пятница, 26 декабря 2014 г.

Дайджест новостей по ИБ за 5 – 28 декабря 2014 года


Блоги:
Алексей Лукацкий послал вопросы в госорганы по поводу запрета хранения персональных данных россиян заграницей и получил на них ответы (раз, два) и предложил обезличивать ПДн в качестве одного из способов выполнения требований ФЗ-242.


Статьи:
Тренды и прогнозы 2015 в сфере ИТ и ИБ от ведущих компаний.

Угрозы уходящего года и прогнозы на 2015 год от Malwarebytes (англ.).


Преступления в банковской сфере 02 - 11 декабря, 12 - 22 декабря 2014.

Обзор конференции ZeroNights 2014 от Digital Security.

Впечатления о Security Meetup в офисе Mail.Ru Group.





Обзор одного из векторов атак на публичные терминалы для оплаты аренды велосипедов.

Выдуманная история о взломе рядового пользователя.

Введение в File Inclusion Attacks (англ.)

Анализ новой модификации ZeuS – Chthonic.

Рекомендации по обеспечению безопасность мобильных устройств.

Журналы:
!Безопасность Деловой Информации выпуск #8 - тема номера: итоги и тренды года

Документы:
Penetration Testing Tools that (do not) Support IPv6 - исследование утилит для тестирования на проникновение на наличие поддержки протокола IPv6 (англ.). Автор: Dr. Antonios Atlasis.

План проверок РКН на 2015-й год. Источник: Роскомнадзор.

Независимое детальное руководство для покупателей МЭ нового поколения - подробное руководство для оценки межсетевых экранов для корпоративных сетей. Источник: Palo Alto Networks.

Законодательство:
Приказ Федеральной службы по оборонному заказу (Рособоронзаказ) от 6 октября 2014 г. N 163 г. Москва «Об упорядочении обращения со служебной информацией ограниченного распространения в Рособоронзаказе и его территориальных органах». Можно использовать в качестве шаблона для Положения по работе с конфиденциальной информацией.

«О внесении изменений в приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. N 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Сокращен перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Программное обеспечение/сервисы:
RPEF - утилита для внедрения бэкдоров в прошивки маршрутизаторов (см.описание).

THC-Hydra v8.1 -  взломщик паролей различных сервисов.

LOIC – утилита для нагрузочного тестирования сетевых приложений.

Snort v3.0 — сетевая система предотвращения вторжений (IPS) и обнаружения вторжений (IDS) с открытым исходным кодом.

Metasploit v4.11 - инструмент для создания, тестирования и использования эксплойтов.

Wpscan v2.6 - сканер уязвимости для WordPress.

Аналитика:

Kaspersky Security Bulletin 2014. Основная статистика за 2014 год.

Ресурсы:
Видео с ZeroNights 2014.

Видео с OWASP Russia Meetup.


Материал с Botconf 2014.

Запись вебинара «Безопасность сайта: мониторинг. Опыт профессионалов» от Максима Лагутина (SiteSecure).

Запись доклада «Опенсорс-инструменты на страже безопасности бэкенда» от Петра Волкова.

Презентации с пятой Международной конференции «Борьба с мошенничеством в сфере высоких технологий. AntiFraud Russia – 2014».

Открытая безопасность №33 – подкаст об  AntiFraudRussia2014.

Metasploit Resource Portal – портал, содержащий информацию по работе с Metasploit.

World's Biggest Data Breaches – визуальная карта утечек конфиденциальной информации.

пятница, 5 декабря 2014 г.

Дайджест новостей по ИБ за 28 ноября – 5 декабря 2014 года



Блоги:
Сергей Борисов посоветовал, как правильно выбрать СЗИ.

Михаил Емельянников затронул проблемы, связанные с проведением проверки действительности паспортов.

Ответ 8 центра ФСБ России Артёму Агееву по поводу соблюдения требований старых документов ФСБ (ФАПСИ), регламентирующих использование средств шифрования, для защиты персональных данных в ИСПДн.

Статьи:





Краткое введение в доверительные отношения, или почему нельзя запускать вслепую без проверки скрипты из интернета


Использование Shodan из командной строки (англ.).

Мобильные телефоны и тотальная слежка АНБ: как это работает.

Google представила новую систему reCAPTCHA.

Журналы:
PenTest Magazine - Metasploit Framework Workshop (англ.).

Security Kaizen Magazine Issue 17 – журнал по информационной безопасности (англ.).

Документы:
CryptoPHP. Analysis of a hidden threat inside popular content management systemsанализ бекдора для Joomla, WordPress и Drupal (англ.). Источник: Fox-IT.

OUCH! Что такое антивирус? – декабрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Законодательство:
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 17 июля 2014 г. N 103 г. Москва «Об утверждении Порядка предоставления операторам связи технических средств контроля за соблюдением оператором связи требований, установленных статьями 15.1-15.4 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Программное обеспечение/сервисы:
Samurai Web Testing Framework 3.0 – Linux-дистрибутив для тестирования на проникновение.

Ресурсы:
Материалы с Hacktivity 2014.

Презентации с SANS Pen Test Hackfest 2014.

Видеозапись с Security Meetup, который прошел 4 декабря 2014 года в офисе Mail.Ru Group.

Noise Security Bit #11 – подкаст о различных конференциях для ресечеров (H2HC, Ekoparty и Sacicon), которые проходят в латинской Америке.

пятница, 28 ноября 2014 г.

Дайджест новостей по ИБ за 21-28 ноября 2014 года



Блоги:
Алексей Лукацкий рассказал об освоении новых форматов донесения информации по ИБ до аудитории; поделился впечатлениями от Cisco Connect Moscow 2014.

Статьи:





BlackEnergy2: новые плагины, взлом маршрутизаторов и данные о жертвах.

Список киберпреступлений за ноябрь 2014 года.

Краткий анализ троянской программы Regin.

Законодательство:
Приказ Министерства Российской Федерации по развитию Дальнего Востока (Минвостокразвития России) от 2 октября 2014 г. N 76 г. Москва «Об упорядочении обращения со служебной информацией ограниченного распространения в Минвостокразвития России"». Можно использовать в качестве шаблона для разработки Положения о порядке обращения со служебной информацией ограниченного распространения.

Федеральный закон Российской Федерации от 24 ноября 2014 г. N 364-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Гражданский процессуальный кодекс Российской Федерации». Закреплен порядок ограничения доступа к информации, распространяемой в Интернете с нарушением исключительных прав на фильмы.

Программное обеспечение/сервисы:
Detekt v1.8 - бесплатный инструмент для обнаружения шпионских приложений.

Аналитика:
Спам и фишинг в третьем квартале 2014. Источник: Лаборатория Касперского.

Мероприятия:
29 ноября 2014 г. d в 11:00 (UTC), 9447 Security Society CTF.

Ресурсы:
Диалоги #поИБэ №22 – подкаст о мобильных угрозах (часть 2).

Открытая безопасность №19 – подкаст о впечатлениях с ZeroNights 2014.

Материалы с V международной конференции по защите персональных данных: презентации, видео (часть 1, часть 2, часть 3).

Видео с конференции Hack3rcon 5.

понедельник, 24 ноября 2014 г.

Дайджест новостей по ИБ за 14-21 ноября 2014 года


Блоги:
Сергей Борисов подготовил ряд вопросов, ответы на которые помогут провести качественную оценку ущерба активам от угроз ИБ.

Алексей Лукацкий опубликовал список крупных мероприятия по информационной безопасности на 2015 год.

Статьи:






Эксперты Positive Technologies обнаружили уязвимости в 4G-модемах.


Документы:
Android Application Secure Design/Secure Coding Guidebookсборник советов и рекомендаций для разработчиков по проектированию безопасных Android-приложений и написания надежного кода (англ.). Авторы: Japan Smartphone Security Association (JSSEC)

Программное обеспечение/сервисы:
MeterSSH – Meterpreter через SSH (см. обзор)

Nessus v6 – сканер уязвимостей.

Аналитика:

Мероприятия:
27 ноября 2014 года в Москве состоится пятая Международной конференции «Борьба с мошенничеством в сфере высоких технологий. AntiFraud Russia – 2014».

4 декабря 2014 года в офисе Mail.Ru Group при информационной поддержке журнала Хакер пройдет Security Meet Up.

Ресурсы:
Диалоги #поИБэ №21 – подкаст о мобильных угрозах (часть 1).

Подкаст про WireLurker и операция ФБР в Tor от «Лаборатории Касперского».

понедельник, 17 ноября 2014 г.

Дайджест новостей по ИБ за 7-14 ноября 2014 года

Блоги:
Алексей Лукацкий уведомил о планах Европы ограничить распространение инструментов для обхода средств защиты; предложил создать этический кодекс пентестера.

Презентация Андрея Прозорова, посвященная нормативным документам по теме КВО/КСИИ/КИИ/АСУ.

Статьи:
APT-атака Darkhotel.

Буткит: прошлое, настоящее и будущее (англ.).

Gupt - троян, использующий имена беспроводных сетей для запуска команд.

Советы по защите Android-устройств.

Лучшие практики обеспечения безопасности в облаке.

Тенденции угроз ИБ на 2015 год от Trend Micro (англ.).

Обзор приказа ФСТЭК № 31 от 14 марта 2014 от Positive Technologies

Как открыть навесной замок без ключа

Руководство по установке, настройке и использованию сканера уязвимостей сервера Rootkit Hunter (rkhunter).

Найдена критическая уязвимость в Microsoft SChannel.

Исследователи из IBM X-Force обнаружили критическую уязвимость CVE-2014-6332.

Новая техническая информация о ранее неизвестных аспектах атаки Stuxnet от Лаборатории Касперского.

Журналы:
Журнал «Information Security/ Информационная безопасность» #5, 2014

Документы:
ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам». Стандарт представляет рекомендации в области готовности к опасным ситуациям и инцидентам.

ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных». Стандарт устанавливает требования к системе менеджмента персональной информации, направленные на обеспечения выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области.

ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса».

Password Security. Thirty-Five Years Later – история развития парольной защиты (англ.). Источник: SANS.

Securing DNS to Thwart Advanced Targeted Attacks and Reduce Data Breaches - защита DNS-сервера от целенаправленных атак (англ.). Источник: SANS.

Законодательство:
Приказ Главного управления специальных программ Президента Российской Федерации (ГУСП) от 25 июля 2014 г. N 42 г. Москва «Об организации работы с персональными данными в Главном управлении специальных программ Президента Российской Федерации». Можно использовать в качестве шаблона для написания Политики по обработке и защите персональных данных.


Федеральный закон Российской Федерации от 4 ноября 2014 г. N 334-ФЗ «О внесении изменений в статью 8 Федерального закона «О банках и банковской деятельности». Поправками введена обязанность кредитной организации раскрывать на своем сайте информацию о квалификации и опыте работы членов совета директоров (наблюдательного совета), лиц, занимающих должности единоличного исполнительного органа, заместителей, членов коллегиального исполнительного органа, главного бухгалтера, его заместителя, а также руководителя, главного бухгалтера филиала.

Программное обеспечение/сервисы:
Enhanced Mitigation Experience Toolkit (EMET) 5.1 - программа для предотвращения эксплуатирования уязвимостей в программном обеспечении.
 
Аналитика:
Статистика кибератак за октябрь 2014 года (англ.). Источник: Hackmageddon.

Мероприятия:
21 ноября в 11.00 состоится мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о блуждающем гаджете». 

Ресурсы:
Открытая безопасность №18 – подкаст о Log manager/SIEM/СУИБ, а именно о выборе ядра системы управления ИБ.

Noise Security Bit #10 – подкаст о безопасности мобильных облаков на примере iCloud, о форенсике и реверс-инжиниринге для современных мобильных устройств.

Руководство по поиску уязвимостей в php-скриптах (англ.).

понедельник, 10 ноября 2014 г.

Юмор. Уязвимости года

Shellshock, Heartbleed и Poodle

Источник: https://twitter.com/elainefinnell/status/528327558925131776

Дайджест новостей по ИБ за 31 октября – 07 ноября 2014 года

Статьи:

Сравнительная таблица мессенджеров с точки зрения безопасности.

Тестирование пропускной способности сети с Iperf.


Борьба с потенциально нежелательными программами (Potentially Unwanted Program, PUP).

Новый вектор атаки Reflected File Download позволяет передавать на компьютер пользователя исполняемые файлы, используя домены легитимных провайдеров.

Журналы:
Pentest Magazine Issue 05/2014 (13) – бесплатная версия ноябрьского номера (англ.).

Hakin9 Magazine. Issue 1/2014 (6) – вторая часть бесплатной версии журнала, посвященная Kali Linux (англ.).

Документы:
OUCH! Социальная инженерия – ноябрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Аналитика:

Полугодовой отчет по информационной безопасности за 2014 год – в документе представлена аналитика угроз и тенденций в области кибербезопасности за первое полугодие 2014 года.  Источник: Cisco.

Ресурсы:
Insecam – веб-каталог незащищённых видеокамер (см. обзор)