Новости ИБ за 18 – 25 июля 2014 года

Блоги:

ЦБ дал ответ Артёму Агееву по поводу количества диаграмм в СТО БР ИББС-1.2-2014.

Сергей Борисов рассмотрел в квадрокоптерах угрозу для корпоративной беспроводной сети.

Андрей Прозоров поделился рекомендациями по подготовке к экзамену CISM (часть 1, часть 2).

Поучительная история от Bo0om’a по обнаружению на сайте Ростелекома RCE-уязвимости и её устранению.

Статьи:

Распространенные случаи попадания карточных данных в руки злоумышленников.

МВД РФ объявило закрытый конкурс на исследование возможности деанонимизации пользователей TOR.

Специалист по безопасности Джонатан Здярски (Jonathan Zdziarski) обнаружил в iOS бекдор.

Эксперт «Лаборатории Касперского» Игорь Суменков рассказал, насколько реалистично реализованы взломы устройств «умного города» в игре Watch Dogs.

Документы:

Endpoint Exploitation Trends H1 2014 - статистика по количеству обнаруженных уязвимостей в популярных браузерах и другом ПО за первое полугодие 2014 года (англ.). Источник: The Bromium Labs (см. краткий обзор).

Законодательство:

Распоряжение Банка России от 10.07.2014 N Р-556 «О вводе в действие рекомендаций в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем».

Федеральный закон Российской Федерации от 21 июля 2014 г. N 242-ФЗ

«О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Уточнен порядок обработки персональных данных в информационно-телекоммуникационных сетях.

Программное обеспечение:

SoftEther VPN -  опенсорсное мультипротокольное VPN-решение (см. описание).

The Amnesic Incognito Live System ( TAILS) v1.1 - Debian-дистрибутив, созданный для обеспечения приватности и анонимности в сети.

Ресурсы:

Записи выступлений с CONFidence 2014 – конференции по информационной безопасности, проходившей в Кракове 27-28 мая.

Материалы с вебинара Алексея Лукацкого «Приказ ФСТЭК №31 по защите АСУ ТП и решения Cisco».

Диалоги #поИБэ – доверие к безопасности информационных систем (часть вторая).

Юмор. Единый реестр запрещенной информации Роскомнадзора

Юмор. Юный тестировщик

Источник: http://www.itsec.pro/

Новости ИБ за 11 – 18 июля 2014 года

Блоги:

Наталья Храмцовская рассмотрела судебный спор, вызванный требованием Управления Роспотребнадзора исключить право банка назначить третье лицо в качестве своего агента (коллекторское агентство) из условия договора потребительского кредитования и открытия банковского счета для осуществления сбора платежей по договору без дополнительного согласия клиента.

Попытка осуществить фишинговую атаку на Bo0oM’а обернулась атакой на сам фишинговый сервер.

Статьи:

Преступления в банковской сфере 4 - 14 июля 2014

Обеспечение физической безопасности дома (англ.)

Психологический портрет инсайдера.

Отчёт с Bitcoin Conference Russia.

Группа исследователей из Калифорнийского университета в Беркли выявила уязвимости в пяти популярных парольных менеджерах:  LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword.

Специалисты из хостинговой компании MNX.io разработали удобный алгоритм генерации имён для серверов (прим. автора - это облегчит работу злоумышленникам при целенаправленных атаках).

Роскомнадзор и Роспотребнадзор подписали соглашение о взаимодействии.

Яндекс.Безопасность опубликовала отчет о расследовании ботнета «MAYHEM» для *NIX-серверов.

Документы:

Advanced Persistent Threat Awareness - результаты опроса об АРТ-атаках членов ISACA и других специалистов по информационной безопасности (англ.). Источник: ISACA.

Understanding Ransomware: Impact, Evolution and Defensive Strategies – в документе обсуждается потенциальное воздействие вирусов-шифровальщиков, используемые ими технологии заражения и способы защиты от подобных угроз.  (англ.). Источник: NCC Group.

Законодательство:

Информация «О несанкционированных операциях с платежными картами». Источник: Банк России.

Приказ ФСТЭК России от 14.03.2014 N 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Программное обеспечение:

GhostCrypt 1.0 — европейский форк TrueCrypt с использованием советской криптографии

Ресурсы:

Noise Security Bit #7 – подкаст о PHDays IV.

Диалоги #поИБэ – доверие к безопасности информационных систем (часть первая).

Конкурс по реверс-инжинирингу от «Лаборатории Касперского».

Материалы с вебинара «Подходы и инструменты личной эффективности» от Андрея Прозорова.

Юмор. XSS

Новости ИБ за 4 – 11 июля 2014 года

Блоги:

Сергей Борисов получил ответы от ФСТЭК на вопросы, связанные со сроками сертификатов, техподдержкой и лицензированием ОС, ПО и СЗИ.

Рекомендации по обнаружению фишинга от Игоря Агурьянова.

Статьи:

В скором времени Oracle планирует прекратить выпуск обновлений Java для Windows XP.

Рекомендации, которые могут помочь снизить риски, связанные с использованием интернет-банкинга.

Меры защиты корпоративной сети от распространения вредоносного ПО через облачные сервисы.

Аудит системы при помощи «родных» приложений ОС Windows: WMIC, CACLS.

Как сдампить учетные записи в ОС Windows?

Специфичные проблемы, выявленные при анализе безопасности приложений для мобильного банкинга российских банков. 

Установка Nessus в Kali Linux.

 

Законодательство:

Федеральный закон Российской Федерации от 28 июня 2014 г. N 184-ФЗ «О внесении изменений в статьи 14 и 17 Федерального закона «Об электронной подписи». Согласно поправкам в данном законе в некоторых сертификатах ключей проверки ЭП в качестве их владельцев можно не указывать физлиц, действующих от имени организаций, которым выданы эти сертификаты.

Федеральный закон Российской Федерации от 28 июня 2014 г. N 195-ФЗ «О внесении изменения в статью 272 Уголовного кодекса Российской Федерации». Исключили упоминание об аресте.

Аналитика:

Статистика кибератак за июнь 2014. Источник: Hackmageddon.com

Ресурсы:

Запись вебинара «DLP-HERO: используем DLP «по закону»  от InfoWatch.

Юмор. Перебор по словарю

Новости ИБ за 27 июня – 4 июля 2014 года

Блоги:

Михаил Емельянников рассказал о том, как один из крупнейших банков в Болгарии решил проблему, возникшую в связи с дезинформацией об отзыве лицензии.

Алексей Лукацский сделал подборку карт атак, которые работают в режиме реального времени.

Статьи:

Обзор кибератак за 16-30 июня 2014г. (англ.).

Преступления в банковской сфере за 24 июня - 3 июля 2014.

Руководство по обработке инцидентов компьютерной безопасности (NIST SP 800-61 R2).

История происхождения термина «0-day».

Защита файла с атрибутами «только для чтения» (read-only) от изменений.

 Руководство по настройке ModSecurity.

Документы:

Руководство по этичному хакингу и тестированию на проникновение (англ.). Источник: Hakin9.

The Ultimate XSS Protection Cheat Sheet for Developers – шпаргалка для разработчиков по защите от XSS (англ.). Автор: Аджин Абрахам (Ajin Abraham).

OUCH! Электронная почта: что следует делать, а что не стоит – июльский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Аналитика:

Мобильные угрозы в июне 2014 года. Источник: Dr.Web.

Ресурсы:

Презентация «Средства для обхода блокировок, шифрования данных и сохранения сетевой приватности» с «Демократического форума для политических и гражданских активистов из Санкт-Петербурга», проходившего 27-29 июня в Эспоо (Финляндия).

 

Материалы со всероссийского форума в области ИТ и Телеком «IT Dialog 2014».