понедельник, 28 октября 2013 г.

пятница, 25 октября 2013 г.

Новости ИБ за 18 - 25 октября 2013 года



Статьи:

TrueCrypt подвергнут независимому аудиту.

Сюжеты из кинофильмов, в которых засветилась утилита Nmap (англ.).

Законопроект «О персональных данных» успешно прошел рассмотрение в Совете Федерации + комментарии Михаила Емельянникова.

Взлом «Transcend WiFi SD»-карт. Статья написана с намерением поиска и использования багов, часть из которых позволяют аутентифицироваться под root’ом, а также для определения эксплоита, позволяющего это сделать.

Журналы:
Security Kaizen Magazine 11 Issue (oct./Dec. 2013) – журнал по информационной безопасности.

Документы:
Five Principles for Shaping Cybersecurity Norms - принципы, которые должны лежать в основе международных обсуждений по «нормам кибербезопасности» (англ.). Источник: Microsoft.



Концепция работы с любыми устройствами (Any Device) Cisco - это планирование производительного, безопасного и конкурентоспособного будущего - рассматриваются этапы и бизнес-решения, которые лица, ответственные за информацию, безопасность, информационные технологии и разработку средств защиты информации, должны рассматривать в начале пути к использованию любых устройств.. Источник: Cisco.

Квартальный отчет PandaLabs (апрель - июнь 2013) - статистика угроз, полученная от облачной системы сканирования вредоносных программ, за 2 квартал.

Программное обеспечение:
FGscannerperl-скрипт для поиска на веб-сервере скрытых страниц и каталогов, которые не индексируются.

Ghiro – утилита для цифровой криминалистики, позволяющая проводить анализ изображений.

mimikatz v2.0 - утилита для восстановления паролей в среде Windows.

OWASP Xenotix XSS Exploit Framework V4.5 – фреймворк для обнаружения и эксплуатации уязвимостей.

Аналитика:
Статистика кибератак за сентябрь 2013г. (англ.). Источник: Hackmageddon.com.

Спам в сентябре 2013. Источник: Лаборатория Касперского.

Ресурсы:


BugsCollector - база данных уязвимостей (см. описание сервиса).

Видеовыступления с Infobez-Expo 2013.

Digital Attack Map – карта DDOS-атак в режиме реального времени.

На сайте проекта "Так Безопасно!" опубликована новая партия картинок-плакатов-скринсейверов.

Популярно об информационной безопасности – проект от BISA (бывший DLP-Эксперт); сборник коротких видеолекций, повествующих об основах информационной безопасности.

Видео. Осведомленность работников в области информационной безопасности


вторник, 22 октября 2013 г.

Проведение самооценки по требованиям СТО БР ИББС-1.0

В связи с периодическим проведением самооценки в своей организации я выработал ряд рекомендаций, которые помогают мне в данном процессе:

1. Оценка частного показателя не должна быть выше оценки уточняющего вопроса. Чтобы оценки зависимых частных показателей были высокими, желательно добиться всех "1" в уточняющих вопросах.

2. На оценку определенных частных показателей влияют сразу несколько уточняющих вопросов. В подобных случаях максимальная оценка частного показателя равняется средней арифметической величине оценки уточняющих вопросов, влияющих на этот частный показатель. Например, используя таблицу 2 приложения В СТО БР ИББС-1.2, M1.1 будет вычисляться по формуле:

М1.1 = (6.1.5 + 6.1.6 + 6.1.7 + 6.3.10)/4

Результат - это и есть максимальная оценка данного частного показателя с учетом уточняющих вопросов.

3. На результат EV1ОЗПД влияют групповые показатели М1-М5, М8, М10, на EV2ОЗПД - М1-М6, М8, М10, на EVООПД - М9 (показатель M9 оценивается по минимальному значению, присвоенному одному из частных показателей, т.е. один показатель равен "0", следовательно, весь М9 = "0"), на EVM6 - М6.

4. Если оценивается степень документированности, в источниках нужно указывать конкретные документы (в случае отсутствия документального подтверждения можно сослаться на устные свидетельства, что будет соответствовать оценке «0»).

5. Устные свидетельства и наблюдения подтверждаются подписью опрашиваемого члена комиссии.

6. Если отталкиваться от формы предоставления результатов оценки уровня информационной безопасности организаций банковской системы Российской Федерации, размещенной на сайте Банка России, круговых диаграмм должно быть две: 
- круговая диаграмма, содержащая 32 сектора, которые отражают оценки  групповых показателей;
- круговая диаграмма, содержащая 3 сектора, которые отражают оценки  по трем направлениям.

7. В «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС‑1.0‑20хх» помимо оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих обработку персональных данных (EVООПД), оценки степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС‑1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации (EV1ОЗПД) и итогового уровня соответствия ИБ организации БС РФ требованиям СТО БР ИББС‑1.0 (R) необходимо также включить:
— если в ИСПДн используется СКЗИ — оценку степени выполнения требований СТО БР ИББС‑1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации (EV2ОЗПД);
— если в ИСПДн не используется СКЗИ — оценку группового показателя М6 «Обеспечение информационной безопасности при использовании средств криптографической защиты информации» применительно к банковскому технологическому процессу, в рамках которого обрабатываются персональные данные» (EVM6).

Хотелось также напомнить, что в соответствии с п.14 Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 необходимо направить в адрес ГУБЗИ  Центрального Банка России, откуда оно будет направлено регуляторам, но не позже 31 декабря (в дальнейшем – один раз в три года).

Автоматизация процесса самооценки по требованиям СТО БР ИББС-1.0 

xls-файл (см. инструкцию по использованию  от разработчика).





Руководство по безопасности браузеров. Содержание

Перевод первой части материала завершен. Для удобства решил сделать содержание, которое периодически будет дополняться.

Руководство по безопасности браузеров (Browser Security Handbook)

Часть 1. Веб-браузер. Основные понятия

1. Унифицированный указатель ресурса (URL) 

2. Unicode в Url

3. Подлинные URL-протоколы

4. Псевдо-протоколы URL

5. Протокол передачи гипертекста (HTTP)

6. Язык разметки гипертекста (HTML)

   Мнемоники в HTML

7. Объектная модель документа (DOM)

8.  Браузерный Javascript

   Кодировка символов в Javascript

9. Другие языки сценариев документа

10. Каскадные таблицы стилей (CSS)

   Кодировка символов в CSS

11. Другие встроенные форматы документов

12. Контентные плагины

 

Скачать pdf-версию первой части перевода.

пятница, 18 октября 2013 г.

Новости ИБ за 11 - 18 октября 2013 года



Блоги:

Статьи:






Журналы:
Inception E-Zine 2013 – журнал по информационной безопасности.

Документы:
Cyber Risk Report: October 7-13, 2013 (англ.) - отчет о компьютерных рисках от Cisco.


Вебинары:
22 октября 2013 года с 11.00 до 12.30, тема: «Практические аспекты проведения теста на проникновение», ведущий: Соколов Андрей Викторович, консультант по информационной безопасности ЗАО «ДиалогНаука».

22 октября 2013 года с 11.00 до 13.00, тема: «Экономический эффект от внедрения средств ИБ, примеры расчета ROI» от RISSPA.

30 октября 2013, тема: «Построение защиты виртуальной инфраструктуры» от компании «LETA».

пятница, 11 октября 2013 г.

Новости ИБ за 4 - 11 октября 2013 года



Блоги:
Алексей Лукацкий утверждает, что конференции формата «все обо всем» смогут существовать, если они будут заточены под конкретную целевую аудиторию.


Банк привлекли к административной ответственности по ч.2 ст.14.8 КоАП из-за условий кредитного договора, противоречащих законодательству в области персональным данных.

Алексей Комаров обновил таблицу сертифицированных межсетевых экранов, в которой приводится список новых межсетевых экранов и с продленными сертификатами.

Статьи:


Подготовка к CISSP. В статье вы найдете ответы на вопросы «что такое CISSP?», «зачем он нужен?» и  «Как подготовиться к экзамену?».

Google начинает выплачивать вознаграждения за исправление уязвим остей в проектах с открытым исходным кодом.


Минфин договорился с Банком России о спорных списаниях с банковских карт.

Документы:
Nmap Cheat Sheet 1.0 (англ.). Источник: SANS.

OUCH! Менеджер паролей – октябрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Программное обеспечение:
vulnerability-checkскрипт, который использует программное обеспечение с открытым исходным кодом (Nmap, vFeed и DPE); выполняет задачи схожие с работой Nessus или AVDS.

Secunia PSI for Android – программа для проверки и автоматической установки обновлений безопасности для программ, установленных на вашем смартфоне.

Dr.Web LinkChecker 3.4 - бесплатное расширение для браузеров для проверки интернет-страниц и файлов, скачиваемых из сети Интернет.

Аналитика:

Ресурсы:
http://itsec.by – блог белорусских коллег, посвященный, в частности, ISO 27001.

SecLog - бесплатный сервис обнаружения атак на ваш сайт.

вторник, 8 октября 2013 г.

Юмор. Твиттер

- Привет, как в кино сходила? У Маринки как дела? Жалко, что вы с Ваней расстались, он норм был.
- А вы вообще кто??
- В твиттере тебя читаю.

пятница, 4 октября 2013 г.

Новости ИБ за 27 сентября – 4 октября 2013 года



Блоги:
Алексей Лукацкий рассуждает об идеи проверки знаний специалистов-практиков в сфере информационной безопасности и получения опыта по реализации атак и защиты от них, в частности, с помощью киберучений и соревнований CTF (Capture The Flag); прокомментировал проект приказа ФСБ по защите персональных данных.


Статьи:
Закон о персональных данных мешает запустить реестр дипломов.



Международная антивирусная компания ESET составила список 10 популярных хакерских игр.


Документы:
Research Report. 2013 State of Social Media Spamотчет по спаму в социальных медиа в первой половине 2013 года (см. краткий обзор). Источник: Nexgate.

Программное обеспечение:
MatriuxDebian-дистрибутив, состоящий из более 300 бесплатных / с открытым исходным кодом утилит, которые могут быть использованы для тестирование на проникновение, администрирования, судебно-медицинской экспертизы, расследования инцидентов и поиска данных.

OllyDbg v2.01 - бесплатный отладчик уровня машинного кода для операционных систем семейства Windows.

Lynis v1.3.1 – утилита для аудита безопасности в системах Unix / Linux..

Аналитика:


Ресурсы:
Запись передачи «Основной элемент. Цифровая эпидемия», посвященной интернет-угрозам.

Проект «Разбираем Интернет» - образовательные ресурсы для получения новых знаний и навыков в области цифровой грамотности, в том числе и по информационной безопасности (см. краткий обзор проекта).

Книги:

Авторы: Том Шиндер (Thom Shinder), Юрий Диоген (Yuri Diogenes), Дебра Литтлджон Шиндер (Debra Littlejohn Shinder)
Язык: английский
Год издания: 2013
Описание: сотрудники Microsoft описывают практические примеры по проектированию и развертыванию безопасной инфраструктуры для защиты активов в системах Windows.
 
Автор: Рейф Сагарин (Rafe Sagarin). Является экологом и экспертом по безопасности.
Язык: английский
Год издания: 2012
Описание:  Автор книги описывает механизмы безопасности, которыми наделены обитатели живой природы, и показывает нам, как мы могли бы научиться эффективней реагировать на неизвестные угрозы в будущем.

Автор:  Харлан Карви (Harlan Carvey)
Язык: английский
Год издания: 2011
Описание: книга посвящена цифровой криминалистике реестра Winodws. В ней приводятся инструменты и методы анализа реестра.


среда, 2 октября 2013 г.

Browser Security Handbook. Глава 1, пункт 12

Руководство по безопасности браузеров (Browser Security Handbook). Глава I 
§ 11. Другие встроенные форматы документов 

§12. Контентные плагины 

В отличие от небольшого и вполне определенного набора изначально поддерживаемых форматов документов, сфера применения браузерных плагинов очень разнообразна и быстро расширяется. Большинство распространенных плагинов для отображения контента вызываются с помощью тегов <OBJECT> или <EMBED> (или <APPLET> для Java), но могут использоваться и другие типы интеграции.
Распространенные плагины, встраиваемые в страницу сайта, можно разделить на несколько основных категорий:

- Языки веб-программирования. Включает такие технологии, как Adobe Flash, Java или Microsoft Silverlight, присутствующие на подавляющем большинстве настольных компьютерах. Эти языки, как правило, позволяют выполнять множество сценариев (скриптов), включая доступ к документу верхнего уровня и другой DOM-информации, или способны отправить сетевые запросы на некоторые объекты. Модели безопасности, реализованные этими плагинами обычно отличаются от моделей самого браузера нелогичными или непредусмотренными особенностями. Такие технологии веб-разработки становятся главной целью для проведения атак.  Они также представляют потенциальную угрозу безопасности из-за недостаточной обработки входных данных в популярных плагинах.
- Интегрированные форматы документов, отличные от HTML. Некоторые популярные редакторы документов или средства просмотра, включая Acrobat Reader и Microsoft Office, устанавливают плагины для поддержки собственных форматов на HTML-странице или для просмотра содержимого в полноэкранном режиме прямо в браузере. Интересной особенностью этого механизма является то, что многие такие форматы документов позволяют создавать сценарии или предлагают интерактивные функции (например, интерактивные ссылки), что может привести к передаче данных браузеру необычным или непредсказуемым способом. Например, существуют методы для перемещения окна браузера с помощью JavaScript в Url-адресах встроенных в PDF-документы - и этот код будет выполняться в контексте безопасности сайта.
- Языки разметки,  интегрированные в HTML. Языки разметки, такие как VRML, VML или MathML, также поддерживаются в некоторых браузерах с помощью плагинов, и могут быть встроены в стандартные HTML-документы; они имеют такой же вектор атаки, что и формат XML (см. предыдущий параграф).
- Мультимедийные форматы, обладающие широкими возможностями. Различные плагины  позволяют воспроизводить видео и аудио непосредственно в браузере без открытия окна мультимедийного проигрывателя. Интеграцию плагина в браузер, расширяющие его возможности, предлагают большинство современных медиаплееров, в частности, Windows Media Player, QuickTime, RealPlayer или VLC. Большинство таких форматов не влияют на безопасность для принимающей стороны, хотя на практике, этот тип интеграции подвержен определенным ошибкам.
- Специализированные виджеты для манипулирования данным. Они включают в себя функции, такие как DHTML Editing Control с CLSID 2D360201-FFF5-11D1-8D03-00A0C959BC0A. Некоторые такие плагины поставляются вместе с Windows и помечаются как безопасные, хотя безопасности уделяется мало внимания.

Общая информация: в некоторых азиатских странах применяются плагины на основе модуля шифрования, реализованные в виде управляющих элементов ActiveX.

Одним из наиболее важных свойств безопасности объектов, вложенных в теги, является возможность встраивания произвольных типов файлов, манипулируя заголовками Content-Type и Content-Disposition.
Приоритеты входящих данных для того, чтобы решить, как интерпретировать содержание в различных браузерах, описаны с таблице 13.

Таблица №13


Входной сигнал
MSIE6
MSIE7
MSIE8
FF2
FF3
Safari
Opera
Chrome
Android
Тип тега и TYPE= / CLASSID= значение
#1
#1
#1
#1
#1
#1
#1
#1
n/a
Content-Type=значение, если TYPE= не определен
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
n/a
Content-Type=значение, если TYPE= отсутствует
#2
#2
#2
#2
#2
#2
#2
#2
n/a
Сниффинг контента, если TYPE= не определен
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
n/a
Сниффинг контента, если TYPE= отсутствует
игнорировать
игнорировать
игнорировать
игнорировать
игнорировать
(#3)
игнорировать
(#3)
n/a

Подход по определению обрабатываемых входных данных является проблематичным, поскольку он лишает сервер выбирать определенные ресурсы, которые рассматриваются как интерпретируемый плагином документ в ответ на действия вредоносного стороннего сайта. В сочетании со слабым синтаксическим анализатором в браузерных плагинах это приводит к старым уязвимостям.  

Примечание: К сожалению, на сегодняшний день нельзя полностью проконтролировать как будет отображаться управляемый плагином документ. 


 Другое интересное свойство, которое стоит отметить - это наличие во многих модулях собственных HTTP-стеков и кэширование системы, что позволяет обойти настройки конфиденциальности браузера.