четверг, 30 апреля 2015 г.
понедельник, 27 апреля 2015 г.
Дайджест новостей по ИБ за 17 – 24 апреля 2015г.
Блоги:
Статьи:
Обзор Exploit Exercises – сайта, содержащего виртуальные машины для изучения различных аспектов информационной безопасности.
Исследование уязвимости MS15-034 (анл.).
Как прячут эксплойт-паки во Flash-объекте.
История о новой технологии для распространения спама с использованием интерактивных робо-звонков из облачных сервисов.
Увольнение сотрудника за разглашение конфиденциальной информации. Обзор судебной практики.
Взламываем D-Link DIR-890L.
Создание программы по борьбе с внутренними угрозами в организации: обучение и повышение осведомленности (часть 8, англ.).
Сравнение подходов: статический анализ безопасности приложений (SAST) против динамического анализа безопасности приложений (DAST).
Программное обеспечение/сервисы:
Lynis 2.1.0 - утилита для аудита безопасности Unix- и Linux-систем.
sptoolkit (rebirth) – проект, призванный повысить уровень осведомленности пользователей по защите от фишинговых атак.
Мероприятия:
01.05.2015г. будет запущена пентест-лаборатория «Ахиллесова пята» от компании PENTESTIT.
До 27.05.2015 проводится открытый конкурс среди стартап-проектов в области кибербезопасности.
Ресурсы:
Презентации с круглого стола «Риски, исходящие от работников в кризис», организованного профессиональным сообществом BISA совместно с кадровым агентствам Kelly Services.
Рубрика «Вопрос эксперту» - сервис на портале BISA, с помощью которой можно задавать любые вопросы экспертам по ИТ и ИБ.
Материалы с Security Meetup, прошедшего 9 апреля в офисе Mail.Ru Group.
Открытая безопасность #25 – подкаст об ИБ-стартапах и Security Startup Challenge 2015.
понедельник, 20 апреля 2015 г.
Дайджест новостей по ИБ за 10 – 17 апреля 2015 гг.
Блоги:
Сергей Борисов провел сравнение документов по обезличиванию ПДн: NIST Draft NISTIR 8053 «De-Identification of Personally Identifiable Information» и Методических рекомендаций по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных».
Наталья Храмцовская привела пример незнания ведомствами в сфере образования законодательных норм, связанных с обработкой персональных данных.
Алексей Лукацкий выяснял, с какой периодичностью необходимо проводить аудит индустриальных сетей на предмет безопасности.
Джабраил Матиев сделал подборку литературы на тему безопасности в банках.
Игорь Агурьянов затронул тему иллюзии безопасности.
Статьи:
Использование API социальных сетей для сбора информации о пользователях.
Обзор сервиса капчи «Некапча Mail.Ru».
Подборка сайтов с уязвимыми сервисами для повышения хакерских навяков (англ.).
Десять рекомендаций от Check Point Software, которые помогут сделать систему информационной безопасности эффективной.
Создание программы по борьбе с внутренними угрозами в организации: предотвращение, обнаружение и реагирование (часть 7, англ.).
Трассировка сайта как средство сбора улик по резонансному убийству.
Введение в межсайтовое выполнение сценариев (XSS): история, факты, способы защиты (англ.).
История об отборе кандидатов на вакансию пентестера (англ.).
Французский телеканал был взломан после интервью сотрудника на фоне стикеров с паролями.
Снова вспомнили про уязвимость «Redirect To SMB», способную передавать учётные данные пользователя злоумышленнику.
В сетевом стеке HTTP.sys для серверных Windows обнаружена критичная уязвимость, из-за которой HTTP.sys неправильно обрабатывает специальным образом составленные HTTP-запросы, вызывая DoS или удалённое исполнение кода.
Microsoft опубликовала отчет о правительственных запросах данных пользователей за второе полугодие 2014 г.
Документы:
Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures (PCI DSS) v3.1 – в документе приведены 12 требований стандарта и описаны соответствующие процедуры проведения оценки соответствия данному
стандарту (англ.). Автор: PCI Security Standards Council.
Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures (PCI DSS) v3.1 – в документе приведены 12 требований стандарта и описаны соответствующие процедуры проведения оценки соответствия данному
стандарту (англ.). Автор: PCI Security Standards Council.
Информация о несанкционированных операциях, совершенных с использованием устройств мобильной связи – рекомендации Банка России для минимизации рисков хищения денежных средств при осуществлении переводов денежных средств с использованием устройств мобильной связи. Источник: ЦБ РФ.
Информация о вводе в действие рекомендаций в области стандартизации Банка России. С 1 мая 2015 вводятся в действие рекомендации РС БР ИББС-2.8-2015 и РС БР ИББС-2.7-2015. Источник: ЦБ РФ.
2015 Dell Security Annual Threat Report – отчет о распространенных атаках, которые наблюдались Dell SonicWALL Threat Research Team в 2014 году. Источник: Dell.
2015 Dell Security Annual Threat Report – отчет о распространенных атаках, которые наблюдались Dell SonicWALL Threat Research Team в 2014 году. Источник: Dell.
Программное обеспечение/сервисы:
OWASP ZAP 2.4.0 - утилита для проведения тестирования на проникновение веб-приложений.
Samurai Web Testing Framework 3.1 – Linux-дистрибутив для тестирования на проникновение.
XSSYA 2.0 – XSS-сканер
Аналитика:
Уязвимости корпоративных информационных систем в 2014 году. Источник: Positive Technologies.
Мероприятия:
18-20 апреля в МИФИ состоится третья всероссийская студенческая олимпиада по информационной безопасности.
Ресурсы:
Видео с BSides Nashville 2015.
Презентация Алексея Лукацкого «Как обосновать затраты на ИБ?».
Открытая безопасность #39 – подкаст об информационной безопасности автомобилей.
понедельник, 13 апреля 2015 г.
Дайджест новостей по ИБ за 03 – 10 апреля 2015 гг.
Блоги:
Алексей Лукацкий рассказал о важных событиях в области
информационной безопасности, которые могут иметь далеко идущие последствия: проект конвенции по
информационной безопасности для стран-участниц БРИКС, новая редакция Доктрины
информационной безопасности.
Андрей Прозоров создал майндкарту с ссылками на «лучшие практики» по
управлению инцидентами.
Джабраил Матиев опубликовал список рекомендаций по
безопасности IoT.
Статьи:
Примеры физического
взлома банкоматов.
Исследование
андроид-вируса (обязательно читайте комментарии).
Пошаговое руководство по установке и настройки OSSIM (Open
Source Security Information Management) — системы управления, контроля и
обеспечения информационной безопасности.
Интервью со skype-мошенником.
Судебная практика: свидетельство о браке не подтверждает
того, что жена
является законным представителем своего умершего супруга.
Создание программы по борьбе с внутренними угрозами в организации: программа
контроля соответствия и эффективности, интеграция
с управлением рисками (часть 5 и 6, англ.).
Примеры мероприятий по повышению
осведомленности пользователей по информационной безопасности (англ.).
Обнаружена новая разновидность
атаки «drive-by download», которую прозвали «drive-by login».
Специалисты по безопасности из
IBM Security Intelligence обнаружили и подробно описали новую хакерскую атаку, которую назвали «Dyre
Wolf», комбинирующую зловредный код и социальную инженерию.
Документы:
Памятка по разработке инструкции по использованию и архивации электронной почты и мгновенных сообщений (см. краткий обзор от Натальи Храмцовской). Автор: SIAF.
Памятка по разработке инструкции по использованию и архивации электронной почты и мгновенных сообщений (см. краткий обзор от Натальи Храмцовской). Автор: SIAF.
Рекомендации
по защите персональных данных на рабочем месте (см. обзор от Натальи
Храмцовской). Источник: Council of Europe.
Программное обеспечение/сервисы:
Аналитика:
Тест антивирусов
на лечение активного заражения (апрель 2015). Источник: Anti-Malware.
Google_Android_Security_2014_Report
– отчет о работе по защите Android-устройств компанией Google за 2014 год
(англ.). Источник: Google.
Ресурсы:
https://www.hybrid-analysis.com/ - онлайн-сервис от компании
Payload Security
для анализа вредоносных приложений.
Примеры
практики судебных решений по статье 13.11 КоАП РФ «Нарушение установленного
законом порядка сбора, хранения, использования или распространения информации о
гражданах (персональных данных)».
Презентации с конференции SyScan2015.
Презентации с конференции CanSecWest Vancouver 2015.
Доклады с конференции «Технологии защиты информации и
информационная безопасность организаций» (IT-Security Conference).
OWASP WASC Distributed Web Honeypots Project –
проект позиционируется как ловушка для хакеров, представленный в виде образа с
предустановленными на него веб-приложениями.
JSON.TV «Персоналии ИКТ-бизнеса. Михаил Емельянников - На
линии киберобороны» - интервью с Михаилом Емельянниковым, в котором
рассматриваются: тенденции и особенности развития российского рынка
информационной безопасности; проблемы с применением закона «О персональных
данных» и др.
Семинар от Роскомнадзора
Управление Роскомнадзора по Ростовской области приглашает
представителей учреждений и организаций Ростовской области посетить
бесплатные семинары по теме: "Практика применения Федерального закона от
27.07.2006 № 152-ФЗ "О персональных данных".
Планируемые участники семинаров: представители
Управления Роскомнадзора по Ростовской области; представители
организаций, учреждений, ответственные за организацию обработки
персональных данных; сотрудники осуществляющие обработку персональных
данных.
Вопросы, рассматриваемые на семинарах: основы законодательства в области защиты персональных данных;
требования к организации обработки персональных данных; локальные акты
оператора; организация и проведение проверок за соответствием обработки
персональных данных требованиям законодательства.
Даты проведения семинаров: 29.04.2015; 27.05.2015; 17.06.2015.
Время проведения семинаров: с 14:00 до 17:00 (возможно изменение).
Место проведения семинаров: Управление Роскомнадзора по Ростовской области: г. Ростов-на-Дону, ул. Металлургическая, д. 113/46.
Участие в семинаре бесплатное, но требуется обязательная предварительная регистрация.
Предварительная регистрация участников семинаров осуществляется по
телефону: (863) 223 79 51 или направлением заявки на электронный адрес
Управления: rsockanc61@rkn.gov.ru
Источник: http://61.rkn.gov.ru/news/news78043.htm
P.S. Я был на первом семинаре, мне мероприятие понравилось: доклад «без воды», местами переходящий в дискуссию между участниками и докладчиком. К «минусам» можно отнести нежелание докладчика делиться презентацией =)
P.S. Я был на первом семинаре, мне мероприятие понравилось: доклад «без воды», местами переходящий в дискуссию между участниками и докладчиком. К «минусам» можно отнести нежелание докладчика делиться презентацией =)
воскресенье, 5 апреля 2015 г.
Дайджест новостей по ИБ за 27.03.2015 – 03.04.2015гг.
Блоги:
Дмитрий Бумов написал о том кто,
как и зачем собирает данные о тебе в
интернете, а также обнаружил уязвимость
на сайте Wikipedia.
Наталья Храцовская поделилась новостью о внедрении компанией
Microsoft международного
стандарта защиты персональных данных в облака ISO/IEC. 27018:2014.
Михаил Емельянников провел грань между рекламой и
адресной рассылкой.
Алексей Комаров поведал интересную историю, основанную на социальной инженерии.
Джабраил Матиев постарался выяснить каким должно быть
идеальное решение по защите
мобильных устройств для бизнеса.
Статьи:
Преступления в банковской сфере 25 февраля - 16 марта,
17 марта - 3 апреля
2015г.
Телефонные и
интернет-мошенничества по данным пресс-службы МВД по Республике Коми за
март 2015г.
Презентация по взлому сайтов WordPress.
Введение в QR-код и угрозы ИБ,
связанные с его использованием (англ.).
Принцип работы вредоносных программ для POS-терминалов на примере
Dexter, BlackPOS, JackPOS и Chewbacca (англ.).
Мониторинг
и оповещение о событиях в журналах Windows: триггеры событий.
Юридические аспекты обработки
специальной категории персональных данных в облаке.
На хакерской конференции DefCamp 2014 продемонстрировали извлечения мастер-пароля
LastPass на компьютере жертвы.
Завершился аудит
TrueCrypt 7.1a.
Журналы:
eForensics Magazne Issue
02/2015 (41) – тема номера: «Exploring, Decrypting, Dissecting
and Deciphering» (англ.).
Security Kaizen Magazine Issue 19
(англ.).
OUCH!
Парольные фразы
– апрельский выпуск
ежемесячника по информационной безопасности для пользователей (англ.).
Источник: SANS.
Документы:
Electronic evidence - a basic guide for First Responders - руководство по первичному сбору доказательств при расследовании инцидентов информационной безопасности (англ.). Источник: ENISA.
Electronic evidence - a basic guide for First Responders - руководство по первичному сбору доказательств при расследовании инцидентов информационной безопасности (англ.). Источник: ENISA.
ГОСТ
Р ИСО/МЭК 27034-1-2014 «Информационная технология. Методы и средства
обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия».
Документ содержит общий обзор безопасности приложений, а также определения,
понятия, принципы и процессы, касающиеся обеспечения безопасности приложений.
ГОСТ
Р ИСО/МЭК 27007-2014 «Информационная технология. Методы и средства
обеспечения безопасности. Руководства по аудиту систем менеджмента
информационной безопасности». Настоящий стандарт предоставляет руководство по
менеджменту программы аудита системы менеджмента информационной безопасности,
по проведению аудитов и по определению компетентности аудиторов системы
менеджмента информационной безопасности.
ГОСТ
Р 56103-2014 «Защита информации. Автоматизированные системы в защищенном
исполнении. Организация и содержание работ по защите от преднамеренных силовых
электромагнитных воздействий. Общие положения». Настоящий стандарт
устанавливает общие положения по организации и содержанию работ по защите автоматизированных
систем от преднамеренных силовых электромагнитных воздействий.
Программное обеспечение/сервисы:
Malcom – инструмент для анализа
сетевого трафика на наличие в нем вредоносной активности.
Kali NetHunter v1.2 - Kali Linux-дистрибутив
с поддержкой устройств Android Lollipop,
включая Nexus 6 и Nexus 9.
Аналитика:
Обзор
вирусной активности для Android-устройств в марте 2015 года. Источник:
Dr.Web.
Мероприятия:
20-21 мая 2015 года пройдет DevCon 2015 - пятая
конференция компании Microsoft, посвященная разработке и тестированию ПО.
Ресурсы:
Материалы докладов «РусКрипто 2015».
CyberSecurity Club подкаст: «Атаки на банк-клиенты:
методы и средства противодействия» с
Павлом Головлевым.
Дайджест
телефонных и интернет-мошенничеств по данным пресс-службы МВД по Республике
Коми.
Подписаться на:
Сообщения (Atom)