Как стать автором
Обновить

Security Week 17: Взлом SWIFT и кассовых аппаратов, вымогательство в Android c эксплойтами, обход AppLocker

Время на прочтение6 мин
Количество просмотров19K
Всего голосов 9: ↑8 и ↓1+7
Комментарии6

Комментарии 6

Ну и что делать с изменением файлов ПО — хэш суммы и их контроль сторонним ПО которое так же проверяется на правильность работы?

Но всетаки это не взлом SFIWT, а взлом клиентского приложения SFIWT.
Да, это не взлом SWIFT. Но клиентское приложение тоже можно сделать надежнее, хотя бы и контролем целостности.
В этом нет необходимости. Это не дело банковского клиента бороться с угрозами безопасности. Для контроля целостности есть электронная подпись исполнимых файлов, которой весь нормальный софт, а уж тем более банковский, подписывается. Без такой подписи в защищённой среде никакие исполнимые файлы не должно быть возможно запустить вообще.

Дополнительно должна быть задействована функциональность ревизора по мониторингу контрольной суммы критических файлов. Собственно, это чёрным по белому записано в требовании 11.5 стандарта PCI DSS.

Система SWIFT виновата в одном: требования соответствия стандарту (PCI DSS или аналогичному) либо не выставляются вообще, либо не проверяется их выполнение. Если требования были выставлены, то, в идеальном мире, должны «полететь шапки» как аудитора, так и того, кто этого аудитора сертифицировал. Реально, мне кажется, как всегда, не ответит никто.
Цифровые подписи и целостность кода — это вторично.
Валидация данных и прочая бизнес-логика не должны быть в клиенте вообще, а сервер не должен доверять данным клиента.
отменить тарнзакцию банку помешал китайский новый год, но он же не помешал снять из него 58 миллионов по подложным документам. интересно кто им их выдавал в китайский новый год…
Всё как всегда. Фоновые задачи выполняют квалифицированные специалисты на престижных позициях, они же берут продлённые отпуска и отгулы перед выходными. А многочисленные плебеи работают на кассе с окошком, пользовательский интерфейс не требует квалификации, работа не престижная, и доступно окошко круглосуточно и круглогодично.

Правда стоит повторить вопрос из собственно поста: как же всё-таки выглядит выдача 58 миллионов? Это ж целый грузовик банкнот. Ну разве только платиновыми слитками, но полторы тонны платины вряд ли просто так выдадут даже в головном отделе банка.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий