понедельник, 30 марта 2015 г.

Дайджест новостей по ИБ за 20 - 27 марта 2015 г.



Блоги:
Ленни Зельцер (Lenny Zeltser) даёт практические советы по обнаружению компрометации вашего сайта с помощью бесплатных сервисов/приложений (англ.).

Краткий обзор прошедшей IDC IT Security Roadshow и РусКрипто 2015 от Алексея Лукацкого.

Геннадий Атаманов раскритиковал «Банк данных угроз безопасности информации».

Статьи:


Итоги Pwn2Own 2015.


На основании Указания Банка России от 14 августа 2014 г. N 3361-У ЦБ не обязывает банки принудительно регистрировать все устройства клиентов.

Малоизвестные решения по защите ИТ-инфраструктуры бизнеса.

Пошаговое руководство по удалению вредоносных приложений на примере XTab and SearchProtect.

Уязвимость на fl.ru позволила получить доступ к конфиденциальным данным пользователей.


6 причин повторного взлома сайта (англ.).


Результаты тестирования антивирусов для домашних пользователей системы Windows 8 (англ.).

Исследование PoSeidon - вредоносного приложения для PoS-терминалов (англ.).

Создание программы по борьбе с внутренними угрозами в организации: участие заинтересованных сторон (часть 4, англ.).

Журналы:
!Безопасность Деловой Информации выпуск #9 - тема номера: «ИБ промышленных предприятий».

Документы:


Персональные данные: что было, что будет, на чем сердце успокоится… - бесплатная книга, посвященная развитию законодательства по защите персональных данных.  Автор: Ксения Шудрова.

Penetration Testing Guidance (PCI DSS) – руководство по проведению тестирования проникновение в соответствии с требованиями п. 11.3 PCI DSS (англ.). Источник: PCI Security Standards Council.

Программное обеспечение/сервисы:

Аналитика:
The Secunia Vulnerability Review 2015 – отчет об уязвимостях в 50 распространенных программах, основанный на анонимных данных, собранных с помощью Secunia Personal Software Inspector (PSI), Источник: Secunia.

State of the Web 2015: Vulnerability Report – отчет о результатах сканирования на наличие уязвимостей и компрометации популярных сайтов из рейтинга Alexa (см. краткий отчет). Источник: Menlo Security.

Unmasked: An Analysis of 10 Million Passwords – результаты исследования психологии выбора пароля (англ.).

Мероприятия:
9 апреля в 19:30 в офисе Mail.Ru состоится Security Meetup.

Ресурсы:
Видеозапись с круглого стола «Банки и Пентестеры vs Вендоры – вызов новым угрозам», прошёдшего в рамках VII Уральского форума.

понедельник, 23 марта 2015 г.

Дайджест новостей по ИБ за 13 – 20 марта 2015 г.



Блоги:
Сергей Борисов опубликовал ответы ФСБ России, касающиеся применения СКЗИ для защиты ПДн; проанализировал публичные источники, посвященные ГосСОПКА.

Артём Агеев написал парсилку базы угроз ФСТЭК.

Игорь Агурьянов поделился впечатлениями о прошедшем семинаре Cyber Security Club «Управление киберрисками в период нестабильности» + презентации.

Алексей Лукацкий рассказал, как на данный момент обстоят дела по информационной безопасности автомобилей в США и России.

Статьи:

Расшифровка TLS-трафика от браузера в Wireshark.


Сертификация CompTIA для ИТ-специалистов: CompTIA Security+ (часть 4).

Ошибка в Google Apps привела к утечке WHOIS-записей о владельцах доменов.

Пять шагов по созданию лаборатории анализа вредоносного программного обеспечения на основе бесплатных утилит (англ.).

Злоумышленники считывали информацию с магнитной полосы карты с помощью скримингового устройства, смонтированного во входную дверь помещения с банкоматами (англ.).

Сравнение статических анализаторов кода с открытым исходным кодом и коммерческой версией.


Создание программы по борьбе с внутренними угрозами в организации: утверждение программы (часть 3, англ.).

Введение в процессы жизненного цикла безопасной разработки приложений (Secure Software Development Life Cycle, англ.).

Адам Крамер (Adam Kramer) предложил идею автоматизировать процесс проверки на наличие вредоносного кода в запускаемых или загружаемых файлах с помощью VirusTotal Public API для домашних пользователей и малого бизнеса (англ.).

Журналы:

Документы:
Технический отчет о деятельности преступной группы, занимающейся целевыми атаками — Anunak. Источник: Group-IB.

EU Cybersecurity Dashboard: A Path to a Secure European Cyberspace – отчёт о компьютерной «боеготовности» стран Евросоюза и их способности противостоять кибератакам (см. обзор). Источник: BSA.

Программное обеспечение/сервисы:
AI-BOLIT v2.0 - сканер вредоносного кода.

Вебинары:

Ресурсы:

Видеоуроки по Cross Site Scripting (XSS).


AVCaesar - онлайн-сервис для анализа вредоносного программного обеспечения.

понедельник, 16 марта 2015 г.

Дайджест новостей по ИБ за 06 – 13 марта 2015г.


Блоги:
Алексей Лукацкий поведал о планах ФСТЭК в области регулирования вопросов защиты информации АСУ ТП, которые были озвучены на VII Уральском форуме «Информационная безопасность банков»; рассказал о том, как в России продают open source в дорогой обертке.

Андрей Прозоров осветил мнения регуляторов по импортозамещению, высказанные ими на заседании временной Комиссии Совета Федерации по развитию информационного общества; подготовил сравнительную таблицу основных международных сертификаций специалистов по информационной безопасности.


Статьи:
Основные виды DDoS-атак и методы защиты.


Большинство программ, скачанных с сайтов загрузок, содержат потенциально нежелательные программы (Potentially Unwanted Programs, PUP).

Анализ SMS-трояна Trojan-SMS.AndroidOS.Podec.

Получение shell-доступа при помощи генератора документов для Microsoft Excel.

Подборка расценок ВУЗов за обучение специализации «Информационная безопасность» и смежным специальностям.



Мониторинг активности в промышленных системах и сетях как безопасный подход к борьбе с киберугрозами.


Перевод сайта с HTTP на HTTPS.

Исследование CryptoStealer – вредоноса для кражи Bitcoin-кошельков.



Создание программы по борьбе с внутренними угрозами в организации: основные компоненты (часть 2, англ.).

Брешь rowhammer в DRAM позволяет получить привилегии ядра.

Документы:

Point-of-Sale Security For Dummies – бесплатная версия книги по защите POS-терминалов в соответствии с требованиями PCI DSS (англ.). Источник:bit9.

Tactical Web Application Penetration Testing Methodology – методология по тестированию на проникновение веб-приложений. Источник: GironSec.


Программное обеспечение/сервисы:
YSO Mobile Security Framework – анализатор кода (статический и динамический) Android- и iOS-приложений.

Enhanced Mitigation Experience Toolkit (EMET) 5.2 - программа для предотвращения эксплуатирования уязвимостей в программном обеспечении.

TheVulnBankуязвимое веб-приложение с функционалом интернет-банка для обучения тестированию на проникновение.

Вебинары:
19 марта 2015 года в 10.00, «Информационная безопасность банка: требования Банка России по осведомлённости персонала и как их выполнить» от Агентства ВЭП.

Аналитика:
Статистика кибератак за февраль 2015 года (англ.). Источник: Hackmageddon.

Kaspersky Security Bulletin. Спам и фишинг в 2014 году.

Ресурсы:
Видео с OWASP Russia Meetup #2.

Видео с Cerias 2015.

PDF Examiner – онлайн-сервис для проверки pdf-файлов на наличие эксплойтов и JavaScript.

http://bdu.fstec.ru/ - Банк данных угроз безопасности информации от ФСТЭК России (БнД УБИ).

www.dlapiperdataprotection.com/ - DLA Piper's Data Protection Laws of the World Handbook. онлайн-сервис по сравнению законодательства по ПДн в разных странах.

среда, 11 марта 2015 г.

Подборка дайджестов новостей по информационной безопасности

[обновлено 16.08.2019]
Российские дайджесты ИБ:
https://rvision.pro/blog/ (бывш. http://ismmarket.ru/digest) - R-Vision (фильтрацию по тегам не увидел, поэтому нужно искать среди других записей блога).
http://ser-storchak.blogspot.ru/ - Сторчак Сергей (фильтрация по тегу «дайджест»).
https://www.tsarev.biz/ - Царев Евгений (фильтрация по тегу «новости» и поиск по названию темы "Интересное за неделю...").
https://bugtraq.ru/ - BugTraq.ru.
http://habrahabr.ru/company/kaspersky/ - Лаборатория Касперского (искать по названию темы «Security Week...» или тегу)
http://bis-expert.ru/news/is - BISA
http://www.amulet-group.ru/info.htm?id=7 - преступления в банковской сфере от "Амулет"
http://safe.cnews.ru - площадка CNews (блок про ИБ)
http://blog.antiphish.ru/tags/daydzhest/ - антифишинг-дайджест. Представляют новости об актуальных технологиях фишинга и других атаках на человека.

Зарубежные дайджесты ИБ:
http://www.primalsecurity.net/weekly-news/ - Primal Security Podcast.
http://goo.gl/BABmHW - The Province of British Columbia
http://goo.gl/5rnEpN - HP Security Research Blog (искать по названию темы "HP Security Research OSINT (OpenSource Intelligence) articles of interest")
http://cloudacademy.com/blog/ - CloudAcademy (искать по названию темы «Cloud Technology and Security Alert News Digest – Issue #»)
https://thisweekin4n6.com/ - еженедельные новости от "This Week in 4n6", посвященные цифровой криминалистике и расследованию инцидентов
https://medium.com/infosec-weekly-update - InfoSec Weekly Update от Medium
https://nakedsecurity.sophos.com/author/naked-security-writer/ - Naked Security от Sophos
https://www.talosintelligence.com/newsletters - Talos ThreatSource Newsletters
https://pentester.land/newsletter -  Pentester Land. The 5 Hacking NewsLetter
https://www.wordfence.com/weekly/ -  Wordfence Weekly
https://security-soup.net/category/news/ -  Security Soup
https://www.anomali.com/blog/category/weekly-threat-briefing - Еженедельный брифинг по угрозам от Anomali
https://erpscan.io/tag/cyberattack-digest/ - Week Cyberattack Digest от ERPScan

вторник, 10 марта 2015 г.

Дайджест новостей по ИБ за 27.02.2015 - 06.03.2015 гг.



Блоги:
Алексей Лукацкий подробно расписал проекты Банка России, о которых говорилось на Магнитогорской конференции; рассказал о киберучениях для руководителей по ИБ, которые также проходили в рамках данного мероприятия.

Обзор докладов VII Уральского форума «Информационная безопасность банков» от Андрея Прозорова: часть 2, часть 3.

Игорь Михеев обнаружил коллизию положений действующих федеральных нормативных актов, связанную с обработкой персональных данных о судимости.

Статьи:


Уязвимость FREAK в TLS/SSL: хакер.ru (раз, два), Digital Security, The Hacker News.

Файл /proc/kcore может быть использован для получения паролей пользователей Linux-системы.

Плюсы и минусы аутсорсинга.


Создание программы по борьбе с внутренними угрозами в организации: введение (часть 1, англ.).

Взлом корпоративного Wi-Fi с помощью Kali Linux NetHunter.

SibSUTIS CTF 2015: как мы проводили свои студенческие соревнования.

Вычисление Struts CSRF Token (CVE-2014-7809).


TOP взломанных паролей за 2014 год по версии NetSPI (англ.).

Журналы:
(IN)SECURE Magazine Issue 45 (март 2015) - тема номера: «Безопасность вещей» (англ.).



Документы:
Department of Defense Cloud Computing Security Requirements Guide, Version 1, Release 1 - руководство Министерства обороны США по требованиям безопасности облачных вычислений (см.краткое описание). Источник: Public Intelligence.

ГОСТ Р 56115-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования». Стандарт устанавливает дополнительные требования и положения комплекса стандартов серии 34.ХХХХ на АС в части создания и применения СЗИ АС в защищенном исполнении от преднамеренных силовых электромагнитных воздействий, которые могут привести к деструктивным воздействиям.

ГОСТ Р 56093-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования». Стандарт устанавливает требования к средствам обнаружения факта преднамеренных силовых электромагнитных воздействий на АС в защищенном исполнении с выдачей извещения о его воздействии, а также к средствам обнаружения, которые обеспечивают формирование данных об амплитудах, временных и иных характеристиках преднамеренных силовых электромагнитных воздействий, необходимых для их обработки в системах более высокого уровня.

OUCH! Безопасность онлайн игр – мартовский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.
 
Программное обеспечение/сервисы:
CMSMap – утилита, написанная на python, для сбора информации (имена пользователей, версия движка, используемые компоненты) с веб-ресурсов, базирующихся на движках WordPress, Joomla и Drupal.

Vane - версия WPScan (сканер уязвимостей для WordPress) под лицензией GPL.

Аналитика:
Обзор вирусной активности для Android-устройств за февраль 2015 года. Источник: Dr.Web.

Мероприятия:
10 марта стартует online-этап хакерского соревнования NeoQUEST-2015.

Ресурсы:
Noise Security Bit #13подкаст о «responsible disclosure» и реалиях жизни.

Открытая безопасность #38 – подкаст об аудите защищенности информационных систем (часть 2).

https://androidsecuritywiki.com/ - Android Security Wiki. Сборник ссылок на ресурсы по безопасности Android.

Видео с конференции «DeepSec 2014».

Презентации с «ICS Security Summit 2015».

http://dayswithoutansslexploit.com – сервис для подсчета количества дней с момента обнаружения последней SSL-уязвимости.

http://weakpass.com/ - Weak passwords collection.

понедельник, 2 марта 2015 г.

Дайджест новостей по ИБ за 20 – 27 февраля 2015 г.


Блоги:
Впечатления о VII Уральском форуме «Информационная безопасность банков» от Михаила Емельянникова, Андрея Прозорова + презентации.

Влад Стырян опроверг слухи о том, что Apple Mac OS X является самой уязвимой ОС в 2014 году.

Статьи:


Список лучших зарубежных твиттер-аккаунтов CISO и CSO (англ.).

Влияние СМИ на репутацию компании: Infowatch vs. SearchInform.

Сравнение онлайн-сервисов для анализа вредоносного кода (англ.).


В маршрутизаторах известных производителей обнаружена недокументированная учетная запись (англ.).
 
Документы:
Информация для субъектов персональных данных по обобщению практики рассмотрения обращений граждан Управлением Роскомнадзора по Ростовской области. Источник: Роскомнадзор.

Программное обеспечение/сервисы:
Lynis v2.0.0 – утилита для аудита безопасности Unix- и Linux-систем.

Аналитика:
Итоги рассмотрения Управлением Роскомнадзора по Ростовской области в 2014 году обращений граждан и юридических лиц по вопросам защиты прав субъектов персональных данных. Источник: Роскомнадзор.

Ресурсы:
Видео с конференции «LASCON 2014».

Видео с конференции «BSides Tampa 2015».

Видео с конференции «BSides Huntsville 2015».

Видео с конференции «BSides Columbus 2015».

Видео с конференции «ShmooCon Firetalks 2015».

Noise Security Bit #13 – подкаст о Intercepter-NG.

Открытая безопасность #38 – подкаст об аудите защищенности информационных систем (часть 1).

Полезные ссылок для создания собственной группу реагированию на инциденты (CERT/CSIRT).

Securit13 #28 – подкаст о CTF в Украине и прочем.

Уроки XSS от Google (англ.).