Итоги деятельности Digital Security Research Group: 2008-2009

С 2001 года началась работа специалистов Digital Security по поиску и анализу уязвимостей в приложениях и системах и их публикации на специализированных порталах.

Первая уязвимость от лица DSecRG была опубликована 25 декабря 2007 года. Начиная с этого момента, центр DSecRG выделился в отдельное направление компании Digital Security и за 2 года работы построил долгосрочные партнерские отношения с крупнейшими производителями ПО, получив тем самым мировое признание в области ИБ.

Итоги работы специалистов исследовательского центра:

• За 2008 год было написано и опубликовано 41 уведомление о безопасности, содержащее 225 уязвимостей.

• За 2009 год было написано 64 уведомления о безопасности, содержащих 155 уязвимостей. Из них 37 было опубликовано.

В 2009 году основной вектор исследований DSecRG был направлен на корпоративные приложения. За этот год специалисты центра получили многократные благодарности от ведущих компаний-производителей корпоративного ПО, таких как SAP, Oracle, HP, SUN, IBM, Adobe и прочих за уязвимости, обнаруженные в их продуктах, и помощь в их закрытии. Также обнаруженные в 2009 году уязвимости восемь раз попадали в пятёрку наиболее критичных уязвимостей в WEB-приложениях, составляемую компанией HP каждые 2 недели. Кроме того, уязвимости были обнаружены не только в программных продуктах, но и популярных сетевых проектах, таких как Livejournal.com (http://dsecrg.ru/pages/news/show.php?id=18) и всемирно известном ресурсе, посвящённом безопасности, securityfocus.com(http://dsecrg.ru/pages/news/show.php?id=9)

Одним из приоритетных направлений исследовательской деятельности центра является анализ безопасности систем дистанционного банковского обслуживания. С 2009 года DSecRG активно сотрудничает с Ассоциацией Российских Членов Европей (АРЧЕ), публикуя на ее закрытом форуме уязвимости, обнаруженные в банк-клиентах основных российских производителей.

За 2009 год был завершен ряд интересных исследований в области безопасности ERP и СУБД, в том числе специалисты DSecRG приняли участие в разработке продукта Metasploit (1,2,3), получив благодарность от его разработчиков. Также этот год ознаменовался успешным выступлением на международной конференции по безопасности T2.fi.

Отдельно следует упомянуть про выпуск книги руководителя исследовательского центра Полякова А.М. «Безопасность Oracle глазами аудитора: нападение и защита», которая получила отзывы (1,2,3) от ведущих мировых специалистов в этой области, а именно Pete Finnigan и Paul Wright.

Проведенная за прошедшее время работа позволила специалистам DSecRG добиться значительных результатов и высоко зарекомендовать себя не только на российском, но и на мировом рынке. «В будущем году мы планируем оптимизировать работу исследовательского центра, именно поэтому мы всесторонне способствуем постоянному расширению партнерской сети и формированию совместного сотрудничества консультантов, разработчиков, интеграторов и пользователей различных систем. Анализ уязвимостей в приложениях и системах позволил нам не только выявить наиболее актуальные проблемы в области ИБ, но и сформировать требования к проведению дальнейших работ. В том числе в последнее время мы уделяем значительное внимание финансовому сектору, а именно выявлению и решению проблем систем дистанционного банковского обслуживания, являющихся неотъемлемой частью любого банка» - отметил А.Поляков.