вторник, 31 марта 2015 г.
понедельник, 30 марта 2015 г.
Дайджест новостей по ИБ за 20 - 27 марта 2015 г.
Блоги:
Ленни Зельцер (Lenny Zeltser)
даёт практические
советы по обнаружению компрометации вашего сайта с помощью бесплатных
сервисов/приложений (англ.).
Краткий обзор прошедшей IDC
IT Security Roadshow и РусКрипто 2015
от Алексея Лукацкого.
Геннадий Атаманов раскритиковал «Банк данных угроз безопасности
информации».
Статьи:
Работа со сканером безопасности
Antidoto.
Итоги Pwn2Own 2015.
На основании Указания Банка России от 14 августа
2014 г. N 3361-У ЦБ не обязывает банки принудительно регистрировать все
устройства клиентов.
Малоизвестные решения по защите ИТ-инфраструктуры
бизнеса.
Пошаговое руководство
по удалению вредоносных приложений на примере XTab and SearchProtect.
Уязвимость на fl.ru позволила
получить доступ к конфиденциальным данным пользователей.
Карьерный
путь кибербезопасника (англ.).
6 причин повторного взлома
сайта (англ.).
Результаты тестирования
антивирусов для домашних пользователей системы Windows 8 (англ.).
Исследование PoSeidon - вредоносного
приложения для PoS-терминалов
(англ.).
Создание программы
по борьбе с внутренними угрозами в организации: участие заинтересованных
сторон (часть 4, англ.).
Журналы:
!Безопасность Деловой Информации выпуск
#9 - тема номера: «ИБ промышленных предприятий».
Документы:
Доклад «Об осуществлении
ФСТЭК России в 2014 году государственного контроля в соответствующих сферах
деятельности и об эффективности такого контроля». Источник: ФСТЭК.
Доклад «Об
осуществлении государственного контроля (надзора) и об эффективности такого
контроля (надзора) за 2014 год» (см. краткий обзор от Андрея Прозорова). Источник:
Роскомнадзор.
Персональные
данные: что было, что будет, на чем сердце успокоится… - бесплатная книга,
посвященная развитию законодательства по защите персональных данных. Автор: Ксения Шудрова.
Penetration
Testing Guidance (PCI DSS) – руководство по проведению тестирования
проникновение в соответствии с требованиями п. 11.3 PCI DSS (англ.). Источник: PCI Security Standards Council.
Программное обеспечение/сервисы:
14 июля 2015 года оканчивается
поддержка Windows Server 2003.
Аналитика:
The Secunia Vulnerability Review 2015 – отчет об
уязвимостях в 50 распространенных программах, основанный на анонимных
данных, собранных с помощью Secunia Personal Software Inspector
(PSI), Источник: Secunia.
State of the Web 2015: Vulnerability Report
– отчет о результатах сканирования на наличие уязвимостей
и компрометации популярных сайтов из рейтинга Alexa (см. краткий отчет).
Источник: Menlo Security.
Unmasked: An Analysis of 10 Million Passwords – результаты
исследования психологии выбора пароля (англ.).
Мероприятия:
9 апреля в 19:30 в офисе Mail.Ru состоится
Security Meetup.
Ресурсы:
Видеозапись с круглого стола «Банки
и Пентестеры vs Вендоры – вызов новым угрозам», прошёдшего в рамках VII Уральского форума.
понедельник, 23 марта 2015 г.
Дайджест новостей по ИБ за 13 – 20 марта 2015 г.
Блоги:
Сергей Борисов опубликовал ответы
ФСБ России, касающиеся применения СКЗИ
для защиты ПДн; проанализировал публичные источники, посвященные ГосСОПКА.
Артём Агеев написал парсилку базы угроз ФСТЭК.
Игорь Агурьянов поделился впечатлениями
о прошедшем семинаре Cyber
Security Club «Управление киберрисками в период нестабильности» + презентации.
Алексей Лукацкий рассказал, как
на данный момент обстоят дела по информационной
безопасности автомобилей в США и России.
Статьи:
Обзор
кибератак за 1 – 15 марта 2015 (англ.).
Расшифровка TLS-трафика от браузера в Wireshark.
Сертификация CompTIA для
ИТ-специалистов: CompTIA
Security+ (часть 4).
Ошибка в Google Apps привела к утечке WHOIS-записей о
владельцах доменов.
Пять шагов по созданию лаборатории анализа
вредоносного программного обеспечения на основе бесплатных утилит (англ.).
Злоумышленники считывали
информацию с магнитной полосы карты с помощью скримингового
устройства, смонтированного во входную дверь помещения с банкоматами
(англ.).
Сравнение
статических анализаторов кода с открытым исходным кодом и коммерческой
версией.
Информация о предыдущих wi-fi-соединениях
позволяет следить за передвижением человека.
Создание программы
по борьбе с внутренними угрозами в организации: утверждение программы
(часть 3, англ.).
Введение в процессы
жизненного
цикла безопасной разработки приложений (Secure Software Development Life
Cycle, англ.).
Адам Крамер (Adam Kramer) предложил идею
автоматизировать процесс проверки на наличие вредоносного кода в запускаемых
или загружаемых файлах с помощью VirusTotal
Public API для домашних пользователей и малого бизнеса (англ.).
Журналы:
Документы:
Технический отчет о деятельности
преступной группы, занимающейся целевыми атаками — Anunak. Источник: Group-IB.
EU Cybersecurity Dashboard: A Path to a Secure European Cyberspace – отчёт о компьютерной «боеготовности» стран
Евросоюза и их способности противостоять кибератакам (см. обзор). Источник: BSA.
Программное обеспечение/сервисы:
AI-BOLIT v2.0 - сканер
вредоносного кода.
Вебинары:
24 марта в 11:00 (МСК), «DLP Hero. Иногда надо быть
жестче или увольнение за разглашение охраняемой законом тайны» от Infowatch.
Ресурсы:
Видеоуроки по Cross
Site Scripting (XSS).
Запись вебинара «Как защититься от действий социальных
инженеров» от SearchInform.
AVCaesar
- онлайн-сервис для анализа вредоносного программного
обеспечения.
понедельник, 16 марта 2015 г.
Дайджест новостей по ИБ за 06 – 13 марта 2015г.
Блоги:
Алексей Лукацкий поведал о планах ФСТЭК в
области регулирования вопросов защиты информации АСУ ТП, которые были
озвучены на VII Уральском форуме «Информационная безопасность банков»;
рассказал о том, как в России продают open source в дорогой обертке.
Андрей Прозоров осветил мнения регуляторов по
импортозамещению, высказанные ими на заседании временной Комиссии Совета Федерации по
развитию информационного общества; подготовил сравнительную таблицу
основных международных
сертификаций специалистов по информационной безопасности.
Алексей Комаров подготовил обзор
отечественных решений для обеспечения безопасности АСУ ТП (часть 1).
Статьи:
Основные виды DDoS-атак
и методы защиты.
Жителя Квебека оштрафовали за отказ предоставить пароль
к своему смартфону в аэропорте Канады.
Большинство
программ, скачанных с сайтов загрузок, содержат потенциально
нежелательные программы (Potentially Unwanted Programs, PUP).
Анализ SMS-трояна Trojan-SMS.AndroidOS.Podec.
Получение shell-доступа
при помощи генератора документов для Microsoft Excel.
Подборка расценок ВУЗов за обучение специализации «Информационная
безопасность» и смежным специальностям.
ФСТЭК России сформировала банк данных угроз безопасности
информации.
Мониторинг активности
в промышленных системах и сетях как безопасный подход к борьбе с киберугрозами.
Перевод сайта с HTTP на HTTPS.
Исследование
CryptoStealer – вредоноса для кражи Bitcoin-кошельков.
Введение
в SSL Strip (англ.).
Защита
от веб-кэширования (англ.).
Создание программы
по борьбе с внутренними угрозами в организации: основные компоненты (часть 2, англ.).
Брешь rowhammer в DRAM
позволяет получить привилегии ядра.
Документы:
Глобальное исследование утечек
конфиденциальной информации в 2014 году. Источник: InfoWatch.
Point-of-Sale Security For Dummies
– бесплатная версия книги по защите POS-терминалов в соответствии с требованиями PCI DSS (англ.). Источник:bit9.
Tactical Web Application Penetration Testing Methodology
– методология по тестированию на проникновение веб-приложений. Источник: GironSec.
Информационное
сообщение ФСТЭК России «О банке данных угроз безопасности информации» от 6
марта 2015 г. N 240/22/879.
Источник: ФСТЭК России.
Программное обеспечение/сервисы:
YSO
Mobile Security Framework – анализатор кода (статический и динамический)
Android- и iOS-приложений.
Enhanced Mitigation Experience Toolkit (EMET) 5.2 - программа для предотвращения эксплуатирования уязвимостей
в программном обеспечении.
TheVulnBank – уязвимое веб-приложение с функционалом интернет-банка для обучения тестированию на проникновение.
Вебинары:
19 марта 2015 года в 10.00, «Информационная
безопасность банка: требования
Банка России по осведомлённости персонала и как их выполнить» от Агентства
ВЭП.
Аналитика:
Kaspersky Security Bulletin. Спам
и фишинг в 2014 году.
Ресурсы:
Видео с OWASP Russia Meetup #2.
Видео с Cerias
2015.
PDF Examiner – онлайн-сервис
для проверки pdf-файлов на наличие эксплойтов и JavaScript.
http://bdu.fstec.ru/
- Банк данных угроз безопасности информации от ФСТЭК России (БнД УБИ).
www.dlapiperdataprotection.com/ - DLA Piper's Data Protection Laws of the World Handbook. онлайн-сервис по
сравнению законодательства по ПДн в разных странах.
пятница, 13 марта 2015 г.
среда, 11 марта 2015 г.
Подборка дайджестов новостей по информационной безопасности
[обновлено 26.11.2023]
https://www.sans.org/newsletters/newsbites/ - SANS NewsBites.http://goo.gl/5rnEpN
- HP Security Research Blog (искать по названию темы "HP Security
Research OSINT (OpenSource Intelligence) articles of interest") https://medium.com/infosec-weekly-update - InfoSec Weekly Update от Mediumhttps://www.talosintelligence.com/newsletters - Talos ThreatSource Newsletters
Российские дайджесты ИБ:
https://rvision.ru/blog - R-Vision (фильтрацию по тегу "Дайджесты ИБ").
https://bugtraq.ru/ - BugTraq.ru.
http://habrahabr.ru/company/kaspersky/ - Лаборатория Касперского (искать по названию темы «Security Week...»)
http://habrahabr.ru/company/kaspersky/ - Лаборатория Касперского (искать по названию темы «Security Week...»)
(не) Безопасный дайджест от SearchInform.
http://www.amulet-group.ru/info.htm?id=7 - преступления в банковской сфере от "Амулет"
https://blog.startx.team/tags/daydzhest/ (бывш. "Антифишинг") - обзор новостей об актуальных технологиях фишинга и других атаках на человека.
http://www.amulet-group.ru/info.htm?id=7 - преступления в банковской сфере от "Амулет"
https://blog.startx.team/tags/daydzhest/ (бывш. "Антифишинг") - обзор новостей об актуальных технологиях фишинга и других атаках на человека.
https://www.ussc.ru/news/novosti/ - обзор изменений в законодательстве от УЦСБ (искать по названию темы «Обзор изменений в законодательстве...»).
https://t.me/integral_security - ФГБУ НИИ «Интеграл (искать в поике по ключевому слову «дайджест»).
Подкасты по информационной безопасности:
SecLab NEWS от Александра Антипов
Прожектор по ИБ от Александра Леонова
Зарубежные дайджесты ИБ:
http://goo.gl/BABmHW - The Province of British Columbia
https://thisweekin4n6.com/ - еженедельные новости от "This Week in 4n6", посвященные цифровой криминалистике и расследованию инцидентов
https://www.wordfence.com/blog/ - Wordfence Intelligence Weekly WordPress Vulnerability Report (искать по названию темы «Wordfence Intelligence Weekly...»).
https://www.wordfence.com/blog/ - Wordfence Intelligence Weekly WordPress Vulnerability Report (искать по названию темы «Wordfence Intelligence Weekly...»).
вторник, 10 марта 2015 г.
Дайджест новостей по ИБ за 27.02.2015 - 06.03.2015 гг.
Блоги:
Алексей Лукацкий подробно расписал проекты Банка России, о которых говорилось на Магнитогорской конференции; рассказал о киберучениях для руководителей по ИБ, которые также проходили в рамках данного мероприятия.
Обзор докладов VII Уральского форума «Информационная безопасность банков» от Андрея Прозорова: часть 2, часть 3.
Игорь Михеев обнаружил коллизию положений действующих федеральных нормативных актов, связанную с обработкой персональных данных о судимости.
Статьи:
Файл /proc/kcore может быть использован для получения паролей пользователей Linux-системы.
Плюсы и минусы аутсорсинга.
Создание программы по борьбе с внутренними угрозами в организации: введение (часть 1, англ.).
Взлом корпоративного Wi-Fi с помощью Kali Linux NetHunter.
SibSUTIS CTF 2015: как мы проводили свои студенческие соревнования.
Вычисление Struts CSRF Token (CVE-2014-7809).
Adobe запустила программу по обнаружению уязвимостей.
Журналы:
(IN)SECURE Magazine Issue 45 (март 2015) - тема номера: «Безопасность вещей» (англ.).
Security Kaizen Magazine Issue 18 (англ.).
Документы:
Department of Defense Cloud Computing Security Requirements Guide, Version 1, Release 1 - руководство Министерства обороны США по требованиям безопасности облачных вычислений (см.краткое описание). Источник: Public Intelligence.
ГОСТ Р 56115-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования». Стандарт устанавливает дополнительные требования и положения комплекса стандартов серии 34.ХХХХ на АС в части создания и применения СЗИ АС в защищенном исполнении от преднамеренных силовых электромагнитных воздействий, которые могут привести к деструктивным воздействиям.
ГОСТ Р 56093-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования». Стандарт устанавливает требования к средствам обнаружения факта преднамеренных силовых электромагнитных воздействий на АС в защищенном исполнении с выдачей извещения о его воздействии, а также к средствам обнаружения, которые обеспечивают формирование данных об амплитудах, временных и иных характеристиках преднамеренных силовых электромагнитных воздействий, необходимых для их обработки в системах более высокого уровня.
OUCH! Безопасность онлайн игр – мартовский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.
Программное обеспечение/сервисы:
CMSMap – утилита, написанная на python, для сбора информации (имена пользователей, версия движка, используемые компоненты) с веб-ресурсов, базирующихся на движках WordPress, Joomla и Drupal.
Аналитика:
Мероприятия:
10 марта стартует online-этап хакерского соревнования NeoQUEST-2015.
Ресурсы:
Открытая безопасность #38 – подкаст об аудите защищенности информационных систем (часть 2).
https://androidsecuritywiki.com/ - Android Security Wiki. Сборник ссылок на ресурсы по безопасности Android.
Видео с конференции «DeepSec 2014».
Презентации с «ICS Security Summit 2015».
http://dayswithoutansslexploit.com – сервис для подсчета количества дней с момента обнаружения последней SSL-уязвимости.
http://weakpass.com/ - Weak passwords collection.
понедельник, 2 марта 2015 г.
Дайджест новостей по ИБ за 20 – 27 февраля 2015 г.
Блоги:
Впечатления о VII Уральском форуме «Информационная безопасность банков» от Михаила Емельянникова, Андрея Прозорова + презентации.
Влад Стырян опроверг слухи о том, что Apple Mac OS X является самой уязвимой ОС в 2014 году.
Статьи:
Список лучших зарубежных твиттер-аккаунтов CISO и CSO (англ.).
Влияние СМИ на репутацию компании: Infowatch vs. SearchInform.
Сравнение онлайн-сервисов для анализа вредоносного кода (англ.).
В маршрутизаторах известных производителей обнаружена недокументированная учетная запись (англ.).
Документы:
Информация для субъектов персональных данных по обобщению практики рассмотрения обращений граждан Управлением Роскомнадзора по Ростовской области. Источник: Роскомнадзор.
Программное обеспечение/сервисы:
Lynis v2.0.0 – утилита для аудита безопасности Unix- и Linux-систем.
Аналитика:
Итоги рассмотрения Управлением Роскомнадзора по Ростовской области в 2014 году обращений граждан и юридических лиц по вопросам защиты прав субъектов персональных данных. Источник: Роскомнадзор.
Ресурсы:
Видео с конференции «LASCON 2014».
Видео с конференции «BSides Tampa 2015».
Видео с конференции «BSides Huntsville 2015».
Видео с конференции «BSides Columbus 2015».
Видео с конференции «ShmooCon Firetalks 2015».
Открытая безопасность #38 – подкаст об аудите защищенности информационных систем (часть 1).
Полезные ссылок для создания собственной группу реагированию на инциденты (CERT/CSIRT).
Securit13 #28 – подкаст о CTF в Украине и прочем.
Уроки XSS от Google (англ.).
Подписаться на:
Сообщения (Atom)