Специалисты DSecRG об итогах 2010 года

18.01.2011

Вот и подошел к концу 2010 год, третий год публичной работы исследовательского центра DSecRG, очень сложный, но вместе с тем очень продуктивный. В 2010 году было обнаружено большое количество уязвимостей в различных продуктах, однако количество опубликованных уязвимостей оказалось меньше, чем в предыдущие годы, поскольку производителями еще не были внесены исправления, после которых возможна их публикация. Кроме того, уязвимости стали более критичными и разнообразными, а спектр затрагиваемых приложений пополнили банковское программное обеспечение и новые ERP-системы.

За три года был накоплен значительный опыт исследований в различных направлениях, а вместе с тем была выработана ключевая направленность исследований – что очень важно для постановки целей и постоянного роста, и в этом ключе мы предполагаем развиваться и далее. Основная область исследований – это критичные для бизнеса системы, приложения и технологии, из которых на данный момент мы исследуем ERP-системы, корпоративные СУБД, а также банковское (ДБО) и процессинговое программное обеспечение. В этом году мы также обратили свое внимание на безопасность SCADA и технологических систем, как одну из наиболее актуальных в настоящее время областей, подготовив обзор инцидента Stuxnet. Помимо публикации уязвимостей и исследований, за прошедший год нас неоднократно приглашали выступить с докладами на международных конференциях. Выступления состоялись на 8 европейских и азиатских международно-известных конференциях по информационной безопасности с 9 докладами:

Участие в данных мероприятиях позволило нам как поделится новыми исследованиями с международным сообществом, так и завязать множество знакомств с профессионалами и расширить свой кругозор в области новых техник и технологий.

Большая часть докладов и исследований в 2010 году была посвящена безопасности SAP. Мы наладили с SAP партнерские отношения в области поиска и анализа уязвимостей и с сентября 2010 года стали получать ежемесячные официальные благодарности на официальном сайте http://sdn.sap.com за найденные уязвимости в обновлениях безопасности, сохраняя лидерство по количеству обнаруженных уязвимостей. Кроме того, мы выпустили бесплатный сервис, помогающий пользователям SAP оценить их уровень осведомленности и уровень безопасности клиентского программного обеспечения SAP GUI и нового NetWeaver Business Client. Сервис будет обновляться последними актуальными уязвимостями и новыми анализируемыми программными продуктами.

Продолжая тему безопасности бизнес приложений, в 2010 году мы стали участниками консорциума OWASP и возглавляем проект, посвященный безопасности корпоративных бизнес-приложений OWASP_EAS. В области банковской безопасности мы продолжили ежегодный анализ защищенности Банк-Клиентов, обнаружив ряд серьезных уязвимостей в популярных продуктах.

Интересные факты

- Мы возобновили работу блога и планируем в следующем году существенно увеличить его контент, добавив в него постоянные рубрики;

- Все наши сотрудники зарегистрировались в Twitter для более быстрого доступа и распространения актуальной информации;

- Четверо наших сотрудников пишут статьи в сетевой журнал «Хакер», а также ведут в нем постоянные рубрики;

- В России вслед за DSecRG начали появляться новые исследовательские группы;

- Нашу страничку About и название DSecRG клонируют молодые исследователи из других стран.

Планы на будущее

Новый 2011 год у нас начинается 18 января с выступления на самой культовой конференции по информационной безопасности BlackHat DC 2011 в Америке, выступление на которой каждый специалист по информационной безопасности считает большим достижением. Мы представим на данной конференции наши исследования в области безопасности ERP-систем и покажем отличия в подходах при обычном тесте на проникновение и тесте на проникновение (анализе защищенности), направленном на критичные бизнес-приложения, с примерами нестандартных уязвимостей и ошибок в архитектуре. Помимо этого, мы продолжим выступать на других конференциях в этом году. За этот год была реализована большая часть намеченных планов, а если еще учесть, что основные силы исследователей были направлены на создание сканера безопасности для систем SAP, выпуск которого планируется в следующем году, то этот год можно считать очень продуктивным.