пятница, 25 апреля 2014 г.

Новости ИБ за 18 - 25 апреля 2014 года



Блоги:
Михаил Емельянников поделился экспертным заключением о возможности использования платформы Microsoft Azure для размещения информационных систем российских операторов, обрабатывающих персональные данные, и содержании основных мероприятий, необходимых для достижения соответствия требованиям российского законодательства в сфере персональных данных.


Статьи:
Mail.Ru Group объявила о старте программы по выплате наград за обнаружение проблем в безопасности своих веб-проектов.


Документы:
Verizon Data Breach Investigations Report 2014 ежегодный отчет, посвященный компрометации данных. Источник: Verizon (англ.).

WhiteHat Security Website Stats Report 2014 - статистика уязвимостей в веб-приложениях за 2014 год. Источник: WhiteHat. (см. краткий обзор).

Законодательство:
Апрельский обзор законопроектов в сфере интернет-регулирования.

Письмо Банка России от 04.04.2014 N 55-Т «О типичных рисках в платежных системах как рисках нарушения бесперебойности функционирования платежных систем».


Информационное сообщение ФСТЭК от 23 апреля 2014 г. N 240/24/1433 «О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации».

Программное обеспечение:
WebPwn3r – сканер безопасности веб-приложений.

ModSecurity v2.8.0 – опенсорсный кроссплатформенный WAF(web application firewall) модуль для Apache.

AppVet – веб-приложение для тестирования веб-приложений.

Аналитика:
Годовой отчет Cisco по безопасности за 2014 год – данные и аналитические сведения об основных проблемах информационной безопасности, таких как изменения вредоносного ПО, тенденции в области уязвимостей и новая волна DoS-атак. Автор: Cisco.

Спам в марте 2014. Источник: Лаборатория Касперского.

Мероприятия:
25 — 27 апреля 2014 г., NorthSec 2014 CTF

Ресурсы:
 «Открытая безопасность» подкаст №10, «Как обманывают вендоры. Опыт глазами интегратора».

Презентация Амара Ганиева с доклада «Секреты чёрного ящика» на RuCTF 2014.


пятница, 18 апреля 2014 г.

Новости ИБ за 11 - 18 апреля 2014 года



Блоги:

Алексей Лукацкий высказал свою точку зрения по поводу подхода к оценке соответствия по информационной безопасности: часть 1, часть 2.


Статьи:

Что делать с Windows XP после окончания официальной поддержки?

Восстановление данных с поврежденного диска, зашифрованного Bitlocker.

Обзор специализированных способов обхода блокировок в интернете.


Документы:
CIS Ubuntu 12.04 LTS Server Benchmark v1.0.0 - руководство по безопасной конфигурации Ubuntu 12.04 LTS Server. Источник: CIS (англ.).

Distributed Denial-of-Service Cyber Attacks, Risk Mitigation, and Additional Resources - краткие рекомендации по борьбе с DDoS. Источник: Federal Financial Institutions Examination Council (англ.).

Browser Security Comparative Analysis Report. Socially Engineered Malware - результаты проверки эффективности популярных веб-браузеров как средства защиты от вредоносных программ, распространяемых с помощью социальной инженерии. Источник: NSS Labs (англ.) + краткий обзор на русском.

Программное обеспечение:
Nmap 6.45 – сканер безопасности

Burp Suite Free Edition v1.6 – инструмент для тестирования безопасности веб-приложений.

Kvasir - платформа управления данным о тестировании на проникновении

RouterPassView v1.53 – утилита для восстановления пароля из backup-файла маршрутизатора.

Microsoft Threat Modeling Tool 2014 - инструмент для моделирования угроз.

Вебинары:

22.04.2014 в 11:00, «Атаки на банк-клиенты».



Аналитика:

Mandiant M-Trends: Beyond the Breach - отчет по угрозам за 2013 год. Источник: Mandiant (англ.).

HP Security Research Cyber Risk Report 2013 – исследование, в котором описаны риски и угрозы в сфере информационной безопасности за прошлый год. Источнки: HP (англ.).

Global Phishing Survey: Trends and Domain Name Use in 2H2013 - результаты исследования фишинговой деятельности во втором квартале 2013 года. Источник: Anti-Phishing Working Group (англ.).

Мероприятия:
18 — 20 апреля 2014 г., NotSoSecure CTF.

Ресурсы:
PunkSPIDER - веб-сервис по поиску уязвимостей с помощью поисковой оптимизации.

Noise Security Bit #5 -  подкаст о конференции Chaos Communication Congress (ССС).

Презентация Андрея Прозорова с мастер-класса, который проходил в рамках конференции ITForum 2020.

пятница, 11 апреля 2014 г.

Новости ИБ за 4 – 11 апреля 2014 года


Блоги:
Алексей Лукацкий затронул тему, касающуюся «закручивания гаек» со стороны ЦБ по вопросам информационной безопасности. 

Серия постов от Владимира Стырана по настройке персонального VPN-сервиса подручными средствами: DigitalOcean, OpenVPN Access Server, OpenWRT.

Статьи:
Советы по внедрению GRC-решений - средств автоматизации процессов по общему управлению, риск-менеджменту и контролю соответствия.

Что делать, если ваш сайт взломали, и как предотвратить взлом сайта в дальнейшем?







Введение в термин «хеш».

Документы:

Программное обеспечение:
Lynis v1.5.0 – утилита для аудита безопасности Linux-систем.

OWASP ZAP 2.3.0 - утилита для проведения тестирования на проникновение веб-приложений.

Вебинары:
17.04.2014 в 14:00, разбор заданий PHDays CTF и PHDays CTF Quals от Positive Technoogies.

Аналитика:

Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО. Источник: Лаборатория Касперского.

Ресурсы:
Heartbleed test – сервис по проверке сайта на наличие уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL.


Запись вебинара «Конкурентная разведка и кадровая работа» от Академии информационных систем.

вторник, 8 апреля 2014 г.

Защита Windows XP



[upd 29/04/2014]
Рекомендуемые меры защиты, направленные на минимизацию рисков реализации угроз информационной безопасности, в связи с прекращением поддержки операционной системы Windows XP:

- обновить текущую операционную систему до Windows 8.1 (в крайнем случае, Windows 7) либо перейти на открытую платформу Linux;
- установить все существующие обновления операционной системы Windows XP;
- использовать стороннее легальное программное обеспечение взамен установленному в ОС XP и скачивать его с сайтов производителей либо с достоверных источников;
- своевременно обновлять все программное обеспечение, в частности, Adobe Reader, Adobe Flash Player, Sun  Java, браузеры и их надстройки;
- провести настройку и обеспечивать периодический контроль механизмов защиты операционной системы Windows XP в соответствии с руководством по безопасной настройке и контролю сертифицированных версий операционной системы Windows XP и CIS Microsoft Windows XP Benchmark
- по возможности исключить подключение к сети Интернет и к корпоративным локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционной системы Windows XP;
- при невозможности отключения от сети Интернет и (или) от корпоративных локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, работающих под управлением операционной системы Windows XP, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP - систем), средств управления потоками информации);
- использовать актуальные версии средств защиты, в частности, антивирусов с регулярным обновлением его баз и программных модулей.
- обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционной системы Windows XP, на внешние носители информации;
- регламентировать и обеспечивать контроль за применением съемных машинных носителей информации, исключив при этом использование не зарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
- проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционной системы Windows XP, с использованием средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
- проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционной системе Windows XP и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
- разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционной системе Windows XP или возникновения инцидентов информационной безопасности, связанных с ее применением;
- не открывать вложения и не нажимать на ссылки, полученные из ненадежных источников (спам, фишинг).
 
Используемая литература:


Мошеннический сайт псевдо-реестра ОПДн

Порядка трёх недель назад на электронный адрес организации с info2@pdn2.com пришло письмо следующего содержания:
Уважаемый(ая) Сторчак Сергей Александрович 

Открытое акционерное общество "Акционерный городской банк "Таганрогбанк" является оператором персональных данных, в соответствии с чем, в органы Роскомнадзора 03 марта 2011 года поступило уведомление о внесении в реестр операторов, осуществляющих обработку персональных данных. 

Приказом органа Роскомнадзора  от 18 декабря 2012 года  № 467 в Реестре операторов, обрабатывающих персональные данные, присвоен №  11-0183790.

В соответствии с  даннойреестровой записью  Вы являетесь ответственным за обработку персональных данных.

Просим Вас проверить корректность внесенных в Реестр сведений на странице  http://pdn2.com/registers/dannie/11-0183790

Если Вы обнаружили неточности в  реестровой записи, то на основании ч.7. ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ  "О персональных данных" Вы обязаны  уведомить  уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений. 

 Как лучше уведомить об изменениях? > Как не уведомлять или выйти из реестра операторов ПДн >

Если Вы уже не являетесь ответственным за обработку персональных данных, Вы имеете право  обратиться к оператору персональных данных с требованием (просьбой): 

 Прекратить обработку Ваших персональных данных в связи с отсутствием оснований такой обработки (если не имеете более никакаих отношений с указанным выше Оператором). Прекратить нарушать ч.7. ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ  "О персональных данных" в связи со сменой ответственного за обработку персональных данных и незамедлительно уведомить уполномоченный орган по защите прав субъектов персональных данных о смене ответственного за обработку персональных данных на основании п. 7.1. ч. 3 ст. 22 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ  "О персональных данных".
  
С уважением, администрация сайта  pdn2.com

P.S.  Отвечать на это письмо не нужно. Отправка возражений и требований к администрации сайта pdn2.com осуществляется строго через форму  обратной связи.
 Вчера на сайте Роскомнадзора была опубликована новость:
Специалистами Роскомнадзора установлен факт направления информационных писем в адрес операторов, осуществляющих обработку персональных данных, от имени администратора сайта www.pdn2.com о проверке корректности внесенных в реестр операторов персональных данных сведений.

Доводим до вашего сведения, что Уполномоченный орган по защите прав субъектов персональных данных не состоит в договорных отношениях с администратором доменного имени www.pdn2.com, а также не наделял его полномочиями по направлению информационных писем в адрес операторов, осуществляющих обработку персональных данных. Письма, поступившие на электронную почту операторов, не являются официальным запросом Службы и не обязывают операторов направлять ответ или осуществлять какие-либо иные действия, согласно тексту писем.

Напоминаем, что в соответствии с п. 3 ч. 5 ст. 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Роскомнадзор наделен полномочиями вести реестр операторов, осуществляющих обработку персональных данных. Таким образом, осуществление деятельности по ведению реестра операторов иными лицами является незаконным.
Убедительная просьба не реагировать на запросы такого рода сайтов, а также сообщать о подобных фактах нарушений в территориальный орган Роскомнадзора.

Будьте бдительны и осторожны!

пятница, 4 апреля 2014 г.

Новости ИБ за 28 марта - 4 апреля 2014 года


Блоги:

Обзор письма 49-Т от 24 марта 2014-го года «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» от Алексея Лукацкого.

Статьи:
Специалисты из CTF365 развернули на своем хостинге специально уязвимый сервер для пентестинга Metasploitable и открыли бесплатный доступ к нему по VPN для всех зарегистрированных участников соревнования CTF365 (англ.).

Лица, распространяющие заведомо ложную информацию о банках, будут привлекаться к ответственности.

Журналы:
Вопросы кибербезопасности #2 - научный, информационно-методический журнал с базовой специализацией в области информационной безопасности

Документы:
OUCH! Да, Вы действительно цель для мошенников – апрельский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS

Программное обеспечение:
iOS Reverse Engineering Toolkitинструмент для автоматизации процессов анализа и реверсинга iOS-приложений.

CrowdInspect  - бесплатный профессиональный инструмент для систем Microsoft Windows от CrowdStrike для выявления вредоносных процессов. Использует базы Virus Total, Malware Hash Registry (MHR) и Web of Trust (WOT).

Аналитика:

Мобильные угрозы в марте 2014 года . Источник: Доктор Веб.

Финансовые киберугрозы в 2013 году. Часть 1: фишинг. Источник: Лаборатория Касперского.


Мероприятия:
4 — 5 апреля 2014 г., Nuit du Hack CTF Quals 2014.

11 — 13 апреля 2014 г., PlaidCTF 2014.

Ресурсы:
Материалы с РусКрипто 2014.