понедельник, 28 декабря 2015 г.

Дайджест новостей по ИБ за 18 – 25 декабря 2015г.



Блоги:
Андрей Прозоров поделился материалом по теме управление доступом и IdM; изучал вопрос культуры и этики специалистов по информационной безопасности.



Статьи:
В протоколе HTTP появится ошибка 451 для заблокированных сайтов.


Бекдор в ScreenOS компании Juniper Network.


Поиск уязвимостей в WordPress с помощью WPScan (англ.).

Обзор рынка управления корпоративной мобильностью (EMM) в России и в мире.

Обзор кибератак за 1 – 15 сентября 2015 (англ.). Источник: Hackmageddon.

Законодательство:
Приказ Минкомсвязи России от 28.08.2015 N 315 «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 N 346» (комментарии Алексея Лукацкого).

Программное обеспечение/сервисы:
PowerSploit v3.0.0 - A PowerShell Post-Exploitation Framework.

Аналитика:
Безопасность веб-ресурсов банков России - исследование оценки уровня безопасности публично доступных банковских ресурсов 100 топовых банков России: официальных сайтов, ДБО для физических и юридических лиц. Источник: Digital Security.

Отчет по уязвимостям, выявленным в течение 2015 года в ходе проведенных тестов на проникновение в организациях финансового сектора*, ритейла, госучдержениях и телекоме. Источник: «Информзащита».

вторник, 22 декабря 2015 г.

Дайджест новостей по ИБ за 11 – 18 декабря 2015г.


Блоги:
Александр Бодрик осветил тему рисков, связанных с третьими сторонами.




Алексей Лукацкий составил перечень крупных мероприятий по информационной безопасности на 2016 год; предложил основные направления, куда может пойти специалист по информационной безопасности в случае увольнения.


Статьи:


Что такое Cross Site Scripting (XSS) и как её устранить (англ.).

Прогноз на 2016 г. от спикеров «Кода ИБ».

Утечка гостайны или как попасть на дачу президента в пять часов утра.

Исследователь с помощью поисковика «Shodan» получил данные 13 млн пользователей MacKeeper и 35 000 баз MongoDB.



Подборка ресурсов для разработки безопасных приложений (англ.).


Законодательство:

Программное обеспечение/сервисы:
Android Vulnerability Test Suite - сканер уязвимостей для Android-устройств

Аналитика:
Статистика кибератак за ноябрь 2015г. (англ.). Источник: Hackmageddon.com.

Мероприятия:

Ресурсы:
Презентации с конференции «ZeroNights 2015».

Видео с «GrrCON 2015».

Видео с «HouSecCon v6 2015».

Видео с «SecureWV2015».

Открытая группа «ICS Cyber Security (Russia)» в Telegram для интерактивного общения по теме.

haveibeenpwned.com/notifyme - сервис, уведомляющий пользователей в случае взлома его электронной почты.

среда, 16 декабря 2015 г.

Дайджест новостей по ИБ за 01 – 11 декабря 2015г.



Блоги:
10 новостей по ИБ за последнее время от Алексея Лукацкого.

Статьи:
Перевод OWASP Testing Guide: 2.1, 2.2.


Let's Encrypt начала предоставлять бесплатные TLS-сертификаты. 



Журналы:



(IN)SECURE Magazine Issue 48 (декабрь 2015). How things change.

Документы:
OUCH! Безопасность онлайн покупок – ноябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:
Ransomware decryptor – декриптор от Касперского.

Wireshark 2.0.0 -  анализатор сетевых протоколов.

Nmap 7 - сканер безопасности

yota.hlsec.ru  - сервис по проверке наличия известных уязвимостей в LTE-модемах компании Yota.

Мероприятия:
Positive Hack Days VI приглашает докладчиков.

Ресурсы:
Презентации с Security Meetup, состоявшегося 22 октября в офисе Mail.ru.

Презентации с «Profit Security Day».

Презентации с «SOC Summit 2015».

Презентации с «SOC-Forum 2015: Практика противодействия кибератакам и построения центров мониторинга ИБ».

Видео с «BIS Summit 2015».



Test lab v.8 – лаборатория тестирования на проникновение от компании «Pentestit».

понедельник, 26 октября 2015 г.

Дайджест новостей по ИБ за 09 – 27 ноября 2015г.

[upd 27.11.2015]

Блоги:
Артем Агеев пытался выяснить, является ли электронный почтовый ящик персональными данными.

Алексей Лукацкий поделился впечатлениями от курса по промышленной безопасности SANS ICS515; посоветовал организаторам мероприятий по ИБ, что нужно включить в памятку спикеру и участнику; рассмотрел симулятор АСУ ТП в качестве средства для обучения ИБ.

Сергей Борисов проанализировал краткий отчет Group-IB «Тенденции развититя преступлений в области высоких технологий 2015».

Сергей Солдатов предложил создать киберполицию; предложил госкомпаниям использовать госаутсорсинг с целью эффективности и результативности работы.

Александр Бондаренко поделился способами организации программы по повышению осведомленности по ИБ.

Андрей Прозоров подготовил перечень вопросов, которые помогают завести беседу с коллегами на профессиональных конференциях и понять их основные задачи, потребности и общий уровень ИБ-компании.

Статьи:
Обзор кибератак за 16 – 30 сентября 2015 (англ.). Источник: Hackmageddon.

Независимый специалист Пирр Ким (Pierre Kim) обнаружил в роутерах Huawei уязвимости.



Обзор лучших стартапов, представленных в экспозиции UK Cyber Innovation Zone в рамках Infosecurity Europe 2015.

Менеджер паролей 1Password хранит данные в открытом виде.


Разработка защищенных банковских приложений:главные проблемы и как их избежать.

Успешное внедрение SIEM: часть 1, часть 2.



Контрольный список для найма тестировщика на проникновение веб-приложений или консультанта по безопасности (англ.).


Перевод OWASP Testing Guide. 1.10, 1.11.

Cisco Security Ninja - повышение осведомленности в области информационной безопасности в Cisco.

Критическая уязвимость в компьютерах Dell позволяет хакерам получать доступ практически к любым данным: Как защититься.

Улучшение сетевой безопасности с помощью Content Security Policy.

Cканеры защищенности веб-приложений (WASS) – обзор рынка в России и в мире.

Дети в интернете: угрозы и решения.

Риски и проблемы хеширования паролей.
Кое-что о закладках, или как АНБ следит за пользователями.

Журналы:
Hakin9 Open. Botneting With Browser Extensions. Выпуск 03/2015 (78).

Программное обеспечение/сервисы:
Quick Android Review Kit - инструмент для поиска уязвимостей в Android-приложениях. (см. обзор).


AI-BOLIT (20151008) - сканер вредоносного кода.

BackBox Linux 4.4 - Linux-дистрибутив для тестирования на проникновение, основанный на Ubuntu.

Intercepter-NG [Android Edition] 1.7 - утилита для перехвата трафика и проведения автоматизированных атак (см. обзор).

Аналитика:
Статистика кибератак за сентябрь 2015г. (англ.). Источник: Hackmageddon.com.

Ресурсы:
Артем Гавриченков. DDoS-атаки.

TechDays. DoS и DDoS атаки (1, 2, 3).

среда, 14 октября 2015 г.

Дайджест новостей по ИБ за 02 – 09 октября 2015г.


Блоги:
Валерий Естехин опубликовал правила Директора по ИБ.

Алексей Лукацкий рассмотрел игры в качестве средства для обучения ИБ.

Статьи:
Преступления в банковской сфере за 18 - 24 сентября, 25 сентября - 1 октября, 2 - 8 октября 2015.

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за сентябрь 2015г.

Использование GRС-решений в информационной безопасности.



В App Store обнаружены зараженные приложения, созданные с участием вредоносного кода XcodeGhost.


Журналы:

OUCH!  Менеджеры паролей – октябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:
Приказ Минкомсвязи России N 186, ФСО России N 258 от 27.05.2015 «Об утверждении Требований к организационно-техническому взаимодействию государственных органов и государственных организаций посредством обмена документами в электронном виде». Утверждены правила электронного документооборота при взаимодействии госорганов и госорганизаций, а также государственных внебюджетных фондов.

Программное обеспечение/сервисы:
Damn Vulnerable Web Application (DVWA) v1.9 -  веб-приложение для повышения навыков тестирования на проникновение, содержащее уязвимости.

Аналитика:

Мероприятия:


Ресурсы:
Видео с «BSides Augusta 2015».

Видео с «DerbyCon 2015».

Видео с «Louisville Infosec 2015».

Отчёт с DEFCON Moscow 0x0A

понедельник, 5 октября 2015 г.

Дайджест новостей по ИБ за 18.09 – 02.10.2015г.



Блоги:

Игорь Агурьянов подготовил список технологий сокрытия вирусов.

Александр Бондаренко затронул тему проверки сертификатов ИБ-специалистов  и компаний.


Валерий Естехин выяснял, требуется ли поэкземплярный учет OTP-токенов.

Алексей Лукацкий искал разницу в пассивной и активной безопасности.

Статьи:
Обзор кибератак за 1 – 15 сентября 2015 (англ.). Источник: Hackmageddon.


Сравнение SIEM-решений для построения SOC.


Меры по защите пользователя в случае выдачи дубликата его сим-карты злоумышленнику + опыт немецких операторов.


Инструменты и ресурсы для подготовки к CTF-соревнованиям (англ.).

Обзор программных межсетевых экранов при защите ИСПДн.

О безопасности UEFI (3, 4, 5).


В App Store обнаружены зараженные приложения, созданные с участием вредоносного кода XcodeGhost.




Журналы:
IN(SECURE) выпус 47 (сентябрь 2015). Тема номера: «Redefining security».

!Безопасность Деловой Информации выпуск #11. Тема номера: «Инновации в ИБ».

Аналитика:


2015 Mobile Payment Security Study – результаты опроса 900 специалистов по кибербезопасности (англ.). Источник: ISACA.

Ресурсы:
Видео с «RVAsec 2015».

Презентации с «PKI-Forum 2015» + видео от Натальи Храмцовской.

Презентации с «Код информационной безопасности 2015» (Новосибирск).

Презентации с «InfosecurityRussia 2015».

вторник, 22 сентября 2015 г.

Дайджест новостей по ИБ за 11-18 сентября 2015г.

Блоги:
Александр Бодрик составил рейтинг личных блогов экспертов по ИБ; составил список кадровых рисков служб ИБ.

Артём Агеев описал один из способов отслеживания документов MS Word.


Алексей Лукацкий ответил на вопрос, касающийся уведомления РКН о месте нахождения баз данных ПДн россиян. + рекомендации Роскомнадзору о том, как собирать сведения о месте нахождения баз данных ПДн россиян; подборка стендов по ИБ АСУ ТП.

Статьи:

Сибиряк попросил прокуратуру проверить Библию, чтобы показать абсурдность закона «о защите детей».


О безопасности UEFI (1, 2).

Обнаружена очередная уязвимость протокола TLS.

Мастер-класс по работе со сканером AI-BOLIT.



Как не стать хакером. Metasploitable2 для стенда.

Документы:
ICS-CERT Monitor (июль-август 2015) - отчет об инцидентах в промышленных системах управления. Источник: ICS-CERT  (см. краткий обзор от Алексея Комарова).

Mobile Security Review 2015 - результаты теста антивирусов для Android (англ.). Источник: AV-Comparatives.

Аналитика:
Исследование DDoS-атак и уязвимостей в веб-приложениях в первой половине 2015 года. Источник: Qrator Labs.


Мероприятия:
2 октября 2015 года в Москве состоится конференция по информационной безопасности «Secure IT World 2015».

Ресурсы:

Опрос «Курсы в сфере практической ИБ и последующая сертификация».

понедельник, 14 сентября 2015 г.

Дайджест новостей по ИБ за 29.08.2015 – 11.09.2015г.


Блоги:
Игорь Агурьянов рассказал сказку про шесть островов.

Обзор Gartner Magic Quadrant для UTM (Unified Threat Management) за 2015 год от Алексея Комарова.


Статьи:
Преступления в банковской сфере 25 - 31 августа, 1-7 сентября 2015.

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за август 2015г.



Перевод OWASP Testing Guide v4: часть 1.7, часть 1.8, часть 1.9.


Результаты сравнительного тестирования блокировщиков рекламы.

Руководство по шифрованию мобильных устройств (англ.).

Обзор распространенных IdM/IAM-систем.

Советы по безопасности для посетителей сайтов знакомств.






CIS анонсировала руководства по установке безопасных настроек для Microsoft Office 2013, Microsoft IIS 8, Oracle Solaris 10 и Oracle Linux 7 (англ.). Источник: CIS.

Журналы:

Документы:
Bypass WAF Cookbook – руководство по обходу межсетевых экранов для веб-приложений (англ.).

Evading All Web-Application Firewalls XSS Filters - в документе описаны способы обхода популярных межсетевых экранов для веб-приложений (WAF). Автор: Мазин Ахмед (Mazin Ahmed).

OUCH! Двухступенчатая верификация – сентябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:
Указание Банка России от 07.08.2015 N 3753-У «О внесении изменений в Положение Банка России от 21 февраля 2013 года N 397-П «О порядке создания, ведения и хранения баз данных на электронных носителях».



Управление Роскомнадзора по Ростовской области напоминает о предоставлении сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации в связи с вступлением в силу Федерального закона от 21.07.2014 № 242-ФЗ.

Программное обеспечение/сервисы:
Empire - PowerShell-агенг для пост-эксплуатации.

AI-BOLIT (20150901) - сканер вредоносного кода.

Аналитика:

Мероприятия:

Ресурсы:
https://securityheaders.io/ - веб-сервис по проверке сайта на наличие HTTP-заголовков, отвечающих за безопасность.

http://персональныеданные.дети/ - сборник материалов для молодежи по защите приватной информации от Роскомнадзора. (комментарии Андрея Прозорова).

Security-News-Feeds - сборник распространенных рассылок о безопасности.

OWASP Python Security Project - проект направлен на создание безопасных приложений, написанных на языке python.

ИБ в душе - подкаст о российскиих аналогах StoneGate.

ИБ в душе - подкаст о безопасности от банков и для банков.

Noise Security Bit #16 - подкаст из Вегасе, после DEFCON и Black Hat.

Вопросы кибербезопасности № 3 (11) - научный, информационно-методический журнал с базовой специализацией в области информационной безопасности.

Видео с DEF CON 23.

четверг, 3 сентября 2015 г.

Дайджест новостей по ИБ за 14 - 29 августа 2015 г.



Блоги:
Михаил Емельянников растолковал вопросы, связанные со вступлением в силу поправок в законодательство, вносимых Федеральным законом от 21.07.2014 № 242-ФЗ, которые волнуют наибольшее количество компаний.

Статьи:




Популярные утилиты для атаки методом полного перебора (brute-force attack).


Как Windows 10 собирает данные о пользователях +  заявление о конфиденциальности корпорации Майкрософт + избавляемся от шпионского функционала Windows 10.

Показатели компрометации (indicator of compromise, IOC) как средство снижения рисков.

Перевод OWASP Testing Guide v4: часть 1.5, часть 1.6.


Обзор карт кибератак и ботнетов в режиме реального времени (англ.).


Выявлена новая мошенническая схема, которая позволяет через интернет подделывать документы как о смерти, так и рождении человека.

Графические ключи также предсказуемы, как пароли «1234567» и «password».

Злоумышленники рассылают фишинговые письма от Роскомнадзора и ПФР.

Журналы:

Документы:
2015 RedList: Security Startups – рейтинг ИБ-стартапов, основанный на результатах опроса «безопасников». Автор: Джастин Сомаини (Justin Somaini).

Законодательство:
Постановление Правительства РФ от 19.08.2015 N 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»).

Программное обеспечение/сервисы:
OWASP ZCR Shellcoder - python-скрипт для денерации шелл-кодов.

Аналитика:
Спам и фишинг во втором квартале 2015. Источник: Лаборатория Касперского

Ресурсы:
LinkMeUp. Выпуск № 30. История APT-атак.

Квант безопасности № 6 – подкаст о безопасности мобильных кошельков, историях с BlackHat, скандалах Oracle и Kaspersky.

Квант безопасности № 7 – подкаст о Security Awareness, мобильных кошельках, метрике ИБ, Gartner и пр.

Mobile Security Wiki – сборник по мобильной безопасности.

Сведения о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц - сервис от ФНС предоставляет возможность получения сведений о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц.

вторник, 25 августа 2015 г.

Дайджест новостей по ИБ за 7 - 14 августа 2015 г.



Блоги:
Алексей Лукацкий привел примеры конкуренции на рынке мероприятий по ИБ.


Статьи:


Рекомендации по регистрации домена/хостинга на себя или свою компанию.

NIST анонсировал SHA-3 Cryptographic Hash Standard.

МВД России присоединилось к глобальной информационной кампании Интерпола «Дадим преступности отпор».


Прошлое и настоящее SSL-сертификатов.


Обзор рынка защиты веб-приложений (WAF) в России и в мире.


ЦБ предупредил о том, что злоумышленники от имени крупных банков присылают зараженные вирусом e-mail-сообщения с предложением оформить карту «Мир».

Корпоративные сети могут быть взломаны с помощью Windows Update.

Министерство обороны уличили в пересылке секретных сведений через публичные почтовые сервисы.                                                                              

Документы:
Результаты теста средств защиты от фишинга (август 2015г.). Источник: AV-comparatives.

Программное обеспечение/сервисы:
Kali Linux v.2.0 – дистрибутив для проведения тестирования на проникновение и аудита безопасности.

OpenSSH 7.0 – набор программ для шифрования сеансов связи с использованием протокола SSH 2.0.

SpiderFoot 2.5.0 – опенсорсная кроссплатформенная утилита для сбора информации о цели.

Аналитика:
DDoS-атаки во втором квартале 2015 года. Источник: Лаборатория Касперского.

Статистика кибератак за июль 2015 г. (англ.). Источник: hackmageddon.com.


Мероприятия:
В ноябре 2015 года на базе Университета ИТМО товарищество RISC проведет всероссийский чемпионат по информационной безопасности.

Ресурсы:
Квант безопасности № 5 – подкаст о фейковомTrueCrypt, рынке ИБ в России, Gartner SIEM 2015, ThunderStrike 2 и проблемах Apple.

Презентации и исходники с Black Hat USA 2015.

Security Week 33: двери без замков, неуязвимость Microsoft, дизассемблер и боль.