Дайджест новостей по ИБ за 21-28 ноября 2014 года

Блоги:

Алексей Лукацкий рассказал об освоении новых форматов донесения информации по ИБ до аудитории; поделился впечатлениями от Cisco Connect Moscow 2014.

Статьи:

Утечка аккаунтов CTF365.

Бесплатные SSL-сертификаты от «Let's Encrypt».

Защита Windows от уязвимости в SSL v3.

Безопасность Виртуализации. Часть 2

Обнаружение уязвимостей в развивающихся сетевых системах (англ.)

BlackEnergy2: новые плагины, взлом маршрутизаторов и данные о жертвах.

Список киберпреступлений за ноябрь 2014 года.

Краткий анализ троянской программы Regin.

Законодательство:

Приказ Министерства Российской Федерации по развитию Дальнего Востока (Минвостокразвития России) от 2 октября 2014 г. N 76 г. Москва «Об упорядочении обращения со служебной информацией ограниченного распространения в Минвостокразвития России"». Можно использовать в качестве шаблона для разработки Положения о порядке обращения со служебной информацией ограниченного распространения.

Федеральный закон Российской Федерации от 24 ноября 2014 г. N 364-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Гражданский процессуальный кодекс Российской Федерации». Закреплен порядок ограничения доступа к информации, распространяемой в Интернете с нарушением исключительных прав на фильмы.

Программное обеспечение/сервисы:

Detekt v1.8 - бесплатный инструмент для обнаружения шпионских приложений.

Аналитика:

Спам и фишинг в третьем квартале 2014. Источник: Лаборатория Касперского.

Мероприятия:

29 ноября 2014 г. d в 11:00 (UTC), 9447 Security Society CTF.

Ресурсы:

Диалоги #поИБэ №22 – подкаст о мобильных угрозах (часть 2).

Открытая безопасность №19 – подкаст о впечатлениях с ZeroNights 2014.

Материалы с V международной конференции по защите персональных данных: презентации, видео (часть 1, часть 2, часть 3).

Видео с конференции Hack3rcon 5.

Дайджест новостей по ИБ за 14-21 ноября 2014 года

Блоги:

Сергей Борисов подготовил ряд вопросов, ответы на которые помогут провести качественную оценку ущерба активам от угроз ИБ.

Алексей Лукацкий опубликовал список крупных мероприятия по информационной безопасности на 2015 год.

Статьи:

Преступления в банковской сфере 11 - 13 ноября 2014

Обзор кибератак за 1-15 ноября 2014 г. (англ.).

Обзор конференции ZeroNights 2014 от Digital Security

Обзор опенсорсных инструментов для статического анализа кода (англ.).

Безопасность виртуализации.

Девять мессенджеров, обеспечивающих лучшую безопасность и приватность.

Эксперты Positive Technologies обнаружили уязвимости в 4G-модемах.

Новый вариант троянца Citadel нацелен на менеджеры паролей.

Документы:

Android Application Secure Design/Secure Coding Guidebook – сборник советов и рекомендаций для разработчиков по проектированию безопасных Android-приложений и написания надежного кода (англ.). Авторы: Japan Smartphone Security Association (JSSEC)

Программное обеспечение/сервисы:

MeterSSH – Meterpreter через SSH (см. обзор)

Nessus v6 – сканер уязвимостей.

Аналитика:

Развитие информационных угроз в третьем квартале 2014 года. Источник: Лаборатория Касперского.

Мероприятия:

27 ноября 2014 года в Москве состоится пятая Международной конференции «Борьба с мошенничеством в сфере высоких технологий. AntiFraud Russia – 2014».

4 декабря 2014 года в офисе Mail.Ru Group при информационной поддержке журнала Хакер пройдет Security Meet Up.

Ресурсы:

Диалоги #поИБэ №21 – подкаст о мобильных угрозах (часть 1).

Подкаст про WireLurker и операция ФБР в Tor от «Лаборатории Касперского».

Материалы с конференции ZeroNights 2014.

Дайджест новостей по ИБ за 7-14 ноября 2014 года

Блоги:
Алексей Лукацкий уведомил о планах Европы ограничить распространение инструментов для обхода средств защиты; предложил создать этический кодекс пентестера.

Презентация Андрея Прозорова, посвященная нормативным документам по теме КВО/КСИИ/КИИ/АСУ.

Статьи:
APT-атака Darkhotel.

Буткит: прошлое, настоящее и будущее (англ.).

Gupt - троян, использующий имена беспроводных сетей для запуска команд.

Советы по защите Android-устройств.

Лучшие практики обеспечения безопасности в облаке.

Тенденции угроз ИБ на 2015 год от Trend Micro (англ.).

Обзор приказа ФСТЭК № 31 от 14 марта 2014 от Positive Technologies. 

Как открыть навесной замок без ключа

Руководство по установке, настройке и использованию сканера уязвимостей сервера Rootkit Hunter (rkhunter).

Найдена критическая уязвимость в Microsoft SChannel.

Исследователи из IBM X-Force обнаружили критическую уязвимость CVE-2014-6332.

Новая техническая информация о ранее неизвестных аспектах атаки Stuxnet от Лаборатории Касперского.

Журналы:
Журнал «Information Security/ Информационная безопасность» #5, 2014

Документы:
ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам». Стандарт представляет рекомендации в области готовности к опасным ситуациям и инцидентам.

ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных». Стандарт устанавливает требования к системе менеджмента персональной информации, направленные на обеспечения выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области.

ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса».

Password Security. Thirty-Five Years Later – история развития парольной защиты (англ.). Источник: SANS.

Securing DNS to Thwart Advanced Targeted Attacks and Reduce Data Breaches - защита DNS-сервера от целенаправленных атак (англ.). Источник: SANS.

Законодательство:
Приказ Главного управления специальных программ Президента Российской Федерации (ГУСП) от 25 июля 2014 г. N 42 г. Москва «Об организации работы с персональными данными в Главном управлении специальных программ Президента Российской Федерации». Можно использовать в качестве шаблона для написания Политики по обработке и защите персональных данных.


Федеральный закон Российской Федерации от 4 ноября 2014 г. N 334-ФЗ «О внесении изменений в статью 8 Федерального закона «О банках и банковской деятельности». Поправками введена обязанность кредитной организации раскрывать на своем сайте информацию о квалификации и опыте работы членов совета директоров (наблюдательного совета), лиц, занимающих должности единоличного исполнительного органа, заместителей, членов коллегиального исполнительного органа, главного бухгалтера, его заместителя, а также руководителя, главного бухгалтера филиала.

Программное обеспечение/сервисы:
Enhanced Mitigation Experience Toolkit (EMET) 5.1 - программа для предотвращения эксплуатирования уязвимостей в программном обеспечении.
 
Аналитика:
Статистика кибератак за октябрь 2014 года (англ.). Источник: Hackmageddon.

Мероприятия:
21 ноября в 11.00 состоится мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о блуждающем гаджете». 

Ресурсы:
Открытая безопасность №18 – подкаст о Log manager/SIEM/СУИБ, а именно о выборе ядра системы управления ИБ.

Noise Security Bit #10 – подкаст о безопасности мобильных облаков на примере iCloud, о форенсике и реверс-инжиниринге для современных мобильных устройств.

Руководство по поиску уязвимостей в php-скриптах (англ.).

Юмор. Уязвимости года

Shellshock, Heartbleed и Poodle

Источник: https://twitter.com/elainefinnell/status/528327558925131776

Дайджест новостей по ИБ за 31 октября – 07 ноября 2014 года

Статьи:

Обзор кибератак за 16-31 октября 2014 г. (англ.).

Сравнительная таблица мессенджеров с точки зрения безопасности.

Тестирование пропускной способности сети с Iperf.

Утечка аккаунтов iTunes.

Борьба с потенциально нежелательными программами (Potentially Unwanted Program, PUP).

Новый вектор атаки Reflected File Download позволяет передавать на компьютер пользователя исполняемые файлы, используя домены легитимных провайдеров.

Журналы:

Pentest Magazine Issue 05/2014 (13) – бесплатная версия ноябрьского номера (англ.).

Hakin9 Magazine. Issue 1/2014 (6) – вторая часть бесплатной версии журнала, посвященная Kali Linux (англ.).

Документы:

OUCH! Социальная инженерия – ноябрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Аналитика:

Мобильные угрозы в октябре 2014 года. Источник: Dr.Web

Полугодовой отчет по информационной безопасности за 2014 год – в документе представлена аналитика угроз и тенденций в области кибербезопасности за первое полугодие 2014 года.  Источник: Cisco.

Ресурсы:

Insecam – веб-каталог незащищённых видеокамер (см. обзор)

Дайджест новостей по ИБ за 24-31 октября 2014 года

Блоги:

Артем Агеев опубликовал ответ ФСТЭК, в котором разъясняется необходимость применения средств доверенной загрузки для обеспечения безопасности персональных данных в информационных системах персональных данных 3 и 4 уровня защищённости. 

Алексадр Бодрик провел аналогию между специальностями по информационной безопасности и  медициной.

Статьи:

15 способов обхода PowerShell Execution Policy.

16 рецептов защиты от DDoS-атак своими силами.

Роль маркетинга в сфере информационной безопасности.

Примеры использования анализатора исходных кодов RATS.

Как собирать рекомендации при приеме на работу.

Банковский троян Dridex осуществляет заражение персональных компьютеров, используя макросы Word.

В CMS Drupal v7.x обнаружена критическая уязвимость, позволяющая неавторизованному пользователю выполнять произвольные SQL-запросы в БД ресурса.

Документы:

IT Security Products for Small Business 2014 – обзор ИБ-решений для малого бизнеса. Источник: AV-Comparatives.

Information Supplement: Best Practices for Implementing a Security Awareness Program - рекомендации по построению программы повышения осведомленности в сфере ИБ. Автор: Security Awareness Program Special Interest Group PCI SSC.

Законодательство:

Федеральный закон Российской Федерации от 22 октября 2014 г. N 319-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Внесены изменения в Федеральный закон от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе».

Мероприятия:

7 ноября 2014 года в 11.00 состоится мастер-класс Алексея Лукацкого «Внутренний маркетинг службы ИБ».

Ресурсы:

Презентации с конференции Ruxcon.

Полезные ссылки для веб-мастеров по безопасности и защите сайтов от Revisium.

Видеозапись мастер-класса «Bad USB как иллюстрация новых угроз в ИБ».

Диалоги #поИБэ №17 – подкаст посвящен теме мониторинга и управления информационной безопасности.

Диалоги #поИБэ №20  - продолжение подкаста о банковском мошенничестве и атаках на финансовые организации.

Surveillance Self-Defense – сайт с инструкциями для рядовых пользователей по обеспечению безопасности и анонимности в Интернете.

Книги:

Hack Yourself First: A Beginner’s Guide to Penetration Testing.

Автор: Стивен Хейвуд (Stephen Haywood)

Язык: англ.

Год издания: 2013

Описание: бесплатная версия книги, предназначенная для новичков в области пентеста. В ней достаточно подробно описан процесс проведения различного рода тестирования на проникновение. Практическая часть сделана в виде лабораторных работ, что упрощает восприятие материала.

Threat Modeling: Designing for Security

Автор: Адам Шостак (Adam Shostack)

Язык: англ.

Год издания: 2014

Описание:  Адам Шостак отвечает за моделирование угроз безопасности на разных этапах жизненного цикла в Microsoft и является одним из немногих специалистов по моделированию угроз в мире. В книге он делится своим опытом, подробно описывая безопасное проектирования систем, программного обеспечения или сервисов с нуля.

 Data-Driven Security: Analysis, Visualization and Dashboards

Авторы: Джей Якобс (Jay Jacobs), Боб Рудис (Bob Rudis).

Язык: англ.

Год издания: 2014

Описание: если хотите научиться оценивать эффективность ваших методов обеспечения информационной безопасности и принимать более обоснованные решения, использую инструменты для аналитики и визуализации, тогда эта книга для вас.