вторник, 10 марта 2015 г.

Дайджест новостей по ИБ за 27.02.2015 - 06.03.2015 гг.



Блоги:
Алексей Лукацкий подробно расписал проекты Банка России, о которых говорилось на Магнитогорской конференции; рассказал о киберучениях для руководителей по ИБ, которые также проходили в рамках данного мероприятия.

Обзор докладов VII Уральского форума «Информационная безопасность банков» от Андрея Прозорова: часть 2, часть 3.

Игорь Михеев обнаружил коллизию положений действующих федеральных нормативных актов, связанную с обработкой персональных данных о судимости.

Статьи:


Уязвимость FREAK в TLS/SSL: хакер.ru (раз, два), Digital Security, The Hacker News.

Файл /proc/kcore может быть использован для получения паролей пользователей Linux-системы.

Плюсы и минусы аутсорсинга.


Создание программы по борьбе с внутренними угрозами в организации: введение (часть 1, англ.).

Взлом корпоративного Wi-Fi с помощью Kali Linux NetHunter.

SibSUTIS CTF 2015: как мы проводили свои студенческие соревнования.

Вычисление Struts CSRF Token (CVE-2014-7809).


TOP взломанных паролей за 2014 год по версии NetSPI (англ.).

Журналы:
(IN)SECURE Magazine Issue 45 (март 2015) - тема номера: «Безопасность вещей» (англ.).



Документы:
Department of Defense Cloud Computing Security Requirements Guide, Version 1, Release 1 - руководство Министерства обороны США по требованиям безопасности облачных вычислений (см.краткое описание). Источник: Public Intelligence.

ГОСТ Р 56115-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства защиты от преднамеренных силовых электромагнитных воздействий. Общие требования». Стандарт устанавливает дополнительные требования и положения комплекса стандартов серии 34.ХХХХ на АС в части создания и применения СЗИ АС в защищенном исполнении от преднамеренных силовых электромагнитных воздействий, которые могут привести к деструктивным воздействиям.

ГОСТ Р 56093-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Средства обнаружения преднамеренных силовых электромагнитных воздействий. Общие требования». Стандарт устанавливает требования к средствам обнаружения факта преднамеренных силовых электромагнитных воздействий на АС в защищенном исполнении с выдачей извещения о его воздействии, а также к средствам обнаружения, которые обеспечивают формирование данных об амплитудах, временных и иных характеристиках преднамеренных силовых электромагнитных воздействий, необходимых для их обработки в системах более высокого уровня.

OUCH! Безопасность онлайн игр – мартовский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.
 
Программное обеспечение/сервисы:
CMSMap – утилита, написанная на python, для сбора информации (имена пользователей, версия движка, используемые компоненты) с веб-ресурсов, базирующихся на движках WordPress, Joomla и Drupal.

Vane - версия WPScan (сканер уязвимостей для WordPress) под лицензией GPL.

Аналитика:
Обзор вирусной активности для Android-устройств за февраль 2015 года. Источник: Dr.Web.

Мероприятия:
10 марта стартует online-этап хакерского соревнования NeoQUEST-2015.

Ресурсы:
Noise Security Bit #13подкаст о «responsible disclosure» и реалиях жизни.

Открытая безопасность #38 – подкаст об аудите защищенности информационных систем (часть 2).

https://androidsecuritywiki.com/ - Android Security Wiki. Сборник ссылок на ресурсы по безопасности Android.

Видео с конференции «DeepSec 2014».

Презентации с «ICS Security Summit 2015».

http://dayswithoutansslexploit.com – сервис для подсчета количества дней с момента обнаружения последней SSL-уязвимости.

http://weakpass.com/ - Weak passwords collection.

Комментариев нет:

Отправить комментарий