Digital Security
Диджитал Секьюрити
Кибер Сервис

Компания

Digital SecurityДиджитал СекьюритиКибер Сервис
ПЕРСОНЫ (23) ПРОЕКТЫ (22) ПРОДУКТ (2)
СТАТУСЫ (1) ПАРТНЕРЫ (2) СМ. ТАКЖЕ (96)
СУДЕБНЫЕ ДЕЛА (2)
07.03.24Телефонное мошенничество
14.02.24Потери банков от киберпреступности
07.02.24Киберпреступность и киберконфликты : Россия
01.02.24Linxdatacenter (Связь ВСД) (Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ))
22.01.24SWIFT
14.07.23X Corp (ранее Twitter)
02.03.23Климина Евгения
02.03.23Шаповалова Елена
02.03.23Дмитриев Михаил.
22.12.22Google Mail (Gmail)
18.11.22Взлом банкоматов
29.03.21Лялина Арина
19.10.20Святогор Антон
27.02.20Задоров Глеб Михайлович
27.02.20Турпирько Дмитрий
20.02.19Должанская Яна
19.03.18Global Blockchain Summit 2018
07.11.17Для Open Trading Network проведён аудит функциональной уязвимости смарт-контракта
13.07.17Uniteller (Проекты внешнего аудита безопасности)
06.07.17Безопасная система ДБО
21.10.16Zeronights 2
22.06.16Гайко Андрей
22.06.16Рапида (Rapida) (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
17.06.16Россельхозбанк (РСХБ) (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
16.06.16ТАСС (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
24.05.16Сбербанк РФ (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
25.04.16JetBrains (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
09.02.16ЕРПскан (система)
18.11.15Кибервойна сегодня: перспективные технологии будущего
18.11.15ZERONIGHTS 2015

<< < 1 2 3 4 > >>

Активы

+ Digital Security (Диджитал Секьюрити)

Digital Security – одна из российских консалтинговых компаний в области аудита информационной безопасности, в том числе в области аудита бизнес-приложений и ERP-систем, проведения тестов на проникновение, а также разработки систем управления ИБ в соответствии с ISO 27001. Компания обладает сертификатами PCI и PA-DSS. В 2009 году Digital Security совместно с АРЧЕ создала PCIDSS.RU – Сообщество профессионалов в области стандарта PCI DSS.

Digital Security обладает исследовательским центром DSecRG по поиску и анализу уязвимостей в различных приложениях и системах, а также ведет деятельность в банковской сфере по аудиту Банк-Клиентов и АБС, сотрудничая с АРЧЕ и публикуя найденные уязвимости на закрытом форуме Ассоциации.

История

2016: Обнаружено 159 уязвимостей, в то числе критические в E-Business Suite

Cпециалистами Digital Security было обнаружено 159 уязвимостей в различных системах. Уведомления о 96 брешах были отправлены разработчикам в рамках программ по поиску уязвимостей, а 50 уязвимостей были переданы западным вендорам в закрытом порядке. Исследователи Digital Security нашли проблемы безопасности разной степени критичности в ресурсах компаний Яндекс, Mail.ru, Yahoo, Facebook, Qiwi, VK, Twitter, а также 13 уязвимостей в продуктах таких вендоров, как Oracle, JetBrains, Zabbix, Cisco, Asus, Lenovo.

В частности, эксперты компании обнаружили в E-Business Suite, ключевом ПО для бизнеса Oracle, критичные уязвимости, эксплуатация которых позволяет полностью захватить контроль на системой, которая зачастую является главнейшей бизнес-системой компаний. Исследователи были удостоены официальной благодарности вендора.

В 2016 г. публике было представлено 11 исследований, в том числе:

  • распознавание DGA доменов;
  • Control Flow Guard,
  • принцип работы и методы обхода на примере Adobe Flash Player,
  • безопасность железных дорог из открытых источников,
  • архитектура JETPLOW,
  • браузеры и app specific security mitigation,
  • Internet Explorer & Edge,
  • исследование безопасности SAP NetWeaver,
  • безопасность прошивок на примере подсистемы IntelManagement Engine,
  • Cisco Smart Install, возможности для пентестера,
  • безопасность Oracle EBS.

В 2016 г. экспертами Digital Security было представлено 38 докладов на 30 конференциях в нашей стране (21) и за рубежом (9).

R&D центра работает по нескольким направлениям с 2007 г., включая Application Security, Business Applications, SAP, мобильная безопасность, безопасность телекоммуникационного оборудования и процессоров, BIOS, IoT и прошивок, АСУ ТП и ИБ банковского сектора. За несколько лет эксперты подготовили ряд исследований, вызвавших серьезный резонанс в сфере ИБ.

2011: Обнаружение критической уязвимости в ядре SAP ERP

В июле 2011 г. стало известно, что Digital Security (разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP-системы немецкого вендора[1]. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.

Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.TAdviser выпустил Карту российского рынка цифровизации строительства 25.4 т

Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google "inurl:/irj/portal". Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.

Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. "Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет".

Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. `В результате оказалось, что взломать можно более половины из доступных серверов` - оценивают исследователи.

"Обход механизма аутентификации происходит без атаки по типу `переполнение буфера`, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя".
"Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом "Диалог-науки" Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности".

Примечания