пятница, 27 сентября 2013 г.

Новости ИБ за 20-27 сентября 2013 года



Блоги:

Алексей Лукацкий предложил вернуться к идее единого госоргана по вопросам информационной безопасности, обосновывая свою позицию примерами из жизни; поделился советами по организации мероприятий по информационной безопасности.

Наталья Храмцовская прокомментировала спор, в результате которого Арбитражный суд города Москвы признал, что предоставление правовых актов, содержащих сведения конфиденциального характера, противоречит положениям закона о доступе к государственной информации.

Владимир Безмалый описал методы защиты информации на Android-устройствах встроенными средствами операционной системы.

Статьи:


Обзор круглого стола по проблемам применения ст.9 Закона о национальной платежной системе в пресс-центре «Комсомольской правды».


Исследовательский центр «Лаборатории Касперского» опубликовал отчет, раскрывающий действия кибершпионской группы Icefog.

Набор плагинов для Firefox, позволяющих повысить вашу безопасность.

Журналы:

Документы:
Mobile Security Review - результаты августовского теста антивирусов для Android (англ.). Источник:AV-Comparatives + краткий обзор документа от Владимира Безмалого.

The Global State of Information Security Survey 2014 - отчет о состоянии информационной безопасности в определенной сфере деятельности.

COBIT 5 – русская версия бизнес-модели по руководству и управлению ИТ на предприятии. Настоящий документ включает описание пяти принципов COBIT 5 и определяет семь факторов влияния, которые вместе формируют основу методологии.

Cyber Risk Report: September 16-22, 2013 (англ.) - отчет о компьютерных рисках от Cisco.

Законодательство:
Приказ Министерства внутренних дел Российской Федерации от 15 июля 2013 г. N 538 «О внесении изменений в приказ МВД России от 6 июля 2012 г. N 678 «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации».

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 9 августа 2013 г. N 906 «Об утверждении формы заявления правообладателя о принятии мер по ограничению доступа к информационным ресурсам, распространяющим с нарушением исключительных прав фильмы, в том числе кинофильмы, телефильмы, или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей».


Программное обеспечение:
Portspoof - основная задача программы заключается в повышение безопасности ОС с помощью набора методов, которые увеличивают время для сбора данных о вашем компьютере, например, при сканировании nmap программа покажет, что все порты открыты, хотя, на самом деле, открыт только один порт.

Kvasir – интернет-приложение для управления данными о тестировании на проникновении.

Suricata v1.4.6 - открытая система обнаружения и предотвращения атак.

Аналитика:

Ресурсы:
Материалы конференции DEF CON 1993-2013.

Материалы конференции PKI-Forum Россия 2013.

Материалы конференции Код инфрмационной безопасности 2013.

Материалы Enterprise Mobile Security Forum 2013.

вторник, 24 сентября 2013 г.

Письмо от Робин Гуда

Сегодня на банкир.ру  написал мне Робин Гуд:

"Приветствую ! Для взаимовыгодного сотрудничества ищу работника банка, имеющего доступ к полной информации по холдерам. Территориальное местонахождение РФ, название банка никакого значения не имеет. Без личных встреч, полная анонимность. Слив со счета и обнал этих средств устроим максимум за один день, ваши 10% уже белыми деньгами на любые указанные реквизиты. Работаем как по физикам, так и по корпам. Мы нацелены на продолжительное сотрудничество при доверительных отношениях. Если интересно, пишите в ЛС, либо по контактам : почта pavel.vladimirovich.82@gmail.com, скайп lois.passenger, ася 664177984, джаббер friedrichrotbart@jabber.cz"

Не знаю даже, как на подобные сообщения реагировать и куда посылать/обращаться.
Коллеги, поделитесь опытом.

пятница, 20 сентября 2013 г.

Новости ИБ за 13-20 сентября 2013 года



Блоги:
Михаил Емельянников рекомендует учитывать специфику деятельности оператора, в частности, негосударственного пенсионного фонда, а не использовать общие шаблоны для написания положений и политик по персональным данным.

Обзор книги «Configuration Management Using COBIT 5» от Андрея Прозорова.

Статьи:



Перевод четвертой части книги «Metasploit Penetration Testing Cookbook».


Методы противодействия заражению вредоносным ПО мобильного устройства при его зарядке от USB.


Журналы:



Документы:
UEFI Secure Boot In Modern Computer Security Solutions - в данной статье обсуждаются заблуждения о безопасной загрузке UEFI, приводятся примеры потенциальных вредоносных атак руткитов и буткитов, а также возможные методы противодействия (англ.). Авторы: Richard Wilkins и Ph.D (Phoenix Technologies, Ltd), Brian Richardson (Intel Corporation).

Законодательство:

 
Программное обеспечение:
cvechecker v3.3 – утилита сообщает о возможных уязвимостях системы путем сканирования установленного программного обеспечения и сравнения полученных результатов с базой данных CVE.

Dr.Web v9.0 – средство антивирусной защиты.

Burp Suite Professional v1.5.17Java-приложение для защиты/взлома интернет-приложений.

JBrute v0.93Java-приложение для проведения аудита хеша паролей.

Nexpose v5.7.10 сканер уязвимостей.

Arachni v0.4.5 – сканер безопасности интернет-приложений.

OWASP Zed Attack Proxy v2.2.1 – инструмент для поиска уязвимостей в интернет-приложениях.

Аналитика:
Спам в августе 2013. Источник: Securelist

Ресурсы:
Презентации с XII Всероссийской конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ – 2013».


Бесплатные видеокурсы по хакингу от Offensive Security.

пятница, 13 сентября 2013 г.

Новости ИБ за 6 – 13 сентября 2013 года



Блоги:

Сергей Борисов рассмотрел угрозы и контрмеры по защите файловых ресурсов.

Алексей Лукацкий предложил заменить систему обнаружения вторжений (IPS) системой сетевого поведенческого анализа (network-based behavior monitorig/analysis или network-based anomaly detection).

Андрей Прозоров рассказал, что представляет собой Политика допустимого использования.

Статьи:
Система аутентификации авторизации и учета событий (AAA) в Cisco IOS: схема, методы и настройка аутентификации.

Введение в OSINT (Open-Source Intelligence) (англ.).

Первая часть серии статей «Инструментация — эволюция анализа», в которой говорится об основах и классификации методов инструментации.

Журналы:
(IN)SECURE Magazine Issue 39 (сентябрь 2013).

Документы:
Threat Intelligence Report 2012-2013 H1 - в настоящем отчете рассматриваются актуальные угрозы информационной безопасности, анализируются тенденции интересов мира киберпреступности, даются статистические оценки рынка киберпреступности, приводятся прогнозы относительно его изменения в ближайшее время (2014-2015 г.г.). Автор: Group-IB.

Программное обеспечение:
OWASP Broken Web Applications Project VM v1.1 – образ виртуальной машины в VMware-формате с уязвимыми интернет-приложениями.

SecureCheq v1.0 – утилита для проведения аудита настроек безопасности в операционных системах семейства Windows.

Kaspersky Internet Security 2014 – средство антивирусной защиты.

Passive Vulnerability Scanner v4.0 – анализатор сетевого трафика.

Аналитика:

DDoS-атаки первого полугодия 2013 года. Источник: Лаборатория Касперского.

Мероприятия:
Конкурс по программированию от компании «Код Безопасности».

PentesterAcademylab Challenge 1 - задания по тестированию на проникновение для новичков (англ.).

Ресурсы:
Запись вебинара от компании LETA от 04.09.2013г. на тему «Управление информационной безопасностью в соответствии с ISO/IEC 27001:2005».

Видеозапись с круглого стола «Киберугрозы и их влияние на оффлайн» на РИА «Новости».

Видеозапись лекции о мобильных угрозах от Владимира Безмалого в Кишиневе на факультете Защиты, Охраны и Безопасности.

среда, 11 сентября 2013 г.

ufologists CTF Team



Для участия в таганрогской команде CTF приглашаются студенты и студентки!
CTF - «спортивное многоборье» по компьютерной безопасности, играя в которое, можно получить следующие полезные навыки:

• Администрирование различных систем и сетей;
• Аудит безопасности систем и сетей;
• Анализ исходных кодов и скриптов на наличие уязвимостей;
• Анализ исполняемых файлов на наличие уязвимости;
• Программирование;
• Работа в команде над «реальными» задачами.

Таким образом, игра рекомендуется для студентов-защитников информации, администраторов и прочих заинтересованных IT-специалистов. Если ты молод (студент), имеешь пытливый ум и интересы в области компьютерной безопасности или хочешь их обрести, то тебя может заинтересовать эта новость!

По вопросам участия в команде обращаться по адресу: г. Таганрог, ул. Чехова, 2 (корпус "И" ТТИ ЮФУ), ауд. И–423.

Сайт команды: ufologists.ufoctf.ru
E-mail: ufologists(собака)gmail(точка)com

пятница, 6 сентября 2013 г.

Новости ИБ за 30 августа - 6 сентября 2013 года



Блоги:

Владимир Матвийчук привел пример медвежьей услуги неграмотного уведомления об уязвимости в Android-приложении.

Рассмотрение судебного дела о принятии банком платежного поручения, подписанного сертификатом ключа подписи, принадлежащего бывшему генеральному директору общества.

Статьи:

Агентство национальной безопасности (АНБ) США и его британский аналог нашли способы обходить криптографическую защиту в интернете.


Документы:
Penetration Test Report 2013 – пример отчета о результатах тестирования на проникновение от Offensive Security (англ.).

Personal Backup and Recovery – вкратце описывается для чего и как нужно производить резервное копирование (англ.). Автор: SANS.

NIST SP800-63-2. Electronic Authentication Guideline – обновленная версия стандарта, в котором рассматривается удаленная аутентификация пользователей при взаимодействии с государственными информационными системами через Интернет (англ.).

FIPS 201-2 "Personal Identity Verification of Federal Employees and Contractors" – пересмотренный стандарт описывает требования к аутентификации учетных данных в соответствии с новыми технологиями, включая поддержку мобильных устройств (англ.).

Законодательство:
Роскомнадзор разъяснил вопросы отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенности их обработки + комментарии Михаила Емельянникова, Артема Аветяна, Натальи Храмцовской (комментарии Алексея Лукацкого на ее комментарии).

Программное обеспечение:
SpiderFoot v2.0.4 – утилита с открытым исходным кодом для сбора данных о домене: субдоменах, e-mail, версии ПО сервера и пр.

BREACH – утилита для  тестирования на проникновение, с помощью которой можно проверить свой сайт на предмет слабости HTTPS - BREACH-атаки на TLS/SSL.

Аналитика:


Мероприятия:

20.09.2013. Online-трансляция VI конференции DLP-Russia 2013.

понедельник, 2 сентября 2013 г.

Шаблоны документов по персональным данным

   Решил с вами поделиться образцами документов по персональным данным (приказы, инструкции, политики и пр.).

   Весь материал был найден на просторах глобальной паутины.

   Также призываю всех читателей оставлять ссылки на похожий материал в комментариях к данному посту.
 

Дополнительные источники:
http://lukatsky.blogspot.ru/2012/07/100.html - шаблоны от Алексея Лукацкого

http://securitypolicy.ru - документы по информационной безопасности от
проекта SecurityPolicy.ru

http://cdat.ru/content/view/88/ -  сборник типовых документов от ООО "Благовест-В"

http://www.wikisec.ru -  энциклопедию информационной безопасности

http://www.quickdoc.ru/zashita_personalnyh_dannyh/ - конструктор документов FreshDoc, в частности, по ПДн 

Browser Security Handbook. Глава 1, пункт 11

Руководство по безопасности браузеров (Browser Security Handbook). Глава I

§ 11. Другие встроенные форматы документов

Современные средства визуализации браузера, как правило, поддерживают дополнительный набор мультимедийных форматов, которые могут отображаться на странице в виде отдельных документов. Их можно разделить на две группы:

- Простые форматы данных. Они включают в себя простые текстовые данные или изображения (JPEG, GIF, BMP и т.д.),  для которой браузер выделяет основную визуализацию холста (область рисунка) и заполняет её статическими данными. В принципе последствия для безопасности не возникают с этими типами данных, поскольку никакие вредоносные полезные нагрузки не могут быть встроены в сообщение (за исключением крупных и довольно редких ошибок реализации). Помимо распространенных графических форматов, некоторые браузеры могут также поддерживать другие нетипичные или устаревшие медиа-форматы, например, воспроизведение MIDI-файлов, указанных в теге <BGSOUND>.

- Обогащенные форматы данных. К данной категории в основном относятся XML-форматы (SVG, RSS, Atom); помимо исходных данных, эти форматы документов содержат различные инструкции визуализатора, подсказки или условные выражения.

Из-за принципа работы XML, каждый основанный на нем формат имеет два важных последствия для безопасности:

- Во-первых, вложенные пространства имен XML могут быть определены, и, как правило, не сверяться с MIME-типом, позволяя встраивать их в HTML, например, в image/svg+xml.
- Во-вторых, эти форматы могут, фактически, поступать с условиями для нестандартного внедрения в HTML или полезными нагрузками Javascript или встроенным сценарием, допуская HTML-инъекцию, даже если у атакующего нет прямого управления структурой документов XML.

Один из примеров документа, с MIME-типом image/svg+xml, который будет по-прежнему выполнять сценарии для большинства современных браузеров, выглядит следующим образом:

<?xml version="1.0"?>
  <container>
    <svg xmlns="http://www.w3.org/2000/svg">
      [...]
    </svg>
    <html xmlns="http://www.w3.org/1999/xhtml">
      <script>alert('Hello world!')</script>
    </html>
  </container>

Кроме того, SVG изначально допускает встроенные сценарии и обработчики событий; во всех браузерах, поддерживающих SVG, эти сценарии выполняются при загрузке изображения в качестве документа верхнего уровня, и игнорируются, когда представлены через тег <IMG>.
Работа некоторых встроенных типов документов,  не являющихся HTML, описаны в таблице № 12:
 Таблица №12
Описание теста
MSIE6
MSIE7
MSIE8
FF2
FF3
Safari
Opera
Chrome
Android
Поддержка растровых форматов (кроме JPG, GIF, PNG)
BMP, ICO, WMF
BMP, ICO, WMF
BMP, ICO, WMF
BMP, ICO TGA*
BMP, ICO TGA*
BMP TIF
BMP*
BMP, ICO
BMP, ICO
Поддержка XML
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
ДА
Поддержку RSS-канала
НЕТ
ДА
ДА
ДА
ДА
ДА
ДА
НЕТ
НЕТ
Поддержка Atom-канала
НЕТ
ДА
ДА
ДА
ДА
ДА
ДА
НЕТ
НЕТ
Выполнение javascript в каналах
(ДА)
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
(ДА)
(ДА)
javascript: или data: URL разрешены в каналах?
n/a
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
НЕТ
n/a
n/a
Спецификации CSS разрешены в каналах?
n/a
НЕТ
ДА
ДА
ДА
НЕТ
ДА
n/a
n/a
Поддержка SVG
НЕТ
НЕТ
НЕТ
ДА
ДА
ДА
ДА
ДА
НЕТ
Может image/svg+xml документ содержать HTML xmlns полезную нагрузку?
(ДА)
(ДА)
(ДА)
ДА
ДА
ДА
ДА
ДА
(ДА)
* Поддержка формата ограничена или нарушена.

Любопытно, что Vector Markup Language (VML), основанный  на XML, изначально не поддерживается в визуализации, и реализован в виде плагина, в то время как Scalable Vector Graphics (SVG) реализован в качестве основного компонента виртуализации во всех браузерах, которые его поддерживают.