пятница, 31 января 2014 г.

Новости ИБ за 24 – 31 января 2014 года



Блоги:
Алексей Лукацкий поделился своими впечатлениями от проекта методички по защитным мерам ФСТЭК.

Михаил Емельянников прокомментировал судебное дело,  затрагивающее предоставление информации о детализации счетов абонента и об идентификационных номерах абонентских устройств (IMEI) его телефонов.

Артем Агеев опубликовал третью часть статьи, посвященной аппаратным закладкам АНБ.

Сергей Борисов описал методы защиты SAP с учетом требований законодательства и методических документов ФСТЭК.

Сергей Гордейчик объяснил, почему bug-bounty для государственных информационных систем будет вреден.

Статьи:


В России впервые довели до суда дело о разглашении банковской тайны.


Интервью с Алексеем Волиным, замминистром связи и массовых коммуникаций.

Кредитный спам и методы защиты.

Эксперты «Лаборатории Касперского» опубликовали анализ вредоносного кроссплатформенного Java-приложения.


Итоги PHDays CTF Quals.


Документы:

Информация об использовании при совершении сделок «виртуальных валют», в частности, Биткойн. Источник: ЦБ РФ.

Windows XP End-of-Life Handbook for Upgrade Latecomers - рекомендации по совместимости и безопасному использованию Windows XP после окончания срока поддержки (8 апреля 2014г.). Источник: Bit9.

The 2013 Firewall Buyers Guide - руководство по оценке межсетевых экранов предприятия. Источник: Palo Alto Networks.


RSA incident Response: Emerging Threat Profile - Shell_Crew – исследовательский отчет о работе вредоносного приложения, похищающего конфиденциальные данные.

Категорирование информации в РФ - документ содержит основные положения по категорированию и защите информации в РФ (по 149-ФЗ), перечень основных видов тайн с указанием ссылок на нормативные правовые акты. Автор: Андрей Прозоров.

Законодательство:
Приказ Федеральной службы государственной статистики (Росстат) от 9 августа 2013 г. N 316 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы государственной статистики, связанных с реализацией служебных или трудовых отношений».

Программное обеспечение:
PACK (Password Analysis and Cracking Toolkit) - набор утилит для проверки надежности пароля.

Lynis v1.4.0 – утилита для аудита безопасности Linux-систем.

AI-Bolit — скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. 

Аналитика: 
Обзор Android-угроз за 2013 год. Источник: Доктор Веб.


Обзор вирусной активности за 2013 год. Источник: Доктор Веб.

Мероприятия:
7 февраля 2014 г. 16:00 — 9 февраля 2014 г. 16:00 Olympic CTF Sochi 2014.

11 февраля (19:00) в Санкт-Петербургском офисе компании «Yandex» состоится 17 встреча DEFCON-группы.

17–22 февраля 2014 года в Башкортостане, в ДЦ «Юбилейный» пройдет VI Уральский Форум «Информационная безопасность банков» + задать вопрос регуляторам.

Ресурсы:
Видеоматериалы курса SecurityTube Wi-Fi Security Expert (SWSE) Community Edition.

What They Know - Mobile - интерактивная база данных, отображающая информацию о пользователе, которую мобильные приложения отсылают разработчикам.

Бесплатные материалы (упражнения и лабы) для подготовки к экзаменам Cisco CCNA и CCNA Voice.


Подкаст «Открытая информация». Социальная инженерия и добыча информации из открытых источников.

Видео. Запретная зона


понедельник, 27 января 2014 г.

Positive Hack Days IV












21, 22 мая 2014 года в Москве в техноцентре «Digital October» состоится Positive Hack Days IV - международный форум, посвященный практическим вопросам информационной безопасности. На мой взгляд, это то мероприятие, на котором каждый специалист по информационной безопасности должен побывать хотя бы раз.
PHDays считается лучшим форумом в России и, возможно, в ближайшем будущем составит конкуренцию Def Con.  
 Хотя до мероприятия остается почти 4 месяца, уже сегодня стоит задуматься над тем, как туда попасть. Существует несколько способов это сделать:
- купить билет (количество билетов ограничено);
- стать докладчиком;
- победить в соревнованиях по хакингу, которые состоятся в мае, незадолго до форума;
- войти в число победителей PHDays CTF Quals. Это участники первых девяти команд, которые смогут не только поиграть в CTF, но и посетить другие мероприятия форума;
- стать финалистом всероссийского конкурса молодых ученых в области информационной безопасности - PHDays Young School;
- наблюдать за событиями форума в режиме прямой трансляции.
Благодаря последнему способу я и познакомился с данным форумом.
Впервые о PHDays я услышал два года назад, когда в своем блоге Дмитрий Евтеев опубликовал информацию о предстоящем мероприятии и способах участия в нем. Из всех представленных вариантов мне подходил только PHDays Everywhere.
Как тогда помню, прямая трансляция была доступна только специально организованным площадкам. В Таганроге такую площадку организовала команда ufologists.
Честно говоря, тогда впечатления остались двойственные, т.к. интересных докладов было много, а экран – один. Да и возможности поучаствовать в дискуссиях и задать вопросы докладчикам тоже не представилось. Зато я обзавелся новыми знакомствами, чему рад до сих пор.
В 2013 году я уже наблюдал за событиями форума из дома, заранее определившись с последовательностью просмотра докладов. Просматривал весь материал в течение двух дней по 12 часов, благо записи прошедших докладов позволяли это делать. Конечно, за 2 дня я всё просмотреть не успел, поэтому на протяжении следующего месяца было чем заняться.
Вот и конец моей личной истории. Вернее, продолжение следует…
 А для тех, кто еще сомневается, стоит ли тратить на PHDays время, скажу однозначно – ДА!  

пятница, 24 января 2014 г.

Новости ИБ за 17 – 24 января 2014 года



Блоги:
Алексей Лукацкий поделился мыслями по поводу разоблачений Сноудена.

Андрей Прозоров рассказал, что скрывается за терминами «DLP 1.0» - «DLP 3.0».

Артем Агеев посоветовал, на что нужно обратить внимание при написании парольной политики.

Обзор документа «COBIT 5 for Risk» от Андрея Прозорова.

Алексей Волков описал моральный облик провинциального ибэшника на собственном примере.

Статьи:
Тест-драйв систем обнаружения вторжения с настройками по умолчанию: Cisco IPS 4240, IBM Proventia GX4004, StoneGate IPS 1060.

Суды отказываются признавать переписку по e-mail тайной (см. комментарии Михаила Емельянникова).

Управление ФСБ запретило спецслужбам публиковать данные на сайте «Одноклассников».



Калифорнийская компания Shape Security изобрела новый способ защиты сайтов от взлома.

Законодательство:
Обзор законопроектов в сфере интернет-регулирования.

Аналитика:
Статистика кибератак за 2013г. (англ.). Источник: Hackmageddon.com.

Отчет о наиболее активных угрозах для ОС Windows в 2013 году. Источник: ESET.

Исследованиебезопасности сайтов на различных CMS-системах - результаты комплексного исследования безопасности сайтов за 2013 год от SiteSecure и проекта Ruward.

«Спам в декабре 2013г» и «Спам в 2013 году». Источник: Лаборатория Касперского

Мероприятия:
25 января 2014 г. 12:00 (МСК) — 27 января 2014 г. 12:00 (МСК) - PHDays CTF Quals.
 
25 января 2014 09:29 (МСК) — 27 января 2014 09:29 (МСК) – Nullcon HackIM CTF.

Ресурсы:
cryptoprotocols.kz - проект, посвященный криптографическим протоколам.

среда, 22 января 2014 г.

Обзор вебинара от PentestIT



 

 В рамках сотрудничества с компанией PentestIT мне довелось ознакомиться с материалами вебинара «Безопасность сетевой инфраструктуры: основы взлома и защиты». Курс посвящен вопросам сетевой безопасности, поэтому он будет интересен начинающим специалистам по ИБ и сисадминам.
Обучение началось с введения, в котором рассказали об основах этичного хакинга. Затем нас ознакомили с видами эмуляторов и симуляторов оборудования Cisco, после чего мы плавно перешли к установке и настройке одного из них – GNS3. Порядка часа Александр Дмитренко посвятил основам работы с данным эмулятором и обзору его настроек. Далее началось самое интересное.
С помощью GNS3 преподаватель продемонстрировал создание сетевой инфраструктуры и консольную настройку, входящей в нее оборудования (коммутаторов и маршрутизаторов); рассказал об используемых типах шифрования паролей и показал, как с помощью c7decrypt их можно взломать.
Во второй части курса нас познакомили с различными приемами сканирования портов с помощью Nmap; научили снифить трафик, определять версию ОС, сетевых служб и сервисов; научили проводить ARP-спуфинг.
В заключение Александр рассказал о методах защиты против рассматриваемых атак.
Интересной и полезной информации было много, поэтому в этой заметке я постарался выделить те моменты, которые мне больше всего запомнились.

пятница, 17 января 2014 г.

Новости ИБ за 10 – 17 января 2014 года



Блоги:

Михаил Емельянников выступил с инициативой привести в соответствии с российским законодательством обработку персональных данных в ЗАГСах. Часть 2.

Сергей Борисов подготовил аналитический отчет по бесплатным вебинарам  в сфере информационной безопасности за 2013 год.


Статьи:
Раскрыт список «жучков» АНБ США для техники Cisco, Huawei и Juniper (см. комментарий Алексея Лукацкого).

Ариэль Санчес (Ariel Sanchez) опубликовал отчет об исследовании банковских мобильных приложений (англ.).

Исследователи из Кембриджского университета определили, каков должен быть текст предупреждений об опасности с точки зрения психологии.

Обзор конференции Chaos Communication Congress (30C3) от Positive Technologies.

На хабаровских ТЭЦ провели антикибертеррористические учения.


Документы:
Targeted Attacks Against the Energy Sector - исследовательский отчет о целенаправленных атаках на энергетический сектор за июль 2012 – июнь 2013 гг. (англ.). Источник: Symantec.

CIS Security Benchmarks Community Newsletter – новые версии руководств по созданию безопасной конфигурации CentOS Linux 6, Microsoft IIS 8 и Microsoft SQL Server 2012 Database Engine. Источник: Center for Internet Security.

Законодательство:
Приказ Министерства природных ресурсов и экологии Российской Федерации (Минприроды России) от 10 сентября 2013 г. N 387 «Об утверждении типовой формы согласия на обработку персональных данных федеральных государственных гражданских служащих Министерства природных ресурсов и экологии Российской Федерации, иных субъектов персональных данных»

Аналитика:

Статистика кибератак за декабрь 2013г. (англ.). Источник: Hackmageddon.com.

Мероприятия:

Программа «ИнфоТеКС Академия» 2013–2014.

Книги:
Автор: Джош Паули (Josh Pauli)
Язык: английский
Год издания: 2013
Описание: Материал, изложенные в этой книге представляет не только поверхностную информацию, связанную с наиболее распространенными уязвимостями, но и подробные сведения о конфигурации и использовании широко доступных инструментов, необходимых для эксплуатации этих уязвимостей. Описываются практические примеры и упражнения по взлому серверов, веб-приложений и пользователей.



Автор: Вайдехи Сачин (Vaidehi Sachin)
Язык: английский
Год издания: 2010
Описание:  Бесплатная книга, посвященная теме кибертерроризма.






Автор:  Скотт Бармен
Язык: русский
Год издания: 2002
Описание: Книга повествует о правильном написании документов по информационной безопасности; приводятся готовые образцы формулировок. Материал актуален и по сей день.

пятница, 10 января 2014 г.

Новости ИБ за 27.12.2013 – 10.01.2014 гг.



Блоги:
Михаил Емельянников выступил с инициативой привести в соответствии с российским законодательством обработку персональных данных в ЗАГСах.

Алексей Лукацкий поделился ссылками на планы проверок ФСБ, ФСТЭК и РКН на 2014 год.

Наталья Храмцовская прокомментировала ФЗ-363 от 21 декабря 2013 г. «О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации в связи с принятием Федерального закона «О потребительском кредите (займе)».

Статьи:
РКН выдал Ростелекому предписание об устранении выявленных нарушений за сбор избыточных персональных данных.

Журналы:
«Вопросы кибербезопасности». Первый номер журнала посвящен постановке проблематики кибербезопасности в преддверии разработки Стратегии кибербезопасности страны, Закона о безопасности критической информационной инфраструктуры, апробации новых риск-ориентированных подходов и «общих критериев» безопасности информационных технологий и т.д. 


Pentest Magazine Issue 9/2013 (28) – специальный новогодний выпуск, посвященный Kali Linux.

Hacker5 Magazine December 2013 – тема номера посвящена электронной валюте.


Hakin9 Open. Issue 5/2013 (5) - тема номера посвящена кибербезопасности.

Документы:
OUCH! Защита домашней сети – январьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Don't Get Hookedплакат про фишинг от SANS

Законодательство:
Порядок доступа граждан и транспортных средств в контролируемые зоны, а также правила осуществления отдельных видов деятельности в контролируемых зонах от 6 ноября 2013 г. В документе описаны организационно-технические меры, направленные на обеспечение безопасности участников и посетителей XXII Олимпийских зимних игр и XI Паралимпийских зимних игр 2014 года в г. Сочи.

Решение оперативного штаба по обеспечению безопасности при проведении XXII Олимпийских зимних игр и XI Паралимпийских зимних игр 2014 года в г. Сочи г. Сочи от 24 декабря 2013 года. В документе описан порядок доступа граждан и транспортных средств в запретную зону, а также осуществления в данной зоне отдельных видов деятельности.

Федеральный закон Российской Федерации от 28 декабря 2013 г. N 403-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

«О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации». ФЗ дополнился статьей о порядке ограничения доступа к информации, распространяемой с нарушением закона.

Федеральный закон Российской Федерации от 28 декабря 2013 г. N 396-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Внесены изменения в ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», касающиеся обезличивания ПДн; не требуется теперь и согласия на обработку персональных данных, содержащихся в поступивших в контрольные органы жалобах, для размещения в единой информационной системе.

Ресурсы:
unFurlr – сервис по «расшифровке» коротких ссылок.