пятница, 28 февраля 2014 г.

Новости ИБ за 21 – 26 февраля 2014 года


Блоги:
Отчет Алексея Лукацкого по итогам VI Уральского форума «Информационная безопасность банков»: часть 1, часть 2, часть 3, часть 4, часть 5, часть 6.

Сергей Борисов обновил схемы порядков создания систем защиты для ИСПДн, ГИС и АСУ.


Статьи:

TOP-5 ошибок хостеров, которые приводят ко взлому сайтов.


 Лучшие книги про информационной безопасности с конференции RSA 2014.

Документы:
The Critical Security Controls for Effective Cyber Defense 5.0 рекомендации и лучшие практики по информационной безопасности для противодействия распространенным атакам. Источник: Council on CyberSecurity (англ.).

Repurposing Network Tools to Inspect File Systems – руководство по использованию сетевых утилит для идентификации файлов при расследовании компьютерных инцидентов. Источник: SANS (англ.).

Портрет специалиста по ИБ - документ, содержащий описание сложившегося процесса обучения в области информационной безопасности. Авторы: Учебный центр «Информзащита» и профессиональное сообщество «BISA».

Secunia Vulnerability Review 2014 – годовой отчет о наличии патчей и уязвимостях в программном обеспечении (см. краткий обзор). Автор: Secunia (англ.).

Законодательство:
Приказ Федерального казначейства (Казначейство России) от 20 декабря 2013 г. N 29н г. «Об утверждении Положения о проверке достоверности и полноты сведений, предоставляемых гражданами, претендующими на замещение отдельных должностей, и работниками, занимающими отдельные должности на основании трудового договора в организациях, создаваемых для выполнения задач, поставленных перед Федеральным казначейством» (можно использовать в качестве шаблона для описания процедуры приема на работу, влияющую на обеспечение ИБ)


Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) от 31 декабря 2013 г. N 151/786/461 «О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» + шаблон Акта определения уровня защищенности.

Программное обеспечение:
EMET 5.0 - служебная программа, которая предотвращает эксплуатирование уязвимостей в программном обеспечении.

Kali Linux Metapackages – установочный пакет с утилитами, необходимыми именно для вашего вида деятельности: расследования инцидентов, веб, тестирования на проникновение и пр.

Вебинары:

Аналитика:
Мобильные угрозы за 2013 год. Источник: Лаборатория Касперского.

Мероприятия:
25 — 28 марта 2014 года в Солнечногорском районе Московская области состоится ежегодная конференция «РусКрипто».

28 февраля 2014 г. 17:00 (UTC) — 2 марта 2014 г. 5:00 (UTC), Boston Key Party CTF 2014.

3 марта 2014 г. 3:30 (UTC) — 4 марта 2014 г. 12:30 (UTC), DEFKTHON CTF 2014.

8 марта 2014 г. 14:00 (UTC) — 10 марта 2014 г. 14:00 (UTC), RuCTF Quals 2014.

Ресурсы:
HijackThis log file analysis - автоматический анализатор протоколов утилиты HijackThis.

https://sslcheck.globalsign.com/ru/ - средство проверки конфигурации SSL

OWASP Mobile Top 10 Risks – проект с описанием распространенных уязвимостей в мобильных приложениях.


Презентации с VI Уральского форума «Информационная безопасность банков».

пятница, 21 февраля 2014 г.

Новости ИБ за 14 – 21 февраля 2014 года



Блоги:


Угрозы безопасности VoIP-сетей на основе протокола SIP.


Статьи:

Сравнение Android-приложений для обеспечения информационной безопасности (англ.).

Новый 0day-эксплойт для IE 9/10 оказался гибридным.

Журналы:
(IN)SECURE Magazine Issue 41 (февраль 2014) - тема выпуска: «Защита облаков и больших данных (Big Data)».

Документы:
CIS Apple OSX 10.8 Benchmark v1.0.0 – руководство по безопасной конфигурации Apple OSX 10.8. Источник: CIS.


Стандарт безопасности данных платежных приложений (PA-DSS) индустрии платежных карт (PCI). Требования и процедуры аудита безопасности v3.0 - документ регламентируют требования к безопасности и процедурам аудита для поставщиков платежных приложений. Источник: PCI Security Standards Council.

Законодательство:
Постановление Правительства Российской Федерации от 10 февраля 2014 г. N 94 «О внесении изменения в перечень персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию». Перечень персональных данных, записываемых на электронный носитель, дополнили изображением папиллярных узоров 2 пальцев рук владельца документа.

Приказ Министерства образования и науки Российской Федерации от 5 декабря 2013 г. N 1310 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности».

Приказ Федеральной службы государственной статистики (Росстат) от 8 августа 2013 г. N 315 «Об утверждении типовой формы согласия на обработку персональных данных федеральных государственных гражданских служащих Федеральной службы государственной статистики, иных субъектов персональных данных, а также типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».

Программное обеспечение:
Damn Vulnerable iOS Application (DVIA) v1.1 – набор уязвимых iOS-приложений для проверки и повышения своих навыков в тестировании на проникновение.

GoLismero - инструмент для тестирования на проникновение, который также  взаимодействует со многими известными средств безопасности (OpenVas, Wfuzz, SQLMap, DNS recon и прочие).

PhpSecInfo - скрипт для тестирования настроек php на безопасность.

Вебинары:

Аналитика:
Безопасность персональных данных в России в 2013 году. Статистика утечек. Отраслевые особенности - отчет об уровне защищенности персональных данных в России. Автор: InfoWatch.

Спам в январе 2014. Источник: Лаборатория Касперского.

Ресурсы:
Учебный материал по разработке безопасных iOS-приложений (англ.)

пятница, 14 февраля 2014 г.

Новости ИБ за 7 – 14 февраля 2014 года



Блоги:
Алексей Лукацкий рассказал, каких ГОСТов в области защиты информации и информационной безопасности стоит ждать в 2014 году.

Андрей Прозоров поделился информацией, призванной помочь в выборе MDM- решения.

Обзор выступлений представителей ФСТЭК на IV конференции «Актуальные вопросы защиты информации» от Алексея Лукацкого (часть 1, часть 2, часть 3, часть 4) и Андрея Прозорова.

Статьи:


Recycle bin: получение информации о файлах, удаленных в корзину (англ.).

Лаборатория Касперского опубликовала исследование шпионского трояна Careto.

Мнения участников дискуссии на тему статьи 9 Федерального закона 161-ФЗ, состоявшейся в рамках «Инфофорума-2014».

Обзор средств защиты виртуальных сред на базе VMware vSphere.

CAPTCHA: варианты реализации, типы каптчи, её обход и места применения (англ.).

Обзор сервисов для построения инфографики (пригодится при оформлении отчетности по ИБ).


Документы:
The Federal Government’s Track Record on Cybersecurity and Critical Infrastructureотчет о найденных уязвимостях, выявленных в ходе аудита в государственных структурах США. Автор: Том Кобурн (англ.).

Framework for Improving Critical Infrastructure Cybersecurity - перечень отраслевых стандартов и лучших практик для организации управления рисками нарушения кибербезопасности в критических инфраструктурах. Автор: National Institute of Standards and Technology.

Verizon 2014 PCI Compliance Report – отчет об уровни соответствия организаций стандарту PCI DSS. Источник: Verizon.

Phishing Activity Trends Report – отчет о фишинге за 3 квартал 2013г. Источник: APWG.

Законодательство:
Февральский обзор законопроектов в сфере интернет-регулирования.

Информационное письмо ФСТЭК «Об утверждении Требований к средствам доверенной загрузки» от 6 февраля 2014 г. N 240/24/405 + комментарии Ивана Бойцова.


Программное обеспечение:
OWASP Xenotix XSS Exploit Framework 5 - фреймворк для обнаружения и эксплуатации уязвимостей.

Аналитика:

Ресурсы:
https://service.nalog.ru/bi.do - сервис, позволяющий отслеживать компании, за которыми числятся заблокированные счета в кредитных организациях.

вторник, 11 февраля 2014 г.

Обзор вебинара от PentestIT. Metasploit



 Сегодня я расскажу про прошедший вебинар от компании PentesIT, посвященный работе с Metasploit.
Metasploit Framework – это инструмент для создания, тестирования и использования эксплойтов, который входит в состав Kali Linux. В своем арсенале он содержит множество полезных для пентестера вещей, поэтому для новичков фреймворк может показаться слишком сложным. Данный курс поможет все «разложить по полочкам».
Курс начался с создания тестовой площадки и рассмотрения основных команд Metasploit (их не так уж и много, поэтому долго на них не останавливались). Далее речь зашла о способах и средствах для сбора данных о домене. Сначала я не понял, как это относится к данной теме, пока мы не дошли до использования сканера портов Nmap в рамках работы с Metasploit. Таким образом, мы определили открытые порты в атакуемой системе и начали искать в ней уязвимые места. В этом нам помог широко используемый сканер уязвимостей Nessus. Но для начала была произведена его установка и настройка.
Вторая часть курса посвящалась использованию Meterpreter для исследования скомпрометированной цели. Также стояла задача обойти (отключить) антивирусную защиту Аваста и Авиры, но, к сожалению, встроенными средствами Metasploit это сделать не удалось. Не помогло даже кодирование шелл-кодов. На помощь нам пришел Veil-Evasion - генератор полезной нагрузки. Утилита взаимодействует с msfvenom – одной из утилит Metasploit, сочетающей в себе функции msfpayload и msfencode.
На последнем занятии мы познакомились с работой Railgun – meterpreter-расширением, которое позволяет атакующему вызывать напрямую DLL-функции. В завершении рассмотрели Armitage (Metasploit с графическим интерфейсом) и в нем же Константин Левин продемонстрировал эксплуатацию уязвимостей в системах Windows XP и Windows 7.
На протяжении всего вебинара метасплоит постоянно отваливался, поэтому по ходу курса приходилось устранять возникающие проблемы. С одной стороны это повлияло на длительность вебинара, с другой – когда я сам начал пробовать на практике полученные знания, мне пришлось столкнуться с этими же проблемами, и я уже знал, как их устранить.
P.S. PentestIT организовала продажу видео и материалов с прошедших вебинаров. Из плюсов посещения вебинаров я бы отметил возможность задать вопрос докладчику, который даст ответ или поможет решить проблему в режиме реального времени или посредством электронной почты. Из минусов – продолжительность курса в течение нескольких дней, ибо не всегда есть возможность выделить необходимое количество времени.

пятница, 7 февраля 2014 г.

Новости ИБ за 31 января – 7 февраля 2014 года


Блоги:

Евгений Касперский поведал о применении эвристического анализа в антивирусах, разработанных его компанией.

Еврокомиссар Вивиан Рединг предложила свои восемь принципов защиты персональных данных.

Статьи:

Переполнение буфера. Введение (англ.).


Обучение и осведомленность персонала в сфере информационной безопасности как фактор, влияющий на эффективность работы «человеческого файервола» (англ.).

Учет и оценка информационных активов с точки зрения коммерческой составляющей деятельности компании.
Лучшие практики и рекомендации по защите php-приложений от XSS-атак.


Верховный суд России подтвердил право граждан знакомиться с решениями судов, дающими добро на проведение в отношении этих самых людей секретных операций.



Журналы:
Pentest Magazine Issue 01/2014 (10) - Tutorials. Tutorials Everywhere!

Hakin9 Magazine. Issue 1/2014 (6) – Kali Linux, free of charge.

Cyber Security Magazine 01/2014 - Cyber Crime Attacks and Defense.

OUCH! Что такое вредоносные программы? – февральский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Документы:
Советы по предварительному анализу инцидентов безопасности. Перевод: Вячеслав Аксёнов.

Советы по обнаружению вторжений в системе Windows. Перевод: Вячеслав Аксёнов.

The Web Application Vulnerability Scanners Benchmark 2014 - сравнительный анализ 63 сканеров безопасности. Автор: Шей Чен (англ.).

Программное обеспечение:
SimpleRisk  - инструмент с открытым исходным кодом для управления рисками предприятия (см. обзор).

OWASP Dependency-Check v 1.1.0 - утилита, которая идентифицирует зависимости проекта и проверяет их на наличие публично раскрытых уязвимостей. В настоящее время поддерживаются только Java-проекты.

Вебинары:

Аналитика:

Безопасность SAP в цифрах за 12  лет. Результаты глобального исследования 2001–2013 гг. (см. краткий отчет) – аналитический отчет о проблемах безопасности  в системах SAP. Источник: ERPScan. 

Обзор вирусной активности в январе 2014 года. Источник: Доктор Веб.

Мобильные угрозы в январе 2014 года. Источник: Доктор Веб. 

Мероприятия:
11-14 февраля 2014 в Москве в «Крокус Экспо» пройдет Международный Форум Технологии Безопасности 2014.

Программа по поиску уязвимостей «Проверь Badoo на прочность!».

27 февраля 2014 года в конференц-зале гостиницы «Холидей Инн Санкт-Петербург Московские Ворота» состоится второй семинар санкт-петербургского отделения ассоциации профессионалов в области информационной безопасности RISSPA.

Ресурсы:
Zero Security - программа стажировки от PentestIT.

Noise Security Bit #4 – выпуск о хардварной безопасности.

Презентации с конференции «Инфофорум 2014».

Материалы с ежегодного съезда хакеров Shmoocon 2014.



Интернет-канал «Лига-ТВ» - информационный интернет-ресурс, направленный на информирование взрослой аудитории, прежде всего родителей, об особенностях использования интернета, в первую очередь, детьми.