Digital Security
Диджитал Секьюрити

Компания

Digital SecurityДиджитал Секьюрити
ПРОЕКТЫ (22) ПРОДУКТ (2) СТАТУСЫ (1)
ПАРТНЕРЫ (2) СМ. ТАКЖЕ (97) СУДЕБНЫЕ ДЕЛА (2)
21.11.24Телефонное мошенничество
06.11.24Киберпреступность и киберконфликты : Россия
07.10.24Солар (ранее Ростелеком-Солар)
04.06.24X Corp (ранее Twitter)
29.05.24Потери банков от киберпреступности
01.02.24Linxdatacenter (Связь ВСД) (Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ))
22.01.24SWIFT
02.03.23Климина Евгения
02.03.23Шаповалова Елена
02.03.23Дмитриев Михаил.
22.12.22Google Mail (Gmail)
18.11.22Взлом банкоматов
29.03.21Лялина Арина
19.10.20Святогор Антон
27.02.20Задоров Глеб Михайлович
27.02.20Турпирько Дмитрий
20.02.19Должанская Яна
19.03.18Global Blockchain Summit 2018
07.11.17Для Open Trading Network проведён аудит функциональной уязвимости смарт-контракта
13.07.17Uniteller (Проекты внешнего аудита безопасности)
06.07.17Безопасная система ДБО
21.10.16Zeronights 2
22.06.16Гайко Андрей
22.06.16Рапида (Rapida) (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
17.06.16Россельхозбанк (РСХБ) (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
16.06.16ТАСС (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
24.05.16Сбербанк РФ (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
25.04.16JetBrains (Проекты внешнего аудита безопасности (в тч PCI DSS и СУИБ))
09.02.16ЕРПскан (система)
18.11.15Кибервойна сегодня: перспективные технологии будущего

<< < 1 2 3 4 > >>

Активы

+ Digital Security (Диджитал Секьюрити)

Digital Security – одна из российских консалтинговых компаний в области аудита информационной безопасности, в том числе в области аудита бизнес-приложений и ERP-систем, проведения тестов на проникновение, а также разработки систем управления ИБ в соответствии с ISO 27001. Компания обладает сертификатами PCI и PA-DSS. В 2009 году Digital Security совместно с АРЧЕ создала PCIDSS.RU – Сообщество профессионалов в области стандарта PCI DSS.

Digital Security обладает исследовательским центром DSecRG по поиску и анализу уязвимостей в различных приложениях и системах, а также ведет деятельность в банковской сфере по аудиту Банк-Клиентов и АБС, сотрудничая с АРЧЕ и публикуя найденные уязвимости на закрытом форуме Ассоциации.

История

2024: «Солар» купил ИБ-аудитора Digital Security за сотни миллионов рублей

14 октября 2024 года стало известно о том, что российская группа компаний «Солар» (входит в структуры «Ростелекома»), специализирующаяся на решениях в области информационной безопасности, приобрела аудитора Digital Security. Условия сделки на указанную дату официально не раскрываются.

Как сообщает газета «Коммерсантъ», покупка позволит «собрать одну из крупнейших команд специалистов в области пентеста (аудита в сфере информбезопасности) в России», чтобы реализовать «масштабные проекты, в том числе разработку новых экосистемных решений». Процесс интеграции Digital Security в состав «Солар» на момент оформления сделки прорабатывается.

«Солар» приобрёл аудитора в области информационной безопасности Digital Security за несколько сотен миллионов рублей.

Старший инвестконсультант «Финама» Тимур Нигматуллин оценивает сумму сделки на основе балансовой стоимости в 170 млн рублей. С учетом финансовых показателей (прибыли и убытков) речь может идти о 100–180 млн рублей. А если учесть рыночное положение и ценность команды специалистов, стоимость актива может достигать 400 млн рублей, считает главный аналитик компании «РегБлок» Анна Авакимян.TAdviser Security 100: Крупнейшие ИБ-компании в России 57.1 т

На сайте Digital Security говорится, что с момента своего основания в 2003 году компания помогла улучшить защищенность информационных систем нескольких сотен клиентов, включая «Сбербанк», QIWI, Mail.Ru Group, Leroy Merlin, Tele2, SAP, «Газпромбанк», «ЮниКредитБанк», «Новые облачные технологии», «Пивоваренную компанию Балтика», СИБУР и «Металлоинвест». Своей задачей Digital Security ставит повышение защищенности информационных систем и стабильности бизнес-процессов.

«
Мы гордимся тем, что за годы своего существования собрали сильнейшую команду пентестеров и создали собственный исследовательский центр. Наши сотрудники постоянно развивают свои профессиональные навыки и остаются на передовой инноваций и технологий, — заявляет Digital Security.[1]
»

2016: Обнаружено 159 уязвимостей, в то числе критические в E-Business Suite

Cпециалистами Digital Security было обнаружено 159 уязвимостей в различных системах. Уведомления о 96 брешах были отправлены разработчикам в рамках программ по поиску уязвимостей, а 50 уязвимостей были переданы западным вендорам в закрытом порядке. Исследователи Digital Security нашли проблемы безопасности разной степени критичности в ресурсах компаний Яндекс, Mail.ru, Yahoo, Facebook, Qiwi, VK, Twitter, а также 13 уязвимостей в продуктах таких вендоров, как Oracle, JetBrains, Zabbix, Cisco, Asus, Lenovo.

В частности, эксперты компании обнаружили в E-Business Suite, ключевом ПО для бизнеса Oracle, критичные уязвимости, эксплуатация которых позволяет полностью захватить контроль на системой, которая зачастую является главнейшей бизнес-системой компаний. Исследователи были удостоены официальной благодарности вендора.

В 2016 г. публике было представлено 11 исследований, в том числе:

  • распознавание DGA доменов;
  • Control Flow Guard,
  • принцип работы и методы обхода на примере Adobe Flash Player,
  • безопасность железных дорог из открытых источников,
  • архитектура JETPLOW,
  • браузеры и app specific security mitigation,
  • Internet Explorer & Edge,
  • исследование безопасности SAP NetWeaver,
  • безопасность прошивок на примере подсистемы IntelManagement Engine,
  • Cisco Smart Install, возможности для пентестера,
  • безопасность Oracle EBS.

В 2016 г. экспертами Digital Security было представлено 38 докладов на 30 конференциях в нашей стране (21) и за рубежом (9).

R&D центра работает по нескольким направлениям с 2007 г., включая Application Security, Business Applications, SAP, мобильная безопасность, безопасность телекоммуникационного оборудования и процессоров, BIOS, IoT и прошивок, АСУ ТП и ИБ банковского сектора. За несколько лет эксперты подготовили ряд исследований, вызвавших серьезный резонанс в сфере ИБ.

2011: Обнаружение критической уязвимости в ядре SAP ERP

В июле 2011 г. стало известно, что Digital Security (разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP-системы немецкого вендора[2]. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.

Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.

Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google "inurl:/irj/portal". Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.

Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. "Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет".

Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. `В результате оказалось, что взломать можно более половины из доступных серверов` - оценивают исследователи.

"Обход механизма аутентификации происходит без атаки по типу `переполнение буфера`, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя".
"Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом "Диалог-науки" Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности".

Примечания