Новости ИБ за 24 – 31 января 2014 года

Блоги:

Алексей Лукацкий поделился своими впечатлениями от проекта методички по защитным мерам ФСТЭК.

Михаил Емельянников прокомментировал судебное дело,  затрагивающее предоставление информации о детализации счетов абонента и об идентификационных номерах абонентских устройств (IMEI) его телефонов.

Артем Агеев опубликовал третью часть статьи, посвященной аппаратным закладкам АНБ.

Сергей Борисов описал методы защиты SAP с учетом требований законодательства и методических документов ФСТЭК.

Сергей Гордейчик объяснил, почему bug-bounty для государственных информационных систем будет вреден.

Статьи:

Подборка трюков при анализе защищенности веб-приложений.

Браузеры Firefox и Chrome выдают внутренний IP-адрес за NAT и VPN.

В России впервые довели до суда дело о разглашении банковской тайны.

Руководство по декомпиляции Android-приложений (англ.).

Интервью с Алексеем Волиным, замминистром связи и массовых коммуникаций.

Кредитный спам и методы защиты.

Эксперты «Лаборатории Касперского» опубликовали анализ вредоносного кроссплатформенного Java-приложения.

Криптоанализ хэш-функции ГОСТ Р 34.11-2012.

Итоги PHDays CTF Quals.

Сайт Github запустил программу вознаграждений за найденные уязвимости (англ.)

Документы:

Краткий обзор годового отчета Cisco по информационной безопасности (см. полный отчет). Источник: Cisco

Информация об использовании при совершении сделок «виртуальных валют», в частности, Биткойн. Источник: ЦБ РФ.

Windows XP End-of-Life Handbook for Upgrade Latecomers - рекомендации по совместимости и безопасному использованию Windows XP после окончания срока поддержки (8 апреля 2014г.). Источник: Bit9.

The 2013 Firewall Buyers Guide - руководство по оценке межсетевых экранов предприятия. Источник: Palo Alto Networks.

План разработки нормативных правовых актов ФСТЭК России на 2014 год.          

RSA incident Response: Emerging Threat Profile - Shell_Crew – исследовательский отчет о работе вредоносного приложения, похищающего конфиденциальные данные.

Категорирование информации в РФ - документ содержит основные положения по категорированию и защите информации в РФ (по 149-ФЗ), перечень основных видов тайн с указанием ссылок на нормативные правовые акты. Автор: Андрей Прозоров.

Законодательство:

Приказ Федеральной службы государственной статистики (Росстат) от 9 августа 2013 г. N 316 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы государственной статистики, связанных с реализацией служебных или трудовых отношений».

Программное обеспечение:

PACK (Password Analysis and Cracking Toolkit) - набор утилит для проверки надежности пароля.

Lynis v1.4.0 – утилита для аудита безопасности Linux-систем.

AI-Bolit — скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. 

Аналитика: 

Обзор Android-угроз за 2013 год. Источник: Доктор Веб.

Обзор вирусной активности за 2013 год. Источник: Доктор Веб.

Мероприятия:

7 февраля 2014 г. 16:00 — 9 февраля 2014 г. 16:00 Olympic CTF Sochi 2014.

11 февраля (19:00) в Санкт-Петербургском офисе компании «Yandex» состоится 17 встреча DEFCON-группы.

17–22 февраля 2014 года в Башкортостане, в ДЦ «Юбилейный» пройдет VI Уральский Форум «Информационная безопасность банков» + задать вопрос регуляторам.

Ресурсы:

Видеоматериалы курса SecurityTube Wi-Fi Security Expert (SWSE) Community Edition.

What They Know - Mobile - интерактивная база данных, отображающая информацию о пользователе, которую мобильные приложения отсылают разработчикам.

Бесплатные материалы (упражнения и лабы) для подготовки к экзаменам Cisco CCNA и CCNA Voice.

Бесплатные электронные книги от InfoSec Institute.

Подкаст «Открытая информация». Социальная инженерия и добыча информации из открытых источников.