Дайджест новостей по ИБ за 5 – 12 сентября 2014 года

Блоги:

Владимир  Безмалый опубликовал TOP-100 паролей, которые были слиты с mail.ru и Яндекса.  

Статьи:

BankAPI: бесплатная альтернатива SWIFT.

Аудит безопасности одной медиакомпании.

Преступления в банковской сфере 26 августа - 3 сентября 2014.

Обзор вредоносного ПО для нужд правительства и шпионских троянов.

Обзор устройств для тестирования на проникновение.

Обзор веб-сервисов и утилит для анализа Android-файлов на предмет выявления всевозможных вредоносных программ (англ.).

Результаты проверки на возможность атаки на популярные менеджеры паролей с целью получения мастер-пароля или возможности частичного получения данных, сохраненных в базе паролей. Несмотря на недостатки в менеджерах паролей Брюс Шнайер всё же рекомендует их использовать.

Примеры фишинговых и вредоносных писем, которые рассылаются злоумышленниками от имени международных служб доставки.

Пример типичной атаки злоумышленников, нацеленной на хищение денежных средств в системе ДБО.

Документы:

Converge IT & Critical Infrastructure Protection -  совместный отчет Gartner и Positive Technologies по безопасности критических инфраструктур (англ.).

Information Supplement. Skimming Prevention: Best Practices for Merchants v2.0 – руководство по защите от скриминга. Источник: PCI Security Standards Council.

Законодательство:

Августовский обзор законопроектов в сфере интернет-регулирования.

Указ Президента РФ от 01.09.2014 N 595 «О внесении изменений в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203». В перечень сведений, отнесенных к государственной тайне, включено обеспечение безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Приказ Федеральной службы по финансовому мониторингу (Росфинмониторинг) от 21 января 2014 г. N 10  «Об утверждении Положения об обработке и защите персональных данных в Федеральной службе по финансовому мониторингу». Документ можно использовать в качестве шаблона для разработки Положения об обработке и защите персональных данных.

Вебинары:

15 сентября в 11:00, «Возникновение угроз нулевого дня – Security CheckUp Report 2014» от ассоциации BISA.

16 сентября в 11:00, «Обзор современных технологий и продуктов для защиты от инсайдеров» от компании Диалог-Наука.

Аналитика:

Статистика кибератак за август 2014 года (англ.).

Мероприятия:

16-18 сентября, Санкт-Петербург, XII Международная конференция по проблематике инфраструктуры открытых ключей и электронной цифровой подписи «PKI-Forum Россия 2014».

18 сентября, Екатеринбург, конференция IDC IT Security Roadshow 2014.

19 сентября, Москва, VI международная конференция «Business Information Security Summit’2014».

C 3 сентября Twitter запустил программу по выплате денежных вознаграждений за найденные уязвимости (Bug Bounty).

Ресурсы:

Открытая безопасность № 15 – подкаст с обзором осенних конференций по информационной безопасности в России.

Материалы с конференции DEF CON 22 + разбор заданий с  DEF CON CTF.

Бесплатные тесты предварительной подготовки к экзаменам CISSP, CEH и PMP от Skillset.