Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, опубликовала итоги деятельности своей исследовательской лаборатории, известной как Digital Security Research Group или DSecRG, за прошедшие пять лет. Открывшаяся в 2007 году DSecRG стала уникальным явлением для российского рынка ИБ: ранее поиск уязвимостей осуществлялся бессистемно и нерегулярно, в любительском формате. Появление лаборатории DSecRG вывело эту деятельность на профессиональный уровень. Со временем некоторые игроки рынка последовали примеру Digital Security, создав свои подразделения по поиску и анализу уязвимостей. За пять лет работы специалистами DSecRG было обнаружено 318 уязвимостей, из которых 199 закрыто производителями, по остальным ведется работа. Сейчас основное направление деятельности лаборатории – Application Security, в котором подразделение и будет продолжать работать, стремясь занимать лидирующие позиции не только в России, но и в мире. Количество найденных DSecRG уязвимостей составляет около 0,8% от всех уязвимостей, закрытых в мире за 5 лет, и превышает аналогичные показатели всех российских компаний в совокупности. За время работы DSecRG было подготовлено 42 исследования, результатами которых стали различные статьи, отчеты и выступления на конференциях. Основные направления работы: Application Security (30 исследований), Business Applications (15 исследований), SAP (11 исследований). В 2009 году лаборатория сделала рывок в развитии, начав выступать с исследованиями на международных технических конференциях. За три года эксперты DSecRG появились на 36 мероприятиях в 20 странах Европы, Азии и США, и мы продолжаем работать в этом направлении, завоевывая новые континенты. Отрадно, что инициативу Digital Security поддержали и другие игроки рынка и независимые исследователи. Сегодня наличие у компании докладов на международных конференциях стало нормой, так же как пару лет назад нормой было наличие благодарностей от производителей. В 2013 году руководителем лаборатории стал Дмитрий Евдокимов, зарекомендовавший себя как отличный специалист с глубоким подходом к изучению проблем безопасности, автор большого числа известных на рынке исследований. Ключевые исследования DSecRG: Безопасность систем ДБО (2009–2011) Первое исследование в области безопасности дистанционного банковского обслуживания в России. Раньше на эту тему говорили крайне мало, но проблемы, затронутые специалистами DSecRG, привлекли внимание экспертов из различных организаций отрасли ИБ. Популярность сегмента рынка анализа защищенности выросла в разы, другие компании также начали проводить исследования в данной сфере и предлагать консалтинговые услуги. Питон для реверс-инжиниринга (2009–2012) Подробнее В ходе исследования была собрана и структурирована база из более чем 40 различных инструментов для реверс-инжиниринга и анализа безопасности приложений на языке Python. Результатом масштабной работы стало создание сайта с удобным поиском и обновляемой базой, который ежедневно посещают сотни исследователей со всего мира. Безопасность SAP в цифрах (2007–2012) Глобальное исследование безопасности SAP c 2007 по 2011 год. Вышло на двух языках и получило награду InfoSecurity Product Guide в номинации Advertising. Исследование затронуло все аспекты безопасности SAP – от статистики уязвимостей и описания топ-5 уязвимостей до анализа SAP-систем, доступных через Интернет в той или иной стране мира, и статистики по наиболее распространенным версиям и патчам. SSRF и бизнес-приложения (2012–2013) Исследование было впервые представлено на конференции BlackHat и сделало популярным изучение нового класса атак. В совокупности с другими независимыми работами, посвященными SSRF-атакам, эта публикация заняла 2-е место в списке 10 наиболее интересных техник атак на веб-приложения в 2012 году. Мобильный банкинг (2012–2013) Был проведен статический анализ кода клиентской части мобильных платежных приложений под iOS и Android более чем от 30 российских банков. Выяснилось, что все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую атаковать банк или его клиентов. Адаптация техники JIT-Spray (2010) Данное исследование улучшило технику атаки на Adobe Flash с целью обхода DEP и ASLR. В результате проведенных работ время атаки было сокращено в 100 раз! Кроме того, исследование показало, что не только JIT-движок Adobe Flash, но и JavaScript-движок браузера Safari подвержен подобной атаке. Результаты этой работы впоследствии использовались многими компаниями в сфере Offensive Security по всему миру. Полный текст отчета можно увидеть по ссылке.