Прототип цифрового рубля взломали из-за базовых ошибок
Читать в полной версииНа 10-й, юбилейной кибербитве Standoff, прошедшей с 16 по 19 июня в московском «Кибердоме», командам было предложено атаковать прототип цифрового рубля, сообщил «Код Дурова» со ссылкой на «Совкомбанк Технологии».
Источник изображения: Банк России / cbr.ru
В течение четырёх дней в ходе соревнований по кибербезопасности 23 команды из шести стран атаковали виртуальное государство с банками, энергетикой и заводами. Одним из главных объектов на полигоне стал цифровой рубль, который Банк России только начинает внедрять. Организаторы состязаний смоделировали реальную архитектуру: центральную платформу ЦБ, банки-посредники и обмен сообщениями по стандарту ISO 20022 поверх отечественного банковского ПО.
Участникам удалось взломать прототип цифрового рубля. Систему подвели базовые ошибки конфигурации: стандартные пароли, отключённая проверка цифровых подписей и отсутствие контроля прав доступа. По словам участников, чаще всего банковские системы удаётся взломать из-за паролей в конфигурационных файлах и логах, ключей на серверах и токенов в тестовых скриптах.
Павел Чернышев, начальник Управления анализа защищённости «Совкомбанка» и представитель команды DreamTeam по банковскому направлению отметил, что участникам была предоставлена возможность протестировать технологию, которая ещё не вышла в массовую эксплуатацию. «Главный вывод: гигиена секретов важнее дорогих средств защиты. Уберите пароли из конфигов, отзывайте старые ключи, не используйте слабые пароли — и закроете большую часть реальных векторов атак», — сообщил капитан команды DreamTeam.
Всего на киберполигоне из семи отраслей участниками были реализованы 245 критических событий. Больше всего атак пришлось на телеком с 74 инцидентами, а наиболее защищённым оказался сегмент ретейла, на который зафиксированы лишь семь успешных атак.
Победу в состязаниях в восьмой раз праздновала команда DreamTeam со специалистами «Совкомбанк Технологий», набрав 148535 очков.