суббота, 29 декабря 2012 г.

Новости ИБ за 21 – 29 декабря 2012 года



Блоги:
Владимир Безмалый рассказывает, как можно обновить базы на Rescue CD при отсутствии интернета на проверяемом компьютере.

Наталья Храмцовская рассмотрела судебный спор между банком и его бывшим заемщиком, возникший из-за отказа кредитной организацией уничтожить персональные данные субъекта после погашения им кредита (достижения цели обработки).

Паоло Пассери (Paolo Passeri) сравнил прогнозы угроз на 2013 год семи известных компаний в сфере информационной безопасности.

Алексей Лукацкий подвел итоги уходящего года. Часть1, часть 2, часть 3.

Заключительный пост Алексея Волкова про негативное отношение к DLP-системам.

Владимир Стыран склоняется к мнению, что специалисты по информационной безопасности должны периодически проводить симуляцию атак, не ограничиваясь лишь тестированиями на проникновение, и самосовершенствоваться в данной области. 

Юмористический новогодний рассказ от Евгения Царева «Как молодой Эраст после Нового года безопасником стал?».


Журналы:


Статьи:
Сервисы для генерации одноразовых почтовых адресов.

Рассчитать затраты на обеспечение информационной безопасности поможет статья Павла Головлева «Щедрость по разуму». 

Законодательство:
План проведения плановых проверок Роскомнадзора по Ростовской области на 2013 год. 

План проведения плановыхпроверок ФСТЭК на 2013 год.

Программное обеспечение:
Comodo Internet Security 6 – это новая версии бесплатного продукта от компании Comodo Group Inc, предназначенного для комплексного обеспечения безопасности домашнего компьютера. Обзор продукта на anti-malware.ru.

Вышла утилита, которая позволяет осуществить обход авторизации ОС, запущенной в контексте виртуальной машины на базе VMWare – VMInjector.

Компания Oxygen Software представила вниманию экспертов в области форензики новую версию Мобильного Криминалиста 2013.

Релиз Burp Suite Professional v1.5.01 java-приложение, предназначенное для проведения атак на веб-приложения.

Agnitum выпустила новую продуктовую линейку брандмауэра Outpost 8.

Вышла версия 5.5.4 сканера уязвимостей Nexpose от компании Rapid7.

Мероприятия: празднование Нового года =)

Ресурсы:
k0d.cc / k0d.so - форум исследователей безопасности

Portal of Russian Hackers – форум по информационной безопасности

Уважаемые коллеги, поздравляю вас с наступающим праздником и хочу пожелать, чтобы  в 2013 году были зарплаты выше, а инцидентов меньше.



                                                                                                          
                                                                         GHB9s     Hr                         
                                                                     ;BssiA          B                        
                                                                   HSiiisH    BSi5B9i55i5                     
                                               HH                 Hsisi2B   HSSBH&XiB   BSH                   
                                             B;;B 935r           Aissir    ;2GHBB    ;    Sss                 
                                            XrrrrrrH            BsssS52    sS3 :          HiissriSSssB5s      
                                           hrrrrrr9            .is55BsH    B5i3      S   A2iiSiiHHGSi  5B     
                                          Hrrrrrr.    5H&2     Bi59G  H     25iSS5HBSiiSisiiiii9i53iiii5SB    
                                  39      9rrH;rB  2rrrrrrB    HsS    B     S5SBissiiiiiiiiiiiiSXiSSiiSiiB    
                                 9rXsrr5H Hr9rrG hrrrr rrrs    SSB     s   BS2ii9siiiiiiiiiiiiiiiiSSSSSiAi&   
                      :2;sH     Hh;r,G3rrrBrrrrG5s5srr  rrr,   i5r      B:ii55isAASBiiiiiiiiiiiSiiiSi9&Sss    
                      rXGirG    Brrr rrrr5Arr;r5srrrrr  rrr: &  HBr       i55552isH5GX52BBHHBB3XS5SHsiiii     
                      &   SrB   Grrr rrsAHrrr rhrrrrrr  rrr2BX     B       BS52595H25isis9iiisiisiiiSSSB      
                          BrrS55h,2r Srr;Hsrrr3rrrrrrr  rrr.isB     B        iXBSS5X252S5552S5S552HS          
                          2 rsi,,ri:,,s3hHArrr5risrs2hHAsrHSSiA                55B2XX552522553Bh              
                        h25i&S,rrrr,;s,i:;;;irArsSi3HBHH9Bs5S5B   2            55BS2SiSSSSiii2h               
                       32is95,:isX5Sii,S,S,S,r,5r5S5SSiissi:ss&                SS2 s525sss5XiX5i              
                    HiSs iBi,,SsSSr,;:,5,ii,,r,i,:,SiSi;,S,,Si5                5AG  B22222X2SiS,s             
                BisSSiisA  S,,Si.iS,s:,5,S,S,;,:,:,rs,SS,,:,S5;                B  3  GiX5iiXS225si3           
             H52sirssiG    i,,i:,:s,i55Sis,.i,,2,:,5S,s,SSi5SS                         i2225iiii.sS           
          :S2ss2srB        5,,sriS:,,S,:SSssr;rr;s5SiisSr,i,ii                          s25SS222i ;i          
        ;Ssi5iiB           s,,55sr:i,s,SSSi,.,:,r:,iS:,S,:S,5s                           i25SSi2Si 5s         
       &i52iB              is,,sisS,SirrS,,;.i,:;:,,i;,,S,Ss5i259                         s25iSSSiS iB        
     hS2s22                sSSSr;2iiissSSiS;SS,,s,,;,,i,S,.SSS9 Ss3                       :s25iiS2i ,S;       
    HXXsr,                 isssrriissiS,.52s::,,,,,:iS5Sii5Sr535s 22           ii          rS5iSi22  Si       
   hXiis                   BsssSsSSSrSr,ii5,,:::5H5iiSS5SsssXHSSSS  i      B22222X2siA      BX5iiiSi :iG      
   5sSs                       BisS5ssi5s,S,,s,irr5,,,,,ShB2SSSS2225 2S   h222SSS5XiSi SX     sSiiiii  SS      
  BSSrH                      .52S2GHXissssh;rrrrs5&BB9HBBB52XiS2SS2S SB BSXSS2222iii5S  XG   H222iii  SS      
  92ss                      B52ss2s2siis  i2   B2SiSiHB   5HX22S222i 5iB22Si2XSSiS25iS5, i   Xi5i2Si  ;2:     
  2XXS                     BX5Sisissiii22  :X  BX5S5SA&     3S2SiSi2riS9552SiiS5X5SSi252  s   S2225is ,i&     
  32i2                     S2ss22SB iSi22i  5B BX2SSS9B     Bi22i22S55i25SSiSH  BS22S2iXS SH  &X2iiii  iB     
  HX2sB         s5SX.iB   s52s25ir    H5siS 5s B52XSiiB     .9S2SSSSSii25S22B     i22iSSS552  B522X2s  iH     
   52S5       ,S5X25sS ;  S22i25S      22is,si ;s25SiXXA     A225iS22XX252SSB     &S25i2iS5i  B22siSX  iA     
   HXiis      sXsirB55S,H  X22ii5      iXiiiSS  B222i2iXi   SX22Si22Ss S22Sii      s22SSSSii  hSiX2Xr r2B     
    G5ssXH   XX5iX  i5S 5  i52sii&     S5iisSr   S2Xii2XH   Hs22SS5XiB X2XiiXA     225SS22X& 52iiSii  XSB     
     i5S2SiB  i2s2  B5S:h  H5Sssi2    BX5issiB   BX5Xii5SB ii25si2iSB  &X22i2S9   si2XSi2is  BSiiiis  iX      
      B22ssiSsB5iiB22i2X,   322Si2i  H225i22s     B2X2SiSS&HiiiiiiX5    A22Si553r H555iSXXG 92iiX2s  Sis      
        555SissSiSiHiXiB     352X5isB555isii       AX2XSS2iX2iiXSii      922i25iSBS22S5SiA HSSXi55s  iiB      
          B;X2XSSS25s3H9      G22s2iS5BriXsS        3S5XiSX22HSSS2        i52iSSX22iShBH3SS222ii5r  559       
             ;333H225rs555X2255HX25iX2si2BGX     &HH2SA22siSS5Gi2r         S22SX5i2iiiiXX2SiisiSX  25S        
                   BiS5ssrrsrrrs5H222i5SSi2Si22iSiSX2SiHSX2siisS2H;      :BHB222iSiSSS2SsSSi2iis  5Ss         
                     G9iii2s222XsssHS2XSSSSSiisX2222SSi2iH222i22ii5ii25SSi2XS2iXX5iiii2X22sssss 5s2A          
                         rBHBBBh:     BSi555X2222iiS2i22iiH:H22SiiSSiSi2222SS22392225iiii5222Xsii3            
                                          Bh2S5552SSis&G      SHX25SX222iiiSi25iBXBs2225SX5XS25B              
                                                                   iBBBGBBBBA          5BB&5                 

понедельник, 24 декабря 2012 г.

Фото в паспорте - это биометрические персональные данные?



Для начала разберемся с определением.
Согласно ст. 11 ФЗ-152 биометрическими персональными данными являются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.
Существует еще одно определение, данное в Методических рекомендациях по исполнению запросов социально-правового характера" (утв. Росархивом): биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека, на основе которых можно установить его личность: отпечатки пальцев, цифровая фотография, форма пальцев, носа, ушей, почерк, походка, распознавание голоса, радужной оболочки глаза, анализ ДНК и др.
По моему скромному мнению, последнее определение более точное. Попробую обосновать свой ответ.
Ознакомимся с паспортом гражданина РФ. В ПП-828 от 8 июля 1997 г. «Об утверждении Положения о паспорте гражданина Российской Федерации, образца бланка и описания паспорта гражданина Российской Федерации» в п.9 «Описания бланка паспорта гражданина Российской Федерации» говорится: «Третья страница бланка паспорта предназначена для размещения сведений о личности владельца паспорта. Страница состоит из 2 частей: верхние три четверти страницы - визуальная зона, в которой слева размещена фотография владельца паспорта размером 35 x 45 мм...» Т.е. здесь фотографию не считают биометрическими ПДн., по крайней мере, явного указания на это нет.
Ознакомимся с биометрическим загранпаспортом гражданина РФ (тот, что выдается сроком на десять лет).
В ПП-687 от 18 ноября 2005 г. «Об утверждении образцов и описания бланков паспорта гражданина Российской Федерации, дипломатического паспорта гражданина Российской Федерации и служебного паспорта гражданина Российской Федерации, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители информации» в «Описании бланков паспорта гражданина Российской Федерации, дипломатическoгo паспорта гражданина Российской Федерации и служебного паспорта гражданина Российской Федерации, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители информации» сказано:
9. Пластиковый вкладыш (страницы 1 и 2) представляет собой многослойную, спрессованную при высокой температуре конструкцию, в которую помещена микросхема с антенной, предусмотренная пунктом 10 настоящего описания…Страница 2, являющаяся оборотом пластикового вкладыша, предназначена для размещения персональных данных владельца паспорта и состоит из двух частей: нижняя четверть страницы - машиночитаемая зона, в которой располагается машиночитаемая запись, состоящая из комбинации букв и цифр, содержащая в соответствии с международными требованиями и стандартами, предъявляемыми к машиночитаемым проездным документам, основную информацию, имеющуюся в этом документе; верхние три четверти страницы - визуальная зона, в которой размещаются реквизиты, выполненные офсетным способом печати…Данные реквизиты заполняются централизованно методом лазерного гравирования. Этим же методом наносится черно-белая фотография владельца паспорта размером 31,8 х 42,5 мм, изображение подписи владельца и машиночитаемые строки в соответствии с международными требованиями и стандартами, предъявляемыми к машиночитаемым проездным документам… В правом верхнем углу страницы 2 расположен защитный элемент в виде круга из металлизированной пленки диаметром 19 мм. При заполнении страницы паспорта методом лазерного гравирования в структуре пленки формируется дополнительное изображение владельца паспорта, видимое в отраженном свете под другими углами зрения…
10. В качестве электронного носителя информации о владельце паспорта используется разрешенная в установленном порядке к применению микросхема с бесконтактным интерфейсом, имеющая емкость памяти не менее 64 килобайт. В микросхеме в защищенном виде хранится графическая и текстовая информация о владельце паспорта.
В ПП-125 от 04.03.2010 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» в п.6 «Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина российской федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» говорится: «Цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа)». Иными словами цветное цифровое фотографическое изображение лица владельца документа – это изображение, представленное в электронном виде, которые должны храниться в определенной ИСПДн.

Отсюда можно сделать вывод, что фото в паспорте, ксерокопия паспорта или распечатанная фотография не являются биометрическими персональными данными.

А что думают коллеги по этому поводу?
Мнение Михаила Емельянникова.
Мнение Артема Аветяна.
Мнение BSAT devteam.
Информационное письмо Консультационного центра АРБ № 5.
Ответ Краснодарского Роскомнадзора на запрос Сергея Борисова.



пятница, 21 декабря 2012 г.

Новости ИБ за 14 – 21 декабря 2012 года



Блоги:
Алексей Лукацкий сравнил документы по защите информации в ИСПДн, выпущенные ФСТЭК за последние 5 лет.


Владимир Безмалый рассматривает человеческий фактор, как основополагающий элемент при обеспечении информационной безопасности.

Сергей Борисов опубликовал позицию Роскомнадзора по поводу обработки ксерокопий паспортов в рамках трудового договора с субъектом ПДн без получения дополнительного согласия, а также классификации фотографии как биометрии.

Наталья Храмцовская осветила судебный случай, связанный с кражей денежных средств со счета карты  «Master Card».

Документы:



Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques - документ описывает атаку «pass-the-hash» и методы защиты от подобного рода атак в среде Windows.

Статьи:
Евгений Касперский вошел в TOP-15 самых опасных людей в мире.

Требования, которым должна соответствовать ваша система резервного копирования и типичные проблемы при создании backup.


Разворачиваем honeypot в «облаке» на Amazon вместе с журналом «Хакер».

Ольга Хвастунова поделилась результатами исследований «Как ведущие российские банки заботятся о безопасности своих клиентов».

Программное обеспечение:
Компания ElcomSoft разработала продукт для расшифровки информации, хранящейся в динамических криптоконтейнерах BitLocker, PGP и TrueCrypt - Elcomsoft Forensic Disk Decryptor.

Вышла «Ghost USB honeypot» версии 0.2.1 для Windows 7. 

Product Key Decryptor - программа, предназначенная для обнаружения восстановления лицензионных ключей от популярные продуктов Windows. В настоящее время программа способна восстановить ключи от ОС Windows, Microsoft Office, Visual Studio, Internet Explorer, VMWare Worktation.

Законодательство:
Письмо от 14 декабря 2012 г. N 172-Т «О рекомендациях по вопросам применения статьи 9 Федерального закона "О национальной платежной системе».

Ресурсы:
Материалы с конференции  AVAR 2012  (Association of anti Virus Asia Researchers), проходившей 12-14 ноября в Китае.

пятница, 14 декабря 2012 г.

Новости ИБ за 7 – 14 декабря 2012 года



Блоги:
Алексей Лукацкий рассказал, как строится защита государевых информационных систем в США и как это делается у нас.

Евгений Царев сделал кроткий обзор проектов поправок в 382-П и 2831-У.
Сергей Борисов  привел несколько вариантов решений на базе продукта Cisco ISE для усиленной аутентификации и контроля доступа на уровне сети при технических ограничениях.

Документы:
National Cyber Security Framework Manual подробная справочная информация и теоретические основы по различным аспектам Национальной кибербезопасности, в соответствии с различными уровнями государственной политики стран, входящих в состав NATO Cooperative Cyber Defence Centre of Excellence (NATO CCD COE).

Статьи:
Аналитический отчет «Kaspersky Security Bulletin 2012. Развитие угроз в 2012 году», подготовленый экспертами Global Research&Analisys Team (GReAT) в сотрудничестве c подразделениями Content&Cloud Technology Research и Anti-Malware Research «Лаборатории Касперского». В нем рассматриваются 10 важнейших инцидентов IT-безопасности 2012 года и прогноз основных угроз безопасности киберпространства в 2013 году.

В статье «Полное пособие по межсайтовому скриптингу» дается определение XSS, описываются существующие типы XSS и методы эксплуатация данной уязвимости.

Специалисты по информационной безопасности помогают разработчикам эксплойт-паков, публикуя в открытом доступе свежие эксплойты для различных программ.

«Аспекты и перспективы развития информационной безопасности мобильных устройств». Автор дает несколько советов по повышению уровня защищенности вашей информации на мобильном устройстве.

Эволюция бота «Zeus». Часть 1, часть 2.


Программное обеспечение:
Browser History Spy – программа, с помощью которой можно восстановить, а также просмотреть историю посещенных страниц в популярных браузерах.

Релиз новой версии фреймворка Metasploit Pro 4.5.0

Вебинары:
21 декабря 2012 года в 10.00, тема: «Национальная платежная система. Защита информации в НПС» от RISSPA.

Законодательство:
Приказ Федерального казначейства (Казначейство России) от 14 сентября 2012 г. N 16н "Об утверждении Положения об организации работы с персональными данными федеральных государственных гражданских служащих центрального аппарата Федерального казначейства, заместителей руководителей территориальных органов Федерального казначейства".

Проект приказа ФСТЭК России "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" + Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Ресурсы:
Damn Vulnerable Web App (DVWA) - PHP/MySQL веб-приложение, содержащее уязвимости. Это тренировочная площадка для испытания и совершенствования своих навыков в поиске и использовании веб-уязвимостей.


Книги:
Автор: Branden R. Williams, Anton Chuvakin
Язык: английский
Описание: 3 издание книги формирует четкое понимание PCI DSS 2.0. Здесь вы найдете практические примеры и рекомендации, которые помогут избежать типичных нарушений при проверке платежной инфраструктуры на соответствие требованиям стандарта, последовательно выполнить процедуры защиты, провести самооценку на соответствие требованиям и правильно составить отчет.

Автор: Anton Chuvakin, Kevin Schmidt, Chris Phillips
Язык: английский
Описание: Что такое лог? Для чего он нужен? Какие существуют способы хранения и ведения логов? Ответы на эти и другие вопросы вы сможете найти в данной книге.




Автор: Скотт Мюллер
Язык: русский
Описание: Это «справочник № 1» по аппаратной части современного персонального компьютера. Практические советы и пошаговые инструкциями помогут выявить и устранить аппаратные неисправности, добавить новые устройства, настроить производительность и самостоятельно собрать новый ПК.

понедельник, 10 декабря 2012 г.

Выпоняем п. 6.3.4 РС БР ИББС-2.3-2010



Настройка регистрации входа в ИСПДн (выхода из ИСПДн) субъектов доступа

(обновлено 30.01.2013)
пп. 6.3.4 п. 6.3 РС БР ИББС-2.3-2010 «Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки персональных данных, не являющихся биометрическими, не относящихся к специальным категориям и к общедоступным или обезличенным» гласит:
«Регистрация входа в ИСПДн (выхода из ИСПДн) субъекта доступа является обяза­тельной. В журнале регистрации событий, который ведется в электронном виде ИСПДн, указы­ваются следующие параметры:
— дата и время входа в систему (выхода из системы) субъекта доступа;
— идентификатор субъекта, предъявленный при запросе доступа;
— результат попытки входа: успешная или неуспешная (несанкционированная);
— идентификатор (адрес) устройства (компьютера), используемого для входа в систему.»
В СТО БР ИББС-1.2-2010 это уточняющий вопрос № 16 Приложения В, который также связан с частными показателями М3.11 и М3.12.
Существует 2 способа выполнения данного требования:

Способ № 1.
Пуск->Выполнить->gpedit.msc->Конфигурация компьютера->Параметры безопасности->Локальные политики->Политика аудита->Аудит входа в систему. Клик правой кнопки мыши->Свойства->Параметры локальной безопасности. В пункте «Вести аудит следующих попыток доступа» ставим «галочки» во всех чекбоксах, как показано на рисунке:


Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из нее. Также в журнале будет фиксироваться дата и время входа/выхода, идентификатор субъекта (учетная запись пользователя), результат попытки входа/выхода,  идентификатор компьютера.
События будут фиксироваться в журнале «Безопасность» (клик правой кнопкой мыши по иконке «Мой компьютер» ->Управление->Служебные программы->Просмотр событий->Безопасность).
Недостатком данного способа является множество "сторонних" записей в журнале. 

Способ № 2 
1. Создать bat-файл “login.bat” со следующим содержанием и сохранить его в корневую папку диска С:
echo %username% logged into %computername% at %date% %time% >>c:\название_файла.txt 
2. Пуск ->Выполнить ->gpedit.msc ->Конфигурация пользователя ->Конфигурация Windows ->Сценарии ->Автозагрузка ->Добавить…

 

3. В поле «Имя сценария» вписать C:\login.bat 
4. ОК
5. Создать bat-файл «logout.bat» со следующим содержанием и сохранить его в корневую папку диска С: 
echo %username% logged out of %computername% at %date% %time% >>c:\название_файла.txt 
6. Пуск ->Выполнить ->gpedit.msc ->Конфигурация потльзователя ->Конфигурация Windows ->Сценарии ->Завершение работы ->Добавить…
7. В поле «Имя сценария» вписать C:\logout.bat

8. ОК.
Журнал событий будет расположен по адресу c:\название_файла.txt 
Примечание: если авторизация доменная - скрипты прописываются в политиках безопасности домена, а логи необходимо писать не в >>c:\, а в >>\\Server\logs$\ , где "logs" - название папки. 
Достоинство: ведутся только те события, которые нас интересуют и ничего лишнего. 
Недостаток: не фиксируются события о пользователе "Гость".
Возможные ошибки: в журнале событий отсутствует (не записывается) имя пользователя.
Для этого в ветке реестр по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run необходимо создать строковый параметр и задать ему имя "logon" со значением "C:\login.bat" (писать с кавычками).

    Таким образом мы добьемся записи в журнале имени пользователя при входе. При выходе пока решения не нашел.
    Осталось только прописать в политике по информационной безопасности вашей организации, что журнал регистрации входа в ИСПДн (выхода из ИСПДн) субъекта доступа ведется в электронном виде. Там же можно перечислить и другие параметры.

 P.S. если у кого-то имеются другие способы выполнения данного требования, пишите в комментарии.

пятница, 7 декабря 2012 г.

Новости ИБ за 30 ноября – 7 декабря 2012 года



Блоги:
Алексей Лукцацкий рассказал о существующих системах сертификации в США и сравнил их с нашими, российскими.

Артем Агеев утверждает, что модель угроз ИСПДн конкретной организации региональные отделения ФСТЭК более не согласовывают.

Документы:
ENISA опубликовало исследовательский доклад «Proactive Detection of Security Incidents: Honeypots», который является продолжением отчета «Proactive Detection of Network Security Incidents». Основная часть документа посвящена  исследованию существующих «ловушек» и связанных с ними технологиями, с уклоном на open-source решения.

Журналы:
Вышел первый номер журнала «Journal Of Cuber Security & Information Systems». 

36 выпуск IN(SECURE) доступен для скачивания. Тема номера: «Security awareness».


Статьи:
Андрей Комаров представил анонс второй версии стандарта "Process Control Domain Security Requirements For Vendors" , который выделяет ряд требований по информационной безопасности АСУ ТП. 

Программное обеспечение:
Вышла новая версия сетевого сканера Nmap 6.25.

WiFi Password Decryptor - бесплатная программа, которая позволяет восстановить пароли от учетных записей беспроводной сети, хранящихся в вашей системе.

Вышла OllyDbg версии 2.01 - бесплатный отладчик уровня машинного кода для операционных систем семейства Windows.

Законодательство:
Федеральный закон Российской Федерации от 29 ноября 2012 г. N 207-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации". Добавили квалифицирующие признаки по компьютерной преступности.

Ресурсы:


Книги:
Liars and Outliers: Enabling the Trust that Society Needs to Thrive
Автор: Bruce Schneier
Язык: английский
Описание: Книга о доверительных отношениях. В ней описываются примеры поведения людей, виды социального давления, а также рассматриваются следующие вопросы: «почему мы хотим доверять людям?», «что мы выиграем от союза с доверчивыми людьми, которым мы (не) можем доверять?».



Virtualization Security: Protecting Virtualized Environments
Автор: Dave Shackleford
Язык: английский
Описание: В книге описаны пошаговые настройки безопасности в гипервизорах от VMware, Citrix и Microsoft,  даны советы и рекомендации по обеспечению непрерывности бизнеса и аварийному восстановлению в случае ЧП в виртуальной среде.


Кит. Мелтон. Офисный шпионаж
Автор: Кит Мелтон (перевод Марии Кульневой)
Язык: русский
Описание: Книга познакомит вас с секретами мастерства лучших специалистов - от шифровки данных и обнаружения "жучков" на рабочем месте до фотографирования конфиденциальных документов и восстановления уничтоженных материалов. Помимо этого авторы рассказывают о реальных случаях, происходивших с профессиональными шпионами в ЦРУ, КГБ, в компаниях из списка Fortune 500 и т.д.

пятница, 30 ноября 2012 г.

Browser Security Handbook. Глава 1, пункт 4


Руководство по безопасности браузеров (Browser Security Handbook). Глава 1



4. Псевдо-протоколы URL


В дополнение к вышеупомянутым подлинным URL-протоколам, современные браузеры поддерживают множество псевдо-протоколов, используемых для реализации дополнительных функций, таких как выделение в самостоятельный элемент  закодированных документов в URL-адресе, обеспечение действующих функций скриптов, предоставление доступа к внутренней информации браузера и представление данных.
Выделение протокола в самостоятельный элемент представляет интерес для любого приложения, обрабатывающего ссылки, т.к. эти методы обычно вводят нестандартный анализ содержания или режим рендеринга поверх уже существующих ресурсов, указанных в конце URL. Основное содержание извлекается с помощью HTTP, найденного в определенном месте (например, в file:///), или полученного с помощью другого обобщенного метода (и в зависимости от того, как эти данные будут потом обработаны), и может выполняться в контексте безопасности, связанного с происхождением этих данных. Например, URL-адрес jar:http://www.example.com/archive.jar!/resource.html будет восстановлен по http-протоколу из http://www.example.com/archive.jar.
Из-за выделения протокола в самостоятельный элемент, браузер будет пытаться обработать полученный файл как java-архив (JAR) и извлечь его, а затем отобразить /resource.html внутри этого архива, в рамках сайта example.com.
Общие выделения протоколов в самостоятельный элемент отражены в таблице 4.

Таблица 4

Название протокола
MSIE7
MSIE8
FF3
Safari
Opera
Chrome
Android
feed (RSS, draft spec)
НЕТ
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
hcp, its, mhtml, mk, ms-help, ms-its, ms-itss (Windows help archive parsing)
ДА
ДА
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
НЕТ
view-cache, wysiwyg (просмотр кэшированных страниц)
НЕТ
НЕТ
ДА
НЕТ
НЕТ
ДА
НЕТ
view-source (просмотр исходного кода страницы)
НЕТ
НЕТ
ДА
НЕТ
НЕТ
ДА
НЕТ
В дополнение к перечисленным существуют также протоколы, используемые для доступа к внутренним функциям браузера и не связанные с веб-контентом. В эти псевдо-протоколы входят: about: (предназначен для отображения информации о встроенных функциях, интерфейсах для настройки и пр.), moz-icon: (используется для доступа к файлу иконки), chrome:, chrome-resource:, chromewebdata:, resource:, res: и rdf: (используются для ссылки на встроенные ресурсы браузера; часто предоставляется с повышенными привилегиями). Как правило, веб-контенту не разрешается напрямую ссылаться на конфиденциальные данные, однако,  они могут быть атакованы на доверенных сайтах при уязвимости в браузере.
И, наконец, существуют псевдо-протоколы, которые разрешают выполнять скрипты или передавать данные, содержащиеся в URL, унаследованные от абонента. Таким образом,  злоумышленник может получить доступ к конфиденциальной информации сайта. Известные протоколы этого типа представлены в таблице 5:

Таблица 5

Имя протокола
MSIE6
MSIE7
MSIE8
FF2
FF3
Safari
Opera
Chrome
Android
data (RFC 2397)
НЕТ
НЕТ
ДА
ДА
ДА
ДА
ДА
ДА
javascript (web scripting)
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
Примечание:  Эти  протоколы имеют и другие названия: псевдонимы для JavaScript - livescript и mocha – протоколы, которые  поддерживались Netscape Navigator и другими ранними браузерами; local работал в некоторых браузерах в качестве псевдонима для file и т.д.