Дайджест новостей по ИБ за 06 – 13 марта 2015г.

Блоги:

Алексей Лукацкий поведал о планах ФСТЭК в области регулирования вопросов защиты информации АСУ ТП, которые были озвучены на VII Уральском форуме «Информационная безопасность банков»; рассказал о том, как в России продают open source в дорогой обертке.

Андрей Прозоров осветил мнения регуляторов по импортозамещению, высказанные ими на заседании временной Комиссии Совета Федерации по развитию информационного общества; подготовил сравнительную таблицу основных международных сертификаций специалистов по информационной безопасности.

Алексей Комаров подготовил обзор отечественных решений для обеспечения безопасности АСУ ТП (часть 1).

Статьи:

Основные виды DDoS-атак и методы защиты.

Жителя Квебека оштрафовали за отказ предоставить пароль к своему смартфону в аэропорте Канады.

Большинство программ, скачанных с сайтов загрузок, содержат потенциально нежелательные программы (Potentially Unwanted Programs, PUP).

Анализ SMS-трояна Trojan-SMS.AndroidOS.Podec.

Получение shell-доступа при помощи генератора документов для Microsoft Excel.

Подборка расценок ВУЗов за обучение специализации «Информационная безопасность» и смежным специальностям.

ФСТЭК России сформировала банк данных угроз безопасности информации.

Итоги второго семинара RISC.

Мониторинг активности в промышленных системах и сетях как безопасный подход к борьбе с киберугрозами.

Кто такие боты и как с ними бороться.

Перевод сайта с HTTP на HTTPS.

Исследование CryptoStealer – вредоноса для кражи Bitcoin-кошельков.

Введение в SSL Strip (англ.).

Защита от веб-кэширования (англ.).

Создание программы по борьбе с внутренними угрозами в организации: основные компоненты (часть 2, англ.).

Брешь rowhammer в DRAM позволяет получить привилегии ядра.

Документы:

Глобальное исследование утечек конфиденциальной информации в 2014 году. Источник: InfoWatch.

Point-of-Sale Security For Dummies – бесплатная версия книги по защите POS-терминалов в соответствии с требованиями PCI DSS (англ.). Источник:bit9.

Tactical Web Application Penetration Testing Methodology – методология по тестированию на проникновение веб-приложений. Источник: GironSec.

Информационное сообщение ФСТЭК России «О банке данных угроз безопасности информации» от 6 марта 2015 г. N 240/22/879.  Источник: ФСТЭК России.

Программное обеспечение/сервисы:

YSO Mobile Security Framework – анализатор кода (статический и динамический) Android- и iOS-приложений.

Enhanced Mitigation Experience Toolkit (EMET) 5.2 - программа для предотвращения эксплуатирования уязвимостей в программном обеспечении.

TheVulnBank – уязвимое веб-приложение с функционалом интернет-банка для обучения тестированию на проникновение.

Вебинары:

19 марта 2015 года в 10.00, «Информационная безопасность банка: требования Банка России по осведомлённости персонала и как их выполнить» от Агентства ВЭП.

Аналитика:

Статистика кибератак за февраль 2015 года (англ.). Источник: Hackmageddon.

Kaspersky Security Bulletin. Спам и фишинг в 2014 году.

Ресурсы:

Видео с OWASP Russia Meetup #2.

Видео с Cerias 2015.

PDF Examiner – онлайн-сервис для проверки pdf-файлов на наличие эксплойтов и JavaScript.

http://bdu.fstec.ru/ - Банк данных угроз безопасности информации от ФСТЭК России (БнД УБИ).

www.dlapiperdataprotection.com/ - DLA Piper's Data Protection Laws of the World Handbook. онлайн-сервис по сравнению законодательства по ПДн в разных странах.