Новости ИБ за 13-20 сентября 2013 года

Блоги:

Михаил Емельянников рекомендует учитывать специфику деятельности оператора, в частности, негосударственного пенсионного фонда, а не использовать общие шаблоны для написания положений и политик по персональным данным.

Обзор книги «Configuration Management Using COBIT 5» от Андрея Прозорова.

Статьи:

Защита данных от уязвимости «небезопасное криптографическое хранилище» (Insecure Cryptographic Storage) (англ.).

Взлом WordPress при помощи XSS, обход WAF и получение shell-доступа.

10 приложений для обеспечения безопасности вашего iPhone.

Перевод четвертой части книги «Metasploit Penetration Testing Cookbook».

Технологии безопасности Windows Server 2012.

Методы противодействия заражению вредоносным ПО мобильного устройства при его зарядке от USB.

5 хакерских инструментов в помощью безопаснику: Vega, OVAL, Scuba, Drozer PwnPad (англ.).

Журналы:

Hacker5 Issue 12 (September 2013)

PenTest OPEN Issue 7 (September 2013)

Журнал "Information Security/ Информационная безопасность" #4, 2013

Документы:

UEFI Secure Boot In Modern Computer Security Solutions - в данной статье обсуждаются заблуждения о безопасной загрузке UEFI, приводятся примеры потенциальных вредоносных атак руткитов и буткитов, а также возможные методы противодействия (англ.). Авторы: Richard Wilkins и Ph.D (Phoenix Technologies, Ltd), Brian Richardson (Intel Corporation).

Законодательство:

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 г. «Об утверждении требований и методов по обезличиванию персональных данных».

Банк России ответил на вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года № 382-П.

 

Программное обеспечение:

cvechecker v3.3 – утилита сообщает о возможных уязвимостях системы путем сканирования установленного программного обеспечения и сравнения полученных результатов с базой данных CVE.

Dr.Web v9.0 – средство антивирусной защиты.

Burp Suite Professional v1.5.17 – Java-приложение для защиты/взлома интернет-приложений.

JBrute v0.93 – Java-приложение для проведения аудита хеша паролей.

Nexpose v5.7.10 – сканер уязвимостей.

Arachni v0.4.5 – сканер безопасности интернет-приложений.

OWASP Zed Attack Proxy v2.2.1 – инструмент для поиска уязвимостей в интернет-приложениях.

Аналитика:

Спам в августе 2013. Источник: Securelist

Ресурсы:

Презентации с XII Всероссийской конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ – 2013».

Бесплатный пробный тест для претендентов на сертификацию CISA.

Бесплатные видеокурсы по хакингу от Offensive Security.