Konkursa SIA "Ļaunie" ietvaros DPA drošības speciālisti izstrādāja mākslīgu vidi, kurā interesentiem vajadzēja pievarēt divus dažādas grūtības pakāpes uzdevumus. Pirmajā uzdevumā dalībniekiem bija nepieciešams iekļūt autentificēto lietotāju sadaļā, otrajā – iegūt izveidotos kredītkaršu datus no datubāzes, izmantojot lapā atstātu ievainojamību.
"Šādi konkursi ir ļoti labs veids, kā IT speciālistiem veicināt interesi par dažādiem drošības jautājumiem un pārbaudīt savas spējas aktīvā, aizraujošā sacensībā," komentē Cert.lv vadītāja Baiba Kaškina, piebilstot, ka "DPA rīkotais "hackatons" bijis līdz šim lielākais, kas Latvijā ir noticis."
Projekts saistīja vairāk kā 500 Latvijas drošības entuziastu uzmanību, no kuriem pirmo drošības kārtu pārvarēja 44, bet otro – deviņi dalībnieki. Šis eksperiments apliecina dalībnieku augsta līmeņa prasmes un iemaņas drošības jautājumos. Organizatori tic, ka šīs iemaņas tiks liktas lietā, izstrādājot aizvien drošas vietnes biznesa attīstībai.
Konkursa organizēšanā tika izmantots drošības risinājums "IBM Guardium" – viens no pasaulē zināmākajiem datu bāzu drošības risinājumiem, kas nodrošina aizsardzību pret neautorizētu piekļuvi datiem, notiekošā uzraudzību un ziņošanu par problēmām.
Lai piedalītos konkursā, dalībniekiem sākotnēji bija jāiepazīstas un jāizpēta "Guardium" risinājums. "IBM Guardium" tika uzticēti divi uzdevumi, pirmais – nosargāt datubāzi ar konkursa lapas saturu un dalībnieku sarakstu. Šie dati palika neskarti, neskatoties uz divu nedēļu ilgu profesionālu mocīšanu. Otrais – piedalīties banku karšu datu zagšanas uzdevuma veidošanā, apgrūtinot tā risināšanu, atstājot iespēju tikai tādiem dalībniekiem, kas ieguldīs laiku un radošumu.
Konkursa scenārijā tika ietvertas biežāk pieļautās tīmekļa aplikāciju un datubāžu drošības nepilnības, kuras ir iespējams novērst, veicot drošības pārbaudes, uzlabojot konfigurāciju un ieviešot drošības risinājumus.
Šis eksperiments apliecināja datu drošības nozīmību interneta vidē un to, ka ne tikai privāti, bet arī uzņēmumiem ir svarīgi pārdomāt datu vākšanas, glabāšanas un apstrādes procesus. Nereti uzņēmumi uzstāda un neatjauno programmatūru, pat tad, ja investēts dārgos produktos. Būtiski šādos gadījumos programmatūras ieviešanu un konfigurāciju uzticēt sertificētiem konsultantiem, lai pielietotu produktu atbilstoši reālās dzīves apdraudējumiem. To arī pierādīja dalībnieku veiksmīga darbība akcijas ietvaros.
Detalizētāk un tehniskāk par konkursa norisi var izlasīt DPA emuārā.