Новости ИБ за 19 – 26 апреля 2013 года

Блоги:

Алексей Лукацкий рассмотрел примеры атак третьего поколения и методы борьбы с ними.

Статьи:

Ленни Зельцер (Lenny Zeltser) опубликовал список бесплатных сервисов для автоматизированного анализа вредоносных программ (англ.).

Советы по проверке фактов (факт-чекингу) от «Касперского», которые помогут выявить недостоверную информацию: сомнительную новость, запись в блоге и пр.

Сравнение функциональных возможностей бесплатных антивирусов. Данное исследование является аналитическим и показывает возможности рассматриваемых антивирусов, а не эффективность их работы.

Причины, по которым не стоит афишировать в социальных сетях свое местоположение.

Компания «Demyo Inc.» делится приемами по обнаружению вторжения в систему и рекомендациями по защите от подобных вторжений.

VirusTotal научился анализировать дампы сетевого трафика в формате PCAP на предмет выявления всевозможных вредоносных программ (англ.).

Документы:

The 2013 Data Breach Investigations Report – доклад об утечке конфиденциальных данных за 2012 год (англ.).

Comparative Penetration Testing Analysis Report v2.0. CloudFlare vs Incapsula vs ModSecurity - сравнение web application firewall (WAF) от компании «Zero Science Lab» (англ.).

ENISA CERT training material - обновленные материалы ENISA CERT 2012 года (англ.).

World Hosts Report (март 2013 г.) – доклад компании «HostExploit» о 50 наиболее опасных хостингах всего мира (англ.).

Киберразведывательная деятельность в целях защиты информационных активов. Руководство - пособие построено на основе практического опыта автора и мировых лучших практик. Автор - Александр Бодрик.

Законодательство:

Приказ Федеральной службы безопасности Российской Федерации от 28 декабря 2012 г. N 683 г. «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации».

Приказ Министерства юстиции Российской Федерации (Минюст России) от 21 марта 2013 г. N 36 «Об утверждении перечня персональных данных, обрабатываемых в Министерстве юстиции Российской Федерации в связи с реализацией трудовых отношений, а также типовой формы согласия на обработку персональных данных федеральных государственных гражданских служащих Министерства юстиции Российской Федерации и иных субъектов персональных данных».

Минюст утвердил подготовленный Роскомнадзором перечень стран, не являющихся сторонами Конвенции Совета Европы.

Программное обеспечение:

Brakeman v1.9.5 - инструмент осуществляет статический анализ приложений, написанных на Ruby on Rails, для выявления уязвимостей.

Vega v1.0 RC84 – инструмент с открытым исходным кодом для проверки безопасности веб-приложений.

Smartphone Pentest Framework (SPF) v.0.1.7 – фреймворк для тестирования на проникновение смартфонов.

Encrypted Disk Detector (EDD) v2 – утилита для обнаружения зашифрованных дисков.

Nessus v5.2 – сканер уязвимостей.

Mobius Forensic Toolkit v0.5.18 — фреймворк для проведения экспертизы компьютерными криминалистами.

Nexpose v5.6 – сканер уязвимостей

Ресурсы:

Материалы с вебинара «Как готовилось первое экспертное исследование рынка ИБ».

hak5.org  - англоязычный видеоблог по информационной безопасности.

Юмор. Out of Your Password Minder

Новости ИБ за 12 – 19 апреля 2013 года

Блоги:

Андрей Прозоров рассмотрел руководящие документы и стандарты по повышению осведомленности и обучению персонала, в частности, NIST 800-50, которые могут быть полезны при разработке собственной политики.

Владимир Безмалый описал процесс полного удаления средств антивирусной защиты от различных производителей в тех случаях, когда это невозможно сделать с помощью штатных средств Windows.

Статьи:

Скрытное подсоединение к оптоволокну: методы и предосторожности.

Атаки на Bluetooth и методы защиты.

Реверс-инжиниринг NET-приложений. Часть 4, часть 5. В данных частях рассматриваются методы циклической разработки и преимущества, которые они могут дать реверс-инженеру.

Руководство по настройке безопасности в социальных сетях «Facebook» и «Вконтакте».

Юрий Квичко (Yori Kvitchko) описал полезный метод, позволяющий просмотреть бинарный файл на содержание в нем HTTP- или HTTPS-ссылок штатными средствами ОС (англ.).

Журналы:

4:mag Issue #1 – первый выпуск журнала по цифровой криминалистике.

Information Security/Информационная безопасность #2/2013.

Документы:

Microsoft Security Intelligence Report Volume 14 – отчет об уязвимостях и вредоносном ПО за второе полугодие 2012 года.

Аналитический обзор инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств (второе полугодие2012). Комментарии Александра Бондаренко.

Программное обеспечение:

Cuckoo Sandbox v0.6 – программа с открытым исходным кодом для автоматизированного анализа подозрительных файлов.

The Social-Engineer Toolkit (SET) v5.0 - фреймворк, который используется для тестирования на проникновение.

Recon-ng – фреймворк для веб-разведки , получающий сведения из открытых источников.

Ресурсы:

Питон для реверс-инжиниринга - база из различных инструментов для реверс-инжиниринга и анализа безопасности приложений на языке Python от «Digital Security».

Информационные сообщения (постеры) по информационной безопасности от SANS.

Запись вебинара «Требования ФСБ для получения лицензии на работу с шифровальными средствами».

MalwareSigs – сайт призван помочь сетевым аналитикам обнаружить вредоносный код.

urlQuery - бесплатный сервис для тестирования и анализа интернет-ресурсов; помогает идентифицировать вредоносное содержимое на сайтах.

Новости ИБ за 5 – 12 апреля 2013 года

Блоги:

Алексей Лукацкий утверждает, что большинство компаний не обеспечивают должного уровня информационной безопасности, т.к. основные средства расходуются на защиту периметра, оставляя без внимания защиту инфраструктуры (внутренней сети), приложений и данных; опубликовал 6 аксиом, о которых необходимо знать специалисту по ИБ.

Андрей Прозоров рассмотрел ответы на вопрос «Разрешено ли сотрудникам обрабатывать на мобильных устройствах конфиденциальную информацию компании?», которые могут быть полезны при разработке политики по использованию мобильных устройств в организации.

Александр Бондаренко поделился ссылками на инструменты для тестирования ИТ-инфраструктуры на защищенность.

Статьи:

Банк России вводит с мая новую форму отчетности, в которой банки должны фиксировать все инциденты, связанные с использованием платежных карт.

Реверс-инжиниринг NET-приложений: часть 1, часть 2, часть 3.В статьях рассмотрены основы исследования NET-приложений, механизм компиляции, базовые концепции защиты и многое другое.

Популярные мошеннические сообщения,  открытие которых влечет за собой переход по опасной ссылке либо загрузку вредоносного вложения.

Документы:

Ежегодный отчёт «State of Software Security» от компании Veracode.

Исследование. Рынок информационной безопасности РФ + обзор рынка информационной безопасности Украины.

Программное обеспечение:

REMnux v4 – Linux-дистрибутив для обратной разработки (reverse-engineering) вредоносных программ.

Metasploit v4.6.0 – фреймворк с открытым исходным кодом для тестирования на проникновение.

Samhain v3.0.11 – хостовая система обнаружения вторжений с открытым исходным кодом.

Viproy VoIP Penetration Testing Kit – набор утилит для тестирования на проникновение протокола передачи данных (SIP).

Вебинары:

16 апреля 2013 года в 10.00, тема: «О первом экспертном исследовании рынка информационной безопасности» от RISSPA при поддержке компании «Zecurion».

16 апреля 2013 в 11:00, тема: «Практические аспекты проведения аудита информационной безопасности компании» от «ДиалогНаука».

Ресурсы:

Материалы с HITB Security Conference 2013

Cybersecurity Framework – фреймворк для снижения киберрисков в критических инфраструктурах

Новости ИБ за 29 марта – 5 апреля 2013 года

Блоги: 

Рассмотрение дела (дело № А19-7241/2012) о правомочности претензий Роскомнадзора в отношении порядка обработки персональных данных сотрудников.

Алексей Лукацкий опубликовал рекомендации по коллективной работе над нормативными документами по защите информации. 

Документы: 

Trustwave Global Security Report 2013 – отчет по безопасности. Краткий обзор документа от Александра Бондаренко. 

Программное обеспечение: 

Wireshark версии 1.9.2 - анализатор сетевых протоколов. 

Bluelog v1.1.1 – bluetooth-сканер. 

Acunetix Web Vulnerability Scanner v.8 – сканер уязвимостей. 

Binwalk v1.2 – утилита для исследования прошивок 

AppUse – виртуальная машина для тестирования на проникновение Android-устройств (аналог Backtrack). 

Вебинары: 

10 апреля 2013 г. в 12:00, тема «Требования ФСБ для получения лицензии на работу с шифровальным средствами. Примеры из практики» от DLP Expert и ЦИБИТ. 

Ресурсы: 

Peneteration Testing Lab - проект по информационной безопасности, где каждый может попрактиковаться в этичном взломе и тактической защите. 

Материалы с «РусКрипто 2013». 

Видео о SDL и наиболее опасных ошибках ПО с конференции «Microsoft Secure Software Development 2013».

Browser Security Handbook. Глава 1, пункт 7

 Руководство по безопасности браузеров (Browser Security Handbook). Глава 1 

6. Язык разметки гипертекста (HTML)

7.         Объектная модель документа (DOM)

C развитием интернета и концепции программирования на клиентской стороне, возникла потребность в HTML-документе, который должен был быть доступен программно и изменяться «на лету» в ответ на действия пользователей. Реализовать данные задачи позволяет «объектная модель документа».

Объектная модель документа (Document Object Model) - это не зависящий от платформы и языка программный интерфейс, позволяющий программам и скриптам получить доступ к содержимому HTML, XHTML и XML-документов, а также изменять содержимое, структуру и оформление таких документов. Например, для доступа в документе к значению первого тега <INPUT> через DOM может быть использован следующий javascript:

document.getElementsByTagName('INPUT')[0].value

Также объектная модель документа согласно определенным проверкам безопасности позволяет ссылаться сторонним документам, которые будут обсуждаться позднее; например, следующий код получает доступ к тегу <INPUT>  во втором  <IFRAME> на текущей странице:

document.getElementsByTagName('IFRAME')[1].contentDocument.getElementsByTagName('INPUT')[0].value

Иерархия DOM-объекта, как замечено программистами, начинается с подразумеваемого корневого объекта, называемого defaultView или глобальным; все скрипты, запускаемые на странице имеют defaultView, т.е. стандартный контекст имени (принимаемый по умолчанию). Этот корневой объект имеет следующие элементы:

- различные свойства и методы, касающиеся специфичного для текущего документа окна или фрейма. Свойства включают: размеры окна, текст строки текущего состояния, ссылки на источник, верхний уровень, и владельца (начало) defaultView-объектов. Методы разрешают скриптам изменять размеры, перемещать, изменять фокус или оформление текущих окон, выводить на экран виджеты или, как ни странно, устанавливать JavaScript-таймеры, чтобы выполнить код после определенного интервала "ожидания".

 - все текущие скрипты глобальных переменных и функций.

 - defaultView.document – высокоуровневый объект, для действующей объектной модели документа. Эта иерархия представляет все элементы документа вместе с их определенными методами и свойствами, а также объектными функциями поиска по документу, например, getElementById, getElementsByTagName, и т.д. Выбор специфичного для браузера собственного API[5] обычно присутствует поверх общей функциональности, например, document.execCommand в Internet Explorer.

 - defaultView.location - описывает текущее расположение документа, в качестве непроанализированной строки, и разделенный на проанализированные сегменты; обеспечивает методы и механизмы включения свойств, которые позволяют скриптам осуществлять переходы на другие сайты.

- defaultView.history - имеет три метода для возврата на ранее посещенные страницы.

- defaultView.screen - описывает свойства устройства отображения клиента: информацию о разрешении экрана в пикселях, dpi и т.п.

 - defaultView.navigator - содержит информацию о браузере клиента, версии операционной системы или дополнительных программных модулях (плагинах).

- defaultView.window - справочная запись, которая ссылается на корневой объект; представляет собой окно браузера,  которое создается автоматически при каждом запросе тегов <body> и <frame>.

В сочетании, элементы корневого объекта «screen», «navigator» и «windows» содержат достаточно информации для идентификации любой машины.

Действия DOM практически не отражаются на безопасности сайта, за исключением междоменных и междокументных прав доступа, описанных в последующих главах.  Однако стоит отметить, что DOM-методы представляют собой оболочки, обеспечивающие доступ для реализации внутренних структур данных, которые могут не подчиняться правилам языка JavaScript, случайно переключаться между ограниченными и ASCIZ-строками и т.д. Подобные особенности DOM могут отразиться на механизмах безопасности браузера. Некоторые такие особенностей описаны в таблице №9:

Таблица №9

Описание теста	MSIE7	MSIE8	FF3	Safari	Opera	Chrome	Android
window такой же объект, как и window.window?	НЕТ	НЕТ	ДА	ДА	ДА	ДА	ДА
document.URL перезаписываемый?	ДА	ДА	НЕТ	НЕТ	НЕТ	НЕТ	НЕТ
Встроенные объекты DOM могут быть затерты?	перезаписаны	перезаписаны	скопированы	скопированы	перезаписаны	перезаписаны	скопированы
getElementsByName ищет по ID=значение?	ДА	ДА	НЕТ	НЕТ	ДА	НЕТ	НЕТ
.innerHTML обрезает нулевые значения?	ДА	НЕТ	НЕТ	НЕТ	ДА	НЕТ	НЕТ
location.* обрезает нулевые значения?	ДА	ДА	ДА	ДА	ДА	НЕТ	НЕТ

Примечание: * - возможный подход для поиска полей ввода или вывода при изменении нескольких страниц из скриптов, но это не очень практично, потому что  большинство скриптов обращаются к document.getElementById() методу для однозначной идентификации элементов, независимо от их текущего расположения на странице. Хотя для тегов в HTML-документах ID=параметр, нет гарантии, что он  будет уникальным. В настоящее время,  у основных браузеров приоритет имеет первое событие.

[5] – от application programming interface – программный интерфейс приложения.