнес-логика не должны быть в клиенте вообще, а сервер не должен доверять данным клиента.
0
отменить тарнзакцию банку помешал китайский новый год, но он же не помешал снять из него 58 миллионов по подложным документам. интересно кто им их выдавал в китайский новый год…
+1
Всё как всегда. Фоновые задачи выполняют квалифицированные специалисты на престижных позициях, они же берут продлённые отпуска и отгулы перед выходными. А многочисленные плебеи работают на кассе с окошком, пользовательский интерфейс не требует квалификации, работа не престижная, и доступно окошко круглосуточно и круглогодично.
Правда стоит повторить вопрос из собственно поста: как же всё-таки выглядит выдача 58 миллионов? Это ж целый грузовик банкнот. Ну разве только платиновыми слитками, но полторы тонны платины вряд ли просто так выдадут даже в головном отделе банка.
Правда стоит повторить вопрос из собственно поста: как же всё-таки выглядит выдача 58 миллионов? Это ж целый грузовик банкнот. Ну разве только платиновыми слитками, но полторы тонны платины вряд ли просто так выдадут даже в головном отделе банка.
+1
Sign up to leave a comment.
Security Week 17: Взлом SWIFT и кассовых аппаратов, вымогательство в Android c эксплойтами, обход AppLocker