denis-19 Sep 7 2021 at 20:56

«Ростелеком» подвел результаты хакатона по тесту системы ДЭГ 2021. Ее никто не смог взломать

1 min

6.4K

IT-companiesLegislation in ITInformation Security*

+11

Comments 19

propell-ant Sep 7 2021 at 21:05

Странно, не нашлось ни одного сильного хакера с квалифицированной электронной подписью...

mSnus Sep 7 2021 at 21:16

Ошибка выжившего во всей красе)

Nubus Sep 7 2021 at 21:40

Скажем так, а зачем обьявлять о критической уязвимости и потом принимать майора, когда можно будет на сером рынке сбросить без всяких проблем?

olsvu Sep 7 2021 at 21:45

удивительно конечно)

ARfan Sep 7 2021 at 21:50

Сильно напоминает анекдот про Неуловимого Джо.

aml Sep 7 2021 at 23:05

https://github.com/cikrf/deg2021/blob/master/frontend/shared/models/transaction.ts

ZhilkinSerg Sep 7 2021 at 23:18

РТК ожидал, что в мероприятии будут как минимум 5 победителей, которые найдут серьезные уязвимость в ДЭГ 2021.

И что эти 5 уязвимостей никто не нашел?

Xambey Sep 8 2021 at 00:42

Я немного поковырял код их фронта. Ну что могу сказать, в целом в плане без-ти внутри все впорядке, санитайзеры, ограничения по запускаемым браузерам, шифрование и тп, присутствуют, пакеты прошли аудит успешно, но довольно грязно с кодом. До бека руки не дошли. Хотел поковырять непосредственно живую систему, но к сожалению подал заявку слишком поздно, уже в воскресенье :(

dcoder_mm Sep 8 2021 at 02:33

А как санитайзеры на фронте влияют на безопасность?

Xambey Sep 8 2021 at 02:44

Защищают от межсайтового скриптинга (xss) https://angular.io/api/platform-browser/DomSanitizer

dcoder_mm Sep 8 2021 at 23:04

Спасибо, интересно. Об этом я не подумал

h4rdepic Sep 8 2021 at 05:57

Видимо настолько выборы нафиг никому не нужны, что никто и не занимался жтой темой.

Да даже если бы нашли, ростелеком сказал бы что не нашли)

И 2 дня это неочем,так и пентагон про свои данные мог сказать,но их ломанули же))

andronn43 Sep 8 2021 at 21:14

Да, адекватным людям выборы не нужны. Выборы нужны чтоб запад меньше вонял

UFO landed and left these words here

ModestONE Sep 8 2021 at 10:28

Так 2 миллиона в рублях РФ - это очень мало для нормального баунти, я таки молчу про приличный.

Shaman_RSHU Sep 8 2021 at 12:26

Хакатон был придуман только "для галочки", чтобы отчитаться, что ничего не найдено и система прошла "публичное тестирование безопасности".

В правилах проведения сильно закручены гайки. Ну что DDoSить нельзя - это ладно. Что не принимают отчеты автоматических сканеров - это тоже ладно :) Но там за уязвимость не принималось почти ничего.

По сути выложенный код составляет лишь процентов 20 от всего кода системы. Наверняка основные баги там, что не выложено.

andronn43 Sep 8 2021 at 19:18

Замечательно, значит никаких сбоев, утечек и мошенничеств на голосовании не будет

ZakharovAV Sep 9 2021 at 07:34

"Мы позвали домушников и меджвежатников, чтобы они проверили замки в нашем банке. Они заверили, что наш сейф отлично защищён!"

UFO landed and left these words here