Опубликованы итоги работы Digital Security Research Group за пять лет
Опубликованы итоги работы Digital Security Research Group за пять лет
Опубликованы итоги работы Digital Security Research Group за пять лет
15.04.2013
Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, опубликовала итоги деятельности своей исследовательской лаборатории, известной как Digital Security Research Group или DSecRG, за прошедшие пять лет. Открывшаяся в 2007 году DSecRG стала уникальным явлением для российского рынка ИБ: ранее поиск уязвимостей осуществлялся бессистемно и нерегулярно, в любительском формате. Появление лаборатории DSecRG вывело эту деятельность на профессиональный уровень. Со временем некоторые игроки рынка последовали примеру Digital Security, создав свои подразделения по поиску и анализу уязвимостей. За пять лет работы специалистами DSecRG было обнаружено 318 уязвимостей, из которых 199 закрыто производителями, по остальным ведется работа. Сейчас основное направление деятельности лаборатории – Application Security, в котором подразделение и будет продолжать работать, стремясь занимать лидирующие позиции не только в России, но и в мире. Количество найденных DSecRG уязвимостей составляет около 0,8% от всех уязвимостей, закрытых в мире за 5 лет, и превышает аналогичные показатели всех российских компаний в совокупности. За время работы DSecRG было подготовлено 42 исследования, результатами которых стали различные статьи, отчеты и выступления на конференциях. Основные направления работы: Application Security (30 исследований), Business Applications (15 исследований), SAP (11 исследований). В 2009 году лаборатория сделала рывок в развитии, начав выступать с исследованиями на международных технических конференциях. За три года эксперты DSecRG появились на 36 мероприятиях в 20 странах Европы, Азии и США, и мы продолжаем работать в этом направлении, завоевывая новые континенты. Отрадно, что инициативу Digital Security поддержали и другие игроки рынка и независимые исследователи. Сегодня наличие у компании докладов на международных конференциях стало нормой, так же как пару лет назад нормой было наличие благодарностей от производителей. В 2013 году руководителем лаборатории стал Дмитрий Евдокимов, зарекомендовавший себя как отличный специалист с глубоким подходом к изучению проблем безопасности, автор большого числа известных на рынке исследований. Ключевые исследования DSecRG: Безопасность систем ДБО (2009–2011) Первое исследование в области безопасности дистанционного банковского обслуживания в России. Раньше на эту тему говорили крайне мало, но проблемы, затронутые специалистами DSecRG, привлекли внимание экспертов из различных организаций отрасли ИБ. Популярность сегмента рынка анализа защищенности выросла в разы, другие компании также начали проводить исследования в данной сфере и предлагать консалтинговые услуги. Питон для реверс-инжиниринга (2009–2012) Подробнее В ходе исследования была собрана и структурирована база из более чем 40 различных инструментов для реверс-инжиниринга и анализа безопасности приложений на языке Python. Результатом масштабной работы стало создание сайта с удобным поиском и обновляемой базой, который ежедневно посещают сотни исследователей со всего мира. Безопасность SAP в цифрах (2007–2012) Глобальное исследование безопасности SAP c 2007 по 2011 год. Вышло на двух языках и получило награду InfoSecurity Product Guide в номинации Advertising. Исследование затронуло все аспекты безопасности SAP – от статистики уязвимостей и описания топ-5 уязвимостей до анализа SAP-систем, доступных через Интернет в той или иной стране мира, и статистики по наиболее распространенным версиям и патчам. SSRF и бизнес-приложения (2012–2013) Исследование было впервые представлено на конференции BlackHat и сделало популярным изучение нового класса атак. В совокупности с другими независимыми работами, посвященными SSRF-атакам, эта публикация заняла 2-е место в списке 10 наиболее интересных техник атак на веб-приложения в 2012 году. Мобильный банкинг (2012–2013) Был проведен статический анализ кода клиентской части мобильных платежных приложений под iOS и Android более чем от 30 российских банков. Выяснилось, что все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую атаковать банк или его клиентов. Адаптация техники JIT-Spray (2010) Данное исследование улучшило технику атаки на Adobe Flash с целью обхода DEP и ASLR. В результате проведенных работ время атаки было сокращено в 100 раз! Кроме того, исследование показало, что не только JIT-движок Adobe Flash, но и JavaScript-движок браузера Safari подвержен подобной атаке. Результаты этой работы впоследствии использовались многими компаниями в сфере Offensive Security по всему миру. Полный текст отчета можно увидеть по ссылке.
Copyright © 2018-2022, ООО "ГРОТЕК"