Digital Security
Диджитал Секьюрити
Кибер Сервис

Компания

Digital SecurityДиджитал СекьюритиКибер Сервис
ПЕРСОНЫ (23) ПРОЕКТЫ (22) ПРОДУКТ (2)
СТАТУСЫ (1) ПАРТНЕРЫ (2) СМ. ТАКЖЕ (96)
СУДЕБНЫЕ ДЕЛА (2)
ДелоИстцыОтветчикиИные лицаСумма руб.
2020-04-10
А40-62739/2020
экономические споры по гражданским правоотношениям
в АС города Москвы
- ООО "КИБЕР СЕРВИС"
185 020,8
2019-07-17
А40-185296/2019
экономические споры по гражданским правоотношениям
в АС города Москвы
- ООО "КИБЕР СЕРВИС"
218 082,3

Активы

+ Digital Security (Диджитал Секьюрити)

Digital Security – одна из российских консалтинговых компаний в области аудита информационной безопасности, в том числе в области аудита бизнес-приложений и ERP-систем, проведения тестов на проникновение, а также разработки систем управления ИБ в соответствии с ISO 27001. Компания обладает сертификатами PCI и PA-DSS. В 2009 году Digital Security совместно с АРЧЕ создала PCIDSS.RU – Сообщество профессионалов в области стандарта PCI DSS.

Digital Security обладает исследовательским центром DSecRG по поиску и анализу уязвимостей в различных приложениях и системах, а также ведет деятельность в банковской сфере по аудиту Банк-Клиентов и АБС, сотрудничая с АРЧЕ и публикуя найденные уязвимости на закрытом форуме Ассоциации.

История

2016: Обнаружено 159 уязвимостей, в то числе критические в E-Business Suite

Cпециалистами Digital Security было обнаружено 159 уязвимостей в различных системах. Уведомления о 96 брешах были отправлены разработчикам в рамках программ по поиску уязвимостей, а 50 уязвимостей были переданы западным вендорам в закрытом порядке. Исследователи Digital Security нашли проблемы безопасности разной степени критичности в ресурсах компаний Яндекс, Mail.ru, Yahoo, Facebook, Qiwi, VK, Twitter, а также 13 уязвимостей в продуктах таких вендоров, как Oracle, JetBrains, Zabbix, Cisco, Asus, Lenovo.

В частности, эксперты компании обнаружили в E-Business Suite, ключевом ПО для бизнеса Oracle, критичные уязвимости, эксплуатация которых позволяет полностью захватить контроль на системой, которая зачастую является главнейшей бизнес-системой компаний. Исследователи были удостоены официальной благодарности вендора.

В 2016 г. публике было представлено 11 исследований, в том числе:

  • распознавание DGA доменов;
  • Control Flow Guard,
  • принцип работы и методы обхода на примере Adobe Flash Player,
  • безопасность железных дорог из открытых источников,
  • архитектура JETPLOW,
  • браузеры и app specific security mitigation,
  • Internet Explorer & Edge,
  • исследование безопасности SAP NetWeaver,
  • безопасность прошивок на примере подсистемы IntelManagement Engine,
  • Cisco Smart Install, возможности для пентестера,
  • безопасность Oracle EBS.

В 2016 г. экспертами Digital Security было представлено 38 докладов на 30 конференциях в нашей стране (21) и за рубежом (9).

R&D центра работает по нескольким направлениям с 2007 г., включая Application Security, Business Applications, SAP, мобильная безопасность, безопасность телекоммуникационного оборудования и процессоров, BIOS, IoT и прошивок, АСУ ТП и ИБ банковского сектора. За несколько лет эксперты подготовили ряд исследований, вызвавших серьезный резонанс в сфере ИБ.

2011: Обнаружение критической уязвимости в ядре SAP ERP

В июле 2011 г. стало известно, что Digital Security (разрабатывает сканер безопасности SAP) обнаружила критическую уязвимость в ядре ERP-системы немецкого вендора[1]. Она позволяет без авторизации двумя запросами создать в системе нового пользователя и дать ему права администратора. Так как для суперпользователя в системе нет запретов, то после этого становится доступной информация всех модулей ERP, включая финансовые.

Как пояснил CNews технический директор Digital Security Александр Поляков, хотя ошибка найдена в механизме авторизации и она есть в любой инсталляции этой ERP, но для реализации атаки должен быть установлен Java-движок, поставляемый с целым рядом модулей. Среди них SAP Netweaver Portal для создания общего портала заказчика, а также модули для работы с ERP с мобильных устройств и интеграции с системами других вендоров (XI). Все они работают через браузер, запросы для добавления пользователя и изменения его прав вводятся в адресную строку.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.1 т

Если злоумышленник находится вне локальной сети компании, то для работы по такой схеме ему потребуется установленный в компании и открытый в Сеть общего пользования SAP Netweaver Portal. При стандартной установке такой модуль можно найти обычными поисковиками. Например, через запрос в Google "inurl:/irj/portal". Так находятся системы испанского производителя военных кораблей Portal Empresarial de Navantia и индийской автомобильной компании Tata Motors.

Сами запросы для создания пользователя и изменения его прав исследователи не называют, т.к. для уязвимости еще не готов патч. "Мы нашли эту уязвимость 3-4 месяца назад и сразу же сообщили о ней в SAP, - говорит Поляков. - Цикл создания патча у вендора долог, он занимает от нескольких месяцев до 1,5 лет".

Проверялось наличие уязвимости на собственных установках ERP и решении у одного из заказчиков, добавляет он. Для таких проверок на проникновение (penetration testing) в компании была написана программа, которая находит серверы SAP в Сети через запрос в Google и проверяет их на уязвимость. `В результате оказалось, что взломать можно более половины из доступных серверов` - оценивают исследователи.

"Обход механизма аутентификации происходит без атаки по типу `переполнение буфера`, - поясняет Поляков. - В случае ERP она не слишком полезна злоумышленнику. Из-за большого числа версий с ее помощью удается лишь обрушить систему, но не получить права суперпользователя".
"Digital Security, как партнеры SAP, получают для исследования исходные коды, - говорит CNews гендиректор занимающейся аналогичным аудитом "Диалог-науки" Виктор Сердюк. - В результате ошибок разработчиков или неверной настройки уязвимости есть в промышленных продуктов любого вендора, в этом SAP не уникален. У большинства российских установок Portal не выводится в внешнюю сеть, в интранете работодатель может контролировать действия сотрудников. Несмотря на серьезность проблемы не нужно переоценивать степень ее критичности".

Примечания