Выставляя свое решение на киберполигон, разработчик априори не может проиграть: если команде атакующих удастся обнаружить уязвимость или взломать продукт, то это уникальная возможность понять, что было упущено, провести работу над ошибками. Если же исследователи безопасности не смогут найти багов, то это своего рода знак качества продукта. Об этом и в общении с клиентами нестыдно упомянуть. Так технический директор SafeTech Павел Мельниченко объяснил причины, побудившие компанию выставить свой продукт PayControl (платформу мобильной аутентификации и электронной подписи, которая позволяет клиентам банках подтверждать транзакции в каналах ДБО) на киберучения в рамках Standoff 12.
Названная кибербитва проходила с 21 по 24 ноября в рамках Moscow Hacking Week и длилась четыре дня, в ней участвовали 15 команд пентестеров, общая численность «белых хакеров» составила порядка 100 человек. На интерактивном киберполигоне было создано виртуальное государство F, где функционировали компании из разных отраслей — ЖКХ, финансов, энергетики, нефтегаза, транспорта и космоса. Их инфраструктуру атаковали исследователи безопасности («красные»), которые искали уязвимости в системах. Команды защитников («синие») мониторили и расследовали атаки. Жители и компании - клиенты одного из банков государства F, использовали PayControl для подтверждения своих платежей и переводов. Его и пытались взломать команды «красных», атакующие банковский сектор.
Схватка между атакующими и защитниками была жаркой, но белым хакерам есть чем гордиться. Победителем кибербитвы стал пятикратный чемпион Standoff- команда Codeby Pentest, на счету которой 40 критических инцидентов и 25 выявленных уязвимостей. У занявшей второе место команды - 30 критических инцидентов и 17 уязвимостей, «бронза» к пентестеров, обнаруживших 27 уязвимостей и 18 критических инцидентов.
Взломать PayControl не смогла ни одна из команд. «И не могу пожаловаться на отсутствие интереса пентестеров к нашему решению, - рассказывает Павел Мельниченко. – Насколько мне известно, четыре команды пытались найти уязвимость в решении, всего было зафиксировано порядка 6500 попыток атаковать PayControl». Эксперт рассказал, что, как и многие выставившие на киберполигон свои решения разработчики, SafeTech намеренно оставил небольшую «лазейку» для команды атакующих. «Однако пентестеры действовали в других направлениях и, в итоге, ломились туда, где было невозможно прорваться, - рассказывает Павел Мельниченко. – Но это еще не конец – «Красные» пообещали вернуться к атакам на PayControl в мае, во время следующих киберучений – в рамках Positive Hack Days, и «дожать»». И мы готовы предоставить им такую возможность, выставив на киберполигон PayControl еще раз, так как подобные кибербитвы помогают нам делать наши продукты лучше и безопаснее, - отметил Павел Мельниченко.