5 वर्षों में डिजिटल सुरक्षा अनुसंधान प्रयोगशाला परिणाम

डिजिटल सुरक्षा के अनुसंधान प्रयोगशाला (डिजिटल सुरक्षा अनुसंधान समूह या DSecRG के रूप में जाना जाता है) के आधिकारिक उद्घाटन के बाद से पांच साल से अधिक समय बीत चुका है, और हमने संख्या में इकाई के अंतरिम परिणामों को संक्षेप में प्रस्तुत करने का फैसला किया, और हमारे लिए कई सबसे महत्वपूर्ण उपलब्धियों को भी नोट किया।

2013 में, दिमित्री एव्डोकिमोव प्रयोगशाला के प्रमुख बन गए, जिन्होंने सुरक्षा समस्याओं के अध्ययन के लिए एक गहन दृष्टिकोण के साथ खुद को एक उत्कृष्ट विशेषज्ञ के रूप में स्थापित किया, और बाजार पर ज्ञात बड़ी संख्या में अध्ययन के लेखक।

डिजिटल सुरक्षा अनुसंधान समूह संख्या में

रूस में 1 अनुसंधान केंद्र
शीर्ष 10 वेब हमले तकनीक 2012 में दूसरा स्थान
अंतर्राष्ट्रीय सम्मेलनों में 3 साल की भागीदारी
4 स्थानों पर ब्लैकहैट पर 4 उपस्थिति
5 साल का सार्वजनिक काम
6 कर्मचारियों ने अंतर्राष्ट्रीय सम्मेलनों में प्रस्तुतियां दीं
सप्ताह में 7 दिन
8 कर्मचारियों को मिली कमजोरियों के लिए सबसे बड़ी कंपनियों से धन्यवाद मिला
9 मुख्य प्रतिभागी
10 - 2012 में ब्लैकहैट यूएसए की शीर्ष 10 रिपोर्टों में शामिल हुआ

डेफ्यूऑन रूस की 15 बैठकों में भाग लिया
20 से अधिक देशों में प्रदर्शन किया गया
अंतर्राष्ट्रीय तकनीकी सम्मेलनों में 30 से अधिक प्रस्तुतियाँ
40 से अधिक अध्ययन
एसएपी में लगभग 100 प्रकाशित भेद्यताएँ
कुल 200 भेद्यताएँ प्रकाशित हुईं
300 से अधिक कमजोरियों का पता चला

भेद्यता खोज और पहचान

नवंबर 2007 से, प्रयोगशाला ने सॉफ्टवेयर उत्पादों में कमजोरियों की खोज और विश्लेषण शुरू किया। इसकी गतिविधियों की मुख्य विशेषता जिम्मेदार प्रकटीकरण का सिद्धांत था: हम डेवलपर को खोजी गई भेद्यता के बारे में सूचित करते हैं, इसे बंद करने में मदद करते हैं, और फिर विवरण प्रकाशित करते हैं। प्रारंभ में, विश्लेषण की वस्तुएं सरल वेब एप्लिकेशन और सीएमएस सिस्टम थीं, फिर वेब सर्वर और डीबीएमएस के विश्लेषण पर ध्यान केंद्रित किया गया, और धीरे-धीरे हम व्यावसायिक अनुप्रयोगों और ईआरपी सिस्टम में आए। इस बात पर जोर दिया जाना चाहिए कि हमारा अनुसंधान केंद्र रूसी सूचना सुरक्षा बाजार के लिए एक अनूठी घटना बन गया है: पहले कमजोर पड़ने वाली खोजों को शौकिया रूप से लापरवाही से और अनियमित रूप से अंजाम दिया गया था। DSecRG प्रयोगशाला के खुलने से यह गतिविधि पेशेवर स्तर पर आ गई। समय के साथ, कुछ बाजार के खिलाड़ियों ने अपनी स्वयं की भेद्यता खोज और विश्लेषण इकाइयों का निर्माण करके डिजिटल सुरक्षा की अगुवाई की है।

पता लगाने के सापेक्ष बंद कमजोरियों की संख्या

सभी समय के लिए, DSecRG विशेषज्ञों ने 318 कमजोरियों की खोज की, जिनमें से 199 निर्माताओं द्वारा बंद कर दी गईं, और बाकी पर काम चल रहा है। अब हमारी गतिविधि की मुख्य दिशा एप्लीकेशन सिक्योरिटी है, जिसमें हम रूस में ही नहीं, बल्कि दुनिया में प्रमुख पदों पर काबिज होने का प्रयास करते रहेंगे।

DSecRG विशेषज्ञों ने सभी कमजोरियों का लगभग 0.8% पाया जो दुनिया में 5 साल से बंद है, जो कुल मिलाकर सभी रूसी कंपनियों के आंकड़ों से अधिक है।

विभिन्न वर्षों में प्रकाशित कमजोरियों की संख्या

2007 - 2
2008 - 41
2009 - 37
2010 - 26
2011 - 42
2012 - 51

प्रमुख निर्माताओं के उत्पादों में प्रकाशित कमजोरियों की संख्या

SAP - 93
ओरेकल - 19
एडोब - 5
WAGO - 4
VMware - 4
आईबीएम - 3
एचपी - 2
माइक्रोसॉफ्ट - 1

विभिन्न क्षेत्रों में प्रकाशित कमजोरियों की संख्या

SAP - 93
वेब अनुप्रयोग और सर्वर - 58
ईआरपी और व्यावसायिक अनुप्रयोग - 26
ACU TP (SCADA / ICS) - 7
अन्य - 6
DBMS - 5
आरबीएस - 4

बंद होने का समय

OpenSource के लिए न्यूनतम समापन समय Blogcms और 2z डेवलपर्स के लिए है। एक दिन में विभिन्न प्रकार की कई कमजोरियों को बंद कर दिया गया था!
ओपनसोर्स डेवलपर्स के लिए औसत भेद्यता समापन समय 30 दिन है।
ओपनसोर्स डेवलपर्स के लिए, अपाचे कंसोर्टियम ने सबसे लंबे समय के लिए 126 दिन अपडेट किए (अपाचे जेरोनिमो एप्लिकेशन में एक भेद्यता, पहचानकर्ता के साथ चिह्नित [DSECRG-09-019])।

ओरेकल में वाणिज्यिक कंपनियों के लिए न्यूनतम समापन समय। ओरेकल DBMS में बफर ओवरफ्लो वल्नरेबिलिटी 28 दिनों के लिए बंद कर दी गई थी।
वाणिज्यिक कंपनियों के लिए औसत भेद्यता समापन समय 295 दिन है।
ओरेकल द्वारा सबसे लंबा अपडेट तैयार किया गया था - 1214 दिन (पहचानकर्ता [DSECRG-12-040] के साथ चिह्नित ओरेकल बिजनेस इंटेलिजेंस एप्लिकेशन में भेद्यता)।

अनुसंधान कार्य

DSecRG के काम के दौरान, 42 बड़े अध्ययन तैयार किए गए थे, जिसके परिणाम सम्मेलनों में विभिन्न लेख, रिपोर्ट और भाषण थे।

विभिन्न क्षेत्रों में प्रकाशित अध्ययन

• आवेदन सुरक्षा - 30
  
  • व्यावसायिक अनुप्रयोग - 15
    
    • SAP - 11
    • अन्य - 4
• डेटाबेस - ३
• बैंकिंग - ४
• मोबाइल - 2
• अन्य - 6
• शोषण - 8
• एंबेडेड - 2
• SCADA - 1
• फोरेंसिक - 1

* कुछ अध्ययन एक साथ कई श्रेणियों में आते हैं।

विभिन्न वर्षों में अध्ययन की संख्या

2008 - 2
2009 - 3
2010 - 11
2011 - 11
2012 - 15

विभिन्न प्रयोगशाला कर्मचारियों का अध्ययन

डंडे - 21
सिन्टसोव - 11
एव्डोकिमोव - 4
ट्यूरिन - 3
चस्तुखिन - ३
स्वेस्तुनोविच -2
मिनोजेनको - 2
चेरबोव - १
नेयोलोव - 1

आरबी सिस्टम की सुरक्षा (2009-2011)

रूस में दूरस्थ बैंकिंग सेवाओं की सुरक्षा के क्षेत्र में पहला अध्ययन। पहले, इस विषय पर बहुत कम कहा गया था, लेकिन DSecRG विशेषज्ञों द्वारा उठाए गए समस्याओं ने सूचना सुरक्षा उद्योग में विभिन्न संगठनों के विशेषज्ञों का ध्यान आकर्षित किया। सुरक्षा विश्लेषण बाजार क्षेत्र की लोकप्रियता में काफी वृद्धि हुई है।

JIT-Spray का अनुकूलन (2010)

इस अध्ययन ने DEP और ASLR को बायपास करने के लिए एडोब फ्लैश पर हमले की तकनीक में सुधार किया। काम के परिणामस्वरूप, हमले का समय 100 गुना कम हो गया था! इसके अलावा, अध्ययन से पता चला कि न केवल एडोब फ्लैश जेआईटी इंजन, बल्कि सफारी ब्राउज़र जावास्क्रिप्ट इंजन भी इस तरह के हमले के लिए अतिसंवेदनशील है। इस काम के परिणामों का बाद में दुनिया भर की कई आक्रामक सुरक्षा कंपनियों ने उपयोग किया।

एसएपी सुरक्षा आंकड़ों में (2007-2012)

एसएपी ग्लोबल सिक्योरिटी सर्वे 2007 से 2011। यह दो भाषाओं में जारी किया गया था और विज्ञापन श्रेणी में इन्फोसेक्विटी प्रोडक्ट गाइड पुरस्कार प्राप्त किया। अध्ययन SAP सुरक्षा के सभी पहलुओं को कवर करता है - भेद्यता के आँकड़ों और शीर्ष 5 भेद्यताओं के विवरण से SAP सिस्टम के विश्लेषण के लिए इंटरनेट के माध्यम से एक देश या दुनिया में उपलब्ध है, और सबसे आम संस्करणों और पैच पर आँकड़े।

SSRF और व्यावसायिक अनुप्रयोग (2012-2013)

अध्ययन को पहली बार ब्लैकहैट सम्मेलन में प्रस्तुत किया गया था और हमलों के एक नए वर्ग के अध्ययन को लोकप्रिय बनाया। एसएसआरएफ हमलों पर अन्य स्वतंत्र कार्यों के साथ, इस प्रकाशन ने 2012 में वेब अनुप्रयोगों पर हमला करने के लिए 10 सबसे दिलचस्प तकनीकों की सूची में दूसरा स्थान हासिल किया।

मोबाइल बैंकिंग (2012-2013)

IOS और Android के लिए मोबाइल भुगतान अनुप्रयोगों के ग्राहक भाग का एक स्थिर कोड विश्लेषण 30 से अधिक रूसी बैंकों से किया गया था। यह पता चला कि समीक्षा किए गए सभी अनुप्रयोगों में कम से कम एक भेद्यता है जो बैंक या उसके ग्राहकों पर हमला करने की अनुमति देता है।

अंतर्राष्ट्रीय सम्मेलनों में भाषण

2009 में, प्रयोगशाला ने अंतर्राष्ट्रीय तकनीकी सम्मेलनों में अनुसंधान के साथ बोलना शुरू करते हुए, विकास में एक सफलता हासिल की। हम पश्चिम में पहले नहीं थे (10 साल पहले एलकोमॉफ्ट ने विदेशों में प्रदर्शन किया था), लेकिन डिजिटल सुरक्षा ने रूसी शोधकर्ताओं की भागीदारी को एक नए स्तर पर ले लिया, महत्वपूर्ण सम्मेलनों में सूचना सुरक्षा विशेषज्ञों की उपस्थिति में काफी वृद्धि हुई। तीन वर्षों के लिए, DSecRG यूरोप, एशिया और संयुक्त राज्य अमेरिका के 20 देशों में 36 सम्मेलनों में दिखाई दिया है, और हम इस दिशा में काम करना जारी रखते हैं, नए महाद्वीपों को जीतते हैं। यह संतुष्टिदायक है कि अन्य कंपनियों और स्वतंत्र शोधकर्ताओं ने डिजिटल सुरक्षा पहल का समर्थन किया है। 2013 तक, कंपनी के अंतरराष्ट्रीय सम्मेलनों में रिपोर्टें मानदंड बन गई थीं, जैसे कि कुछ साल पहले निर्माताओं से धन्यवाद की उपस्थिति आदर्श बन गई थी।

विभिन्न सम्मेलनों में भाषणों की संख्या

कॉन्फिडेंस - 6
ब्लैकहैट - ५
HITB - 4
दीपसेक - २
SecurityByte - 2
HackerHalted - 2
फौजी - १
स्रोत - 1
t2.fi - 1
ब्रुकन - १
इंफोसेरिटी कुवैत - 1
Just4Meeting - 1
डेफकॉन - १
आरएसए - 1
नलकन - १
हैकटीटी - १
आईटी-एसए - 1
Syscan360 - 1
SAP सुरक्षा शिखर सम्मेलन - 1
हैशडे - 1
PoC - 1

विभिन्न देशों में प्रदर्शनों की संख्या

यूएसए - 6
पोलैंड - 5
जर्मनी - 3
नीदरलैंड - ३
भारत - ३
चीन - २
मलेशिया - २
ऑस्ट्रिया - 2
चेक गणराज्य - 1
स्पेन - 1
बेल्जियम - 1
पुर्तगाल - 1
कुवैत - १
हंगरी - 1
स्विट्जरलैंड - 1
कोरिया - 1
यूएई - 1
फिनलैंड - १

विभिन्न वर्षों में प्रदर्शनों की संख्या

2010 - 9
2011 9
2012 - 19

विभिन्न क्षेत्रों में प्रदर्शनों की संख्या

• आवेदन सुरक्षा - 30
  
  • व्यावसायिक अनुप्रयोग - 15
    
    • SAP - 11
    • अन्य - 4
• डेटाबेस - ३
• बैंकिंग - ४
• मोबाइल - 2
• अन्य - 6
• शोषण - 8
• एंबेडेड - 2
• SCADA - 1
• फोरेंसिक - 1

विभिन्न वक्ताओं द्वारा प्रस्तुतियों की संख्या

डंडे - 25
सिन्टसोव - 5
एव्डोकिमोव - 4
चास्तुकिन - ४
मिनोजेनको - 2
नेयोलोव - 2

परियोजनाओं और सामुदायिक पहल

संभव हद तक, हम विभिन्न परियोजनाओं और पहलों में भाग लेने की कोशिश करते हैं। आइए हम उनमें से सबसे महत्वपूर्ण पर ध्यान केन्द्रित करें।

ZeroNights

मास्को और सेंट पीटर्सबर्ग में वार्षिक अंतरराष्ट्रीय सम्मेलन ज़ीरोनाइट्स का संगठन। रूस में नवीनतम हैकिंग और संरक्षण के तरीकों के लिए समर्पित एकमात्र असम्बद्ध तकनीकी सम्मेलन, 2012 में 600 लोगों और 50 से अधिक वक्ताओं को इकट्ठा किया गया था और आधिकारिक प्रकाशन SCMagazine द्वारा 2013 में दौरा करने के लिए सबसे महत्वपूर्ण के रूप में नोट किया गया था, साथ ही ब्लैकबैट, HITB और राक्षसों जैसे राक्षसों के साथ घुसपैठ।

रेककन रूस

परियोजना एक अनुसंधान प्रयोगशाला के कर्मचारियों द्वारा बनाई गई थी। यह युवा पेशेवरों को प्रशिक्षित करने के लिए एक प्रकार का मंच है, जो अनौपचारिक बैठकों के दौरान अद्वितीय ज्ञान और कौशल प्राप्त करने और अनुभव का आदान-प्रदान करने की अनुमति देता है। एक महीने में 50 से अधिक लोगों को इकट्ठा करना, जीरोनाइट्स सम्मेलन का एक प्रोटोटाइप है। आज तक, 15 बैठकें सफलतापूर्वक आयोजित की गई हैं।

OWASP

OWASP प्रोजेक्ट में, हम OWASP-EAS सबप्रोजेक्ट को व्यावसायिक अनुप्रयोग सुरक्षा के लिए समर्पित करते हैं। उपप्रोजेक्ट का पहला संस्करण 2010 में प्रस्तुत किया गया था और इसमें व्यावसायिक अनुप्रयोगों के लिए मुख्य खतरों का वर्णन और व्यावसायिक अनुप्रयोगों की सुरक्षा का आकलन करने के लिए एक पद्धति शामिल थी। सिस्टम के सूचना और विश्लेषण के संग्रह के कारण लंबे ब्रेक के बाद, 2013 में, संस्करण 2 पर गंभीर काम शुरू हुआ।

प्रोजेक्ट बेसकैंप

स्वचालित नियंत्रण प्रणाली के सुरक्षा विश्लेषण के लिए समर्पित एक परियोजना में भागीदारी, अर्थात् प्रोग्राम नियंत्रकों में कमजोरियां। हमने WAGO PLC और KingSCADA प्रणाली का विश्लेषण किया।

Metasploit

मेटासप्लोइट परियोजना में भागीदारी, ओरेकल डीबीएमएस के लिए कारनामों का विकास और अन्य सुविधाजनक उपकरण में कीटों के संचालन में मदद करना।

बाउंटी कार्यक्रम

लगभग सभी भेद्यता खोज कार्यक्रमों में भागीदारी। हम नियमित रूप से Google, Yandex, Nokia से आभार और नकद प्रोत्साहन प्राप्त करते हैं, और भविष्य में हम इसी तरह के कार्यक्रमों की पेशकश करने वाली अन्य कंपनियों का समर्थन करने की योजना बनाते हैं।

अजगर का शस्त्रागार

अध्ययन के दौरान, पाइथन में रिवर्स इंजीनियरिंग और अनुप्रयोग सुरक्षा के विश्लेषण के लिए 40 से अधिक विभिन्न उपकरणों का आधार इकट्ठा और संरचित किया गया था। बड़े पैमाने पर काम का नतीजा एक सुविधाजनक खोज और एक अद्यतन डेटाबेस के साथ एक साइट का निर्माण था, जिसे दुनिया भर के सैकड़ों शोधकर्ताओं द्वारा दैनिक दौरा किया जाता है।

प्रतिभागियों

अलेक्जेंडर पॉलाकोव
AlexandrPolyakov

डिजिटल सुरक्षा अनुसंधान समूह के संस्थापक। वह पुस्तक "ऑडीटर सिक्योरिटी बाय द ऑडिटर आईज़: अटैक एंड डिफेंस" (2009) और रूसी एसएपी विशेषज्ञता सहित प्रमुख रूसी प्रकाशनों में सुरक्षा प्रणालियों और अनुप्रयोगों के विश्लेषण के लिए समर्पित 30 से अधिक लेखों के लेखक हैं। दुनिया के सबसे प्रसिद्ध सुरक्षा विशेषज्ञों में से एक, एसएपी और ओरेकल। उनके सॉफ़्टवेयर में 100 से अधिक सुरक्षाछिद्र पाए गए। अपने खाली समय में वह गैर-मानक हमले वाले वैक्टर और व्यापार प्रणालियों में विशिष्ट समस्याओं के लिए खोज करने के शौकीन हैं।

एलेक्सी ट्यूरिन, पीएच.डी.
GrrrnDog

वेब एप्लिकेशन और बैंक-क्लाइंट की सुरक्षा के विशेषज्ञ, को Citrix, VMware और अन्य जैसे व्यापार प्रणालियों के प्रवेश के लिए परीक्षण का व्यापक अनुभव है। इसकी मदद से, बड़ी संख्या में कमजोरियों की खोज की गई थी। Xakep पत्रिका में आसान हैक संपादक।

ग्लीब चेरबोव
JRun

नेटवर्क और वेब अनुप्रयोगों के सुरक्षा विश्लेषण में विशेषज्ञ। वह एम्बेडेड सिस्टम के सुरक्षा पहलुओं से भी संबंधित है। वह DSecRG के भाग के रूप में आयोजित अनुसंधान में सक्रिय रूप से शामिल है। रूसी डिफॉन समूह की बैठकों में सह-आयोजक और नियमित वक्ता।

दिमित्री एव्डोकिमोव
d1g1

महत्वपूर्ण व्यावसायिक प्रणालियों (एसएपी) की सुरक्षा और मोबाइल प्लेटफार्मों (आईओएस, विंडोज फोन, एंड्रॉइड) की सुरक्षा में विशेषज्ञता। उन्होंने अपने उत्पादों में पाई गई कमजोरियों के लिए एसएपी और ओरेकल से आधिकारिक धन्यवाद किया है। इसके अलावा, ब्याज के क्षेत्र में शामिल हैं: रिवर्स इंजीनियरिंग, सॉफ्टवेयर सत्यापन / कार्यक्रम विश्लेषण (SMT, DBI, IR), भेद्यता खोज और शोषण लेखन, पायथन कोड के स्थिर और गतिशील विश्लेषण के लिए कार्यक्रमों का विकास। उन्होंने ब्लैकहैट और कॉन्फिडेंस जैसे सम्मेलनों में बात की। Xakep पत्रिका में शीर्षकों का संचालन करता है। वह सम्मेलन रूसी आयोजक समूह (DCG # 7812) और ज़ीरोनाइट्स के आयोजकों में से एक है।

अलेक्जेंडर मिनोजेनको
सुराही

सूचना सुरक्षा के अग्रणी शोधकर्ता। उन्हें SAP, VMware और अन्य जैसे व्यापार प्रणालियों के प्रवेश परीक्षण में व्यापक अनुभव है। उन्होंने कॉन्फ्रेंस कॉन्फिडेंस और डेफकॉन में बात की।

निकोले मेसचेरिन
Ab7orbent

वह एसएपी के लिए ईआरपीएसकेन सुरक्षा निगरानी सूट के विश्लेषण और परीक्षण के लिए जिम्मेदार है, और एसएपी सिस्टम में कमजोरियों की खोज और विश्लेषण में सक्रिय रूप से शामिल है। निगम के उत्पादों में खोजे गए कमजोरियों के लिए एसएपी एजी से उनका आधिकारिक धन्यवाद है।

दिमित्री चास्तुकिन
chipik

वह एसएपी सुरक्षा और वेब अनुप्रयोगों में अग्रणी विशेषज्ञों में से एक है। बग-बाउंटी के बड़े प्रशंसक। उसे यैंडेक्स, गूगल, नोकिया और एसएपी से आधिकारिक धन्यवाद मिला है। उन्होंने ब्लैकहैट यूएसए, हैकइनबॉक्स और ब्रुकॉन, ज़ीरोनाइट्स में प्रदर्शन किया। सक्रिय रूप से रूसी डेफकॉन समूह की गतिविधियों में शामिल है।

एवगेनी नीलोव

मुख्य रुचियां - व्यावसायिक अनुप्रयोगों की सुरक्षा, साइबर अपराध का विश्लेषण, फोरेंसिक के तरीके और इसकी परिधि, ई-कॉमर्स सुरक्षा, एंटीफ्रॉड सिस्टम। उन्होंने SyScan360 और अन्य सम्मेलनों में बात की, जहां उन्होंने एंटीफ्राड सिस्टम को दरकिनार करने के तरीकों के बारे में बात की। ज़ीरोनाइट्स और रूसी डेफकॉन ग्रुप के आयोजकों में से एक। Microsoft, SAP और अन्य कंपनियों से खोजी गई कमजोरियों के लिए धन्यवाद।

अलेक्जेंडर बोल्शेव, पीएच.डी.
dark_k3y

उनके पास कंप्यूटर और सूचना सुरक्षा के गणित में पीएचडी की डिग्री है, सेंट पीटर्सबर्ग इलेक्ट्रोटेक्निकल यूनिवर्सिटी LETI में अनुसंधान आयोजित करता है, और डिजिटल सुरक्षा प्रयोगशाला में शोध में शामिल है, जिसमें लागू गणित समस्याओं पर एक सलाहकार के रूप में शामिल है। अध्ययन के लेखक "SSRF DoS Relaying" (2013)।

और हमारी टीम में रूस के विभिन्न शहरों के साथ-साथ स्विट्जरलैंड, भारत और कजाकिस्तान के शोधकर्ता हैं। यदि आप हमारी टीम का हिस्सा बनना चाहते हैं, तो अपने बारे में जानकारी के साथ research@dsec.ru पर लिखें, और हम आशा करते हैं कि हम सामान्य रुचियां पाएंगे।