Digital Security
Диджитал Секьюрити
Кибер Сервис
Россия
Северо-Западный ФО РФ
Санкт-Петербург
195248, Свердловская ул., 60А
(812) 430-91-30
(812) 703-15-47
Топ-менеджеры:
Медведовский Илья Давидович
Поляков Александр Александрович
Баранов Михаил
Содержание |
Активы
Digital Security – одна из российских консалтинговых компаний в области аудита информационной безопасности, в том числе в области аудита бизнес-приложений и ERP-систем, проведения тестов на проникновение, а также разработки систем управления ИБ в соответствии с ISO 27001. Компания обладает сертификатами PCI и PA-DSS. В 2009 году Digital Security совместно с АРЧЕ создала PCIDSS.RU – Сообщество профессионалов в области стандарта PCI DSS.
Digital Security обладает исследовательским центром DSecRG по поиску и анализу уязвимостей в различных приложениях и системах, а также ведет деятельность в банковской сфере по аудиту Банк-Клиентов и АБС, сотрудничая с АРЧЕ и публикуя найденные уязвимости на закрытом форуме Ассоциации.
История
2016: Обнаружено 159 уязвимостей, в то числе критические в E-Business Suite
Cпециалистами Digital Security было обнаружено 159 уязвимостей в различных системах. Уведомления о 96 брешах были отправлены разработчикам в рамках программ по поиску уязвимостей, а 50 уязвимостей были переданы западным вендорам в закрытом порядке. Исследователи Digital Security нашли проблемы безопасности разной степени критичности в ресурсах компаний Яндекс, Mail.ru, Yahoo, Facebook, Qiwi, VK, Twitter, а также 13 уязвимостей в продуктах таких вендоров, как Oracle, JetBrains, Zabbix, Cisco, Asus, Lenovo.
В частности, эксперты компании обнаружили в E-Business Suite, ключевом ПО для бизнеса Oracle, критичные уязвимости, эксплуатация которых позволяет полностью захватить контроль на системой, которая зачастую является главнейшей бизнес-системой компаний. Исследователи были удостоены официальной благодарности вендора.
В 2016 г. публике было представлено 11 исследований, в том числе:
- распознавание DGA доменов;
- Control Flow Guard,
- принцип работы и методы обхода на примере Adobe Flash Player,
- безопасность железных дорог из открытых источников,
- архитектура JETPLOW,
- браузеры и app specific security mitigation,
- Internet Explorer & Edge,
- исследование безопасности SAP NetWeaver,
- безопасность прошивок на примере подсистемы IntelManagement Engine,
- Cisco Smart Install, возможности для пентестера,
- безопасность Oracle EBS.
В 2016 г. экспертами Digital Security было представлено 38 докладов на 30 конференциях в нашей стране (21) и за рубежом (9).
R&D центра работает по нескольким направлениям с 2007 г., включая Application Security, Business Applications, SAP, мобильная безопасность, безопасность телекоммуникационного оборудования и процессоров, BIOS, IoT и прошивок, АСУ ТП и ИБ банковского сектора. За несколько лет эксперты подготовили ряд исследований, вызвавших серьезный резонанс в сфере ИБ.
2011: Обнаружение критической уязвимости в ядре SAP ERP
В июле 2011 г. стало известно, что Digital Security (разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP-системы немецкого вендора[1]. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.
Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser 
Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google "inurl:/irj/portal". Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.
Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. "Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет".
Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. `В результате оказалось, что взломать можно более половины из доступных серверов` - оценивают исследователи.
"Обход механизма аутентификации происходит без атаки по типу `переполнение буфера`, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя".
"Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом "Диалог-науки" Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности".
