История одного пентеста или как не надо делать аудит

10  мая на Хабре появилась интересная статья про пентест Кубанского Универсально Банка (www.kubunibank.ru). Автор - пентестер с ником 090h. Статья быстро набрала популярность и к вечеру стала самой популярной статьей за день на Хабре.

В статье рассказывалось, как был проведен аудит Кубанского Универсального Банка и был найден ряд уязвимостей, позволяющих получить контроль над вебсервером, расположенным  внутри локальной сети, что открывало потенциальную возможность по атаке внутренних информационных систем банка.

Служба безопасности банка узнала о статье в день публикации и начала внутреннее расследование. Как оказалось, ни руководитель департамента ИТ, ни сама служба безопасности не была предупреждена о пентесте заранее, и уж тем более разрешение на публикацию статьи о проведении пентеста руководство банка не давало.
В итоге всего этого системный администратор уволился с формулировкой "я хотел как лучше, а вам ничего не надо". Да и комментарии к статье на хабре сложились не в пользу банка:

Вот я и решил разобраться в этой ситуации подробней, чтобы понять кто прав, а кто виноват.

Выборы. Итоги.

Сегодня можно подвести итог под моей работы в качестве члена комиссии с правом решающего голоса в участковой избирательной комиссии Краснодара №21-43.

"Да здравствует советский суд - самый гуманный суд в мире!"

Семинар Ассоциации Региональных Банков России в Краснодаре

Интересность:       ▃ ▄ 
Организация:        ▃ ▄ ▅ 
Питание:               ▃ ▄ ▅ ▆

19 апреля в Краснодаре прошел Семинар "Экономика ИБ и защита персональных данных в коммерческих банках", организованный АРБ "Россия".
Не смотря на то, что тема семинара была поставлена достаточно широко и остро, семинар был посвящен, фактически, презентации продукта Bell Integrator - автоматизированной системы разработки шаблонов документов по защите персональных данных для банков.