пятница, 22 февраля 2013 г.

Новости ИБ за 15 – 22 февраля 2013 года



Блоги:
Из-за позиции церкви свернули проект по внедрению универсальной электронной карты.

Если СМИ часто пестрят новостями о кибератаках, это не значит, что они происходят так же часто.  Рассуждения Брюса Шнайера о кибервойне (англ.).

Одной из самых актуальных тем является анализ качества кода. Алексей Лукацкий рассказал, в каких документах можно найти эти требования и какие компании предоставляют услуги по анализу кода.

Статьи:
Дополнения Firefox для специалистов по информационной безопасности и веб-разработчиков.

Действия, которые необходимо предпринять ответственному за организацию обработки ПДн, чтобы пройти проверку Роскомнадзора.
  
Программное обеспечение:
DNSChef – настраиваемы прокси-DNS для пентестеров и вирусных аналитиков.

Ресурсы:
FireCAT (Firefox Catalog of Auditing exTensions)каталог расширений Firefox, предназначенных для аудита и оценки безопасности.

пятница, 15 февраля 2013 г.

Новости ИБ за 8 – 15 февраля 2013 года



Блоги:
Михаил Емельянников рассмотрел случаи мошенничества, совершаемые инсайдерами. Стоит уделять внимание угрозе, исходящей, как со стороны клиентов, так и со стороны сотрудников.

8 советов, позволяющих спокойно пройти таможню или, по крайней мере, не волноваться за информацию, если ваш ноутбук конфисковали.

5 основных вопросов, которые необходимо задавать в ходе каждого пересмотра планов непрерывности бизнеса.

Статьи:
Обеспечить безопасность веб-ресурса на сервере поможет связка Nginx + PHP-FPM.

Взлом LM-хэшей (LanMan) с помощью радужных таблиц. Рекомендуемые методы защиты – использовать пароль, имеющий длину не менее 15 символов, либо запретить хранить хеш-значения LAN Мanager для пароля в Active Directory и локальных базах данных SAM

Сайты по информационной безопасности тоже имеют уязвимости. В комментариях дискуссия на тему: «Кто круче: «Безопасник-практик» или «безопасники-теоретики»?». 

Acadion Security подготовил статью «Cross Site Request Forgery. Vulnerability overview. White paper», в которой рассматриваются теоретическая и практическая части CSRF-атаки, а также решения по её предотвращению (англ.). 

Программное обеспечение:
ScanNow – бесплатный сканер уязвимостей UPnP-протоколов.

theHarvester v2.2a – программа осуществляет сбор e-mail-адресов, субдоменов, хостов, данных о сотрудниках, открытых портах и баннеров из различных открытых источников: поисковые системы, серверы ключей PGP и базы данных SHODAN.

Вебинары:

19 февраля 2013 г. в 11:00. Тема: «Практические аспекты проведения теста на проникновение» от ДиалогНаука. 

Ресурсы:
Universal Plug and Play. Router Security Check – тестирование ваших сетевых устройств (маршрутизаторов, принтеров, NAS, Smart TV и пр.) на наличие уязвимостей для атаки через UPnP-протокол.

Ophcrack – бесплатный взломщик windows-паролей, основанный на радужных таблицах.

Kaspersky Whitelist - база данных «чистых» программ по версии «Лаборатории Касперского».

Ethical Hacking Blog - ресурс посвящен этичному хакингу и тестированию на проникновение.

«Завтра не умрет никогда» - запись фильма о киберугрозах.

пятница, 8 февраля 2013 г.

Новости ИБ за 1 – 8 февраля 2013 года



Блоги:
Для хакеров, взламывающих аккаунты соцсетей, наибольшую ценность представляет не конфиденциальная информация, а доверительные отношения между пользователями.


Несколько полезных и актуальных магических квадрантов Gartner от Андрея Прозорова и Сергея Борисова.

Советы по защите от QRishing (нанесение вредоносного QR-кода поверх официального).

Владимир Матвийчук ответил на вопросы «почему не работает управление рисками?» и «что влияет на показатели эффективности (KPI)   

Артем Агеев рассказал, на что следует обратить внимание, если организацию ожидает проверка из ФСБ по ПДн; затронул тему кибервойн.

Ми­ха­и­л Еме­льян­ни­ко­в про­ком­мен­ти­ро­вал требования, описанные в По­ста­нов­ле­нии Пра­ви­тель­ства РФ № 1119 «Об утвер­ждении тре­бо­ва­ний к за­щи­те пер­со­наль­ных дан­ных при их об­ра­бот­ке в ин­фор­ма­ци­он­ных си­сте­мах пер­со­наль­ных дан­ных», и ре­ак­цию на них со сто­ро­ны рос­сий­ско­го биз­не­са.

Алексей Лукацкий поведал историю о взломе счета в одном крупном банке и о мерах предотвращения подобных взломов; составил список нормативов, регулирующих защиту ДБО; прокомментировал новые методические рекомендации Банка России по безопасности ДБО. 

Документы: 
На сайте программы США по сертификации средства защиты информации — NIAP Common Criteria Evaluation and Validation Scheme for IT Security — опубликован «Профиль защиты для операционных систем общего назначения» (General-Purpose Operating System Protection Profile). 
PCI DSS E-commerce Guidelines v2.0 – руководство по электронной коммерции. 
PCI DSS Cloud Computing Guidelines v2.0 - руководство по «облакам» (обзор документа от Андрея Комарова).


Статьи:
Артем Баранов, ведущий вирусный аналитик компании «Eset», рассказал об обнаруженных угрозах для ОС Linux и об атаках на нее. 

Программное обеспечение:
Вышел Wireshark 1.8.5 - анализатор сетевых протоколов.

Релиз Nexpose 5.5.8 - сканера уязвимостей.

Мероприятия:

Ресурсы:
Презентации с Инфорума 2013.

Книги:
Security Engineering: A Guide to Building Dependable Distributed Systems (1 редакция, 2 редакция).
Автор: Рос Андерсен (Ross Anderson)
Язык: английский
Описание: Бесплатные версии книги о том, как выстроить защиту и встроить ее в систему для большей эффективности.

пятница, 1 февраля 2013 г.

Новости ИБ за 25 января – 1 февраля 2013 года



Блоги:
Андрей Прозоров предложил список задач на 2013 для операторов ПДн.

Брюс Шнайер сравнивает насилие с заразной болезнью (англ.). Перевод на русском от журнала «Хакер». 

Документы:
ГОСТ Р 53647.6-2012 "Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных". Комментарии Михаила Емельянникова и Андрея Прозорова.

ГОСТ Р 52633.6-2012 «Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу «Свой».


НП «Национальный платежный совет» и Ассоциация российских банков утвердили новую редакцию «Методические рекомендации о действиях при выявлении хищения денежных средств в системах ДБО».

Компания «Доктор Веб» опубликовала информационные бюллетени (дата составления: сентябрь – октябрь 2012 г.), посвященные темам «ботнеты», «безопасность локальных сетей», «мобильные устройства как угроза безопасности сетей компаний и домашних компьютеров пользователей» и «банковские троянцы».
Руководство по безопасности мобильной среды - русскоязычный вариант документа Security Guidance for Critical Areas of Mobile Computing (ноябрь 2012 г.) от «НИИ СОКБ».

Новые публикации COBIT Assessment Programme. 

Статьи:
Полицейские из штата Висконсин создали онлайн-карту, на которой фиксируются места задержания пьяных водителей и их персональные данные. Как утверждают создатели «Project Sober Streets», чувство стыда позволяет снизить количество правонарушений. Подобную методику можно применять к работникам, которые нарушают политику информационной безопасности организации. 
  
Вторая часть статьи «Анонимный веб-сёрфинг», посвященная обнаружению и блокированию трафика анонимайзера (ссылку на первую часть найдете внутри).

Прошло награждение за лучший продукт по защите от вредоносных программ 2012 года в категориях «защита», «восстановление после заражения» и «удобство использования» по версии AV-TEST. Лучшим выбором для дома признаны продукты от компаний F-Secure, BitDefender и Symantec, победителями среди корпоративных продуктов признаны решения от Касперского и Symantec.

Информационно-аналитический журнал для операторов персональных данных опубликовал статью «О разъяснениях Роскомнадзора…», в которой говорится о статусе разъяснений, подготовленных по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В. от 14 декабря 2012 года, правовыми последствиями их применения, а также о том, как использовать разъяснения в практической деятельности оператора персональных данных.

Программное обеспечение:
OPSWAT Security Score – бесплатная утилита, которая сканирует ваш ПК на наличие установленных приложений по безопасности после чего выставляет оценку с рекомендациями по повышению уровня защиты.

Metasploit 4.5.2 (Update 2013013001) – появилось 13 новых модулей, устранено 5 проблем. 

Вебинары:
5 февраля 2013 года в 10.00, «Запуск нового бизнеса и нового продукта в корпоративной безопасности». Мастер-класс проводится при поддержке партнера RISSPA – компании Zecurion.


Мероприятия:
14 марта 2013 года. Всероссийская отраслевая конференция «Безопасность критический важных объектов ТЭС». Регистрация.

Законодательство:
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 3 декабря 2012 г. N 1255 "Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций". 

Ресурсы:
«Персональные данные» — информационно-аналитический журнал для операторов персональных данных.

Запись телепрограммы «Сенат»: киберпространство» - выпуск посвящен кибербезопасности.


Digital Security Research Group (DSecRG) - исследовательский центр компании Digital Security, основной задачей которого является поиск и исследование уязвимостей в различных приложениях и системах.