понедельник, 27 апреля 2015 г.

Дайджест новостей по ИБ за 17 – 24 апреля 2015г.



Блоги:
Анализ РС БР ИББС 2.7 «Ресурсное обеспечение ИБ» от Андрея Прозорова: часть 1, часть 2.

Статьи:



Обзор Exploit Exercises – сайта, содержащего виртуальные машины для изучения различных аспектов информационной безопасности.

Исследование уязвимости MS15-034 (анл.).


Как прячут эксплойт-паки во Flash-объекте.

История о новой технологии для распространения спама с использованием интерактивных робо-звонков из облачных сервисов.

Увольнение сотрудника за разглашение конфиденциальной информации. Обзор судебной практики.

Взламываем D-Link DIR-890L.

Создание программы по борьбе с внутренними угрозами в организации: обучение и повышение осведомленности (часть 8, англ.).


Программное обеспечение/сервисы:
Lynis 2.1.0 - утилита для аудита безопасности Unix- и Linux-систем.

Manul – веб-антивирус (см. описание).

sptoolkit (rebirth) – проект, призванный повысить уровень осведомленности пользователей по защите от фишинговых атак.

Мероприятия:
01.05.2015г. будет запущена пентест-лаборатория «Ахиллесова пята» от компании PENTESTIT.


Ресурсы:
Видео с конференции Central Ohio Infosec Summit 2015.

Видео и презентации с симпозиума CERIAS 2015.

Презентации с круглого стола «Риски, исходящие от работников в кризис», организованного профессиональным сообществом BISA  совместно с кадровым агентствам Kelly Services.

 Рубрика «Вопрос эксперту» - сервис на портале BISA, с помощью которой можно задавать любые вопросы экспертам по ИТ и ИБ.

CXSECURITY – база данных уязвимостей CVE и CWE.

Материалы с Security Meetup, прошедшего 9 апреля в офисе Mail.Ru Group.

Открытая безопасность #25 – подкаст об ИБ-стартапах и Security Startup Challenge 2015.

понедельник, 20 апреля 2015 г.

Дайджест новостей по ИБ за 10 – 17 апреля 2015 гг.



Блоги:
Сергей Борисов провел сравнение документов по обезличиванию ПДн: NIST Draft NISTIR 8053 «De-Identification of Personally Identifiable Information» и Методических рекомендаций по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Наталья Храмцовская привела пример незнания ведомствами в сфере образования законодательных норм, связанных с обработкой персональных данных.

Алексей Лукацкий выяснял, с какой периодичностью необходимо проводить аудит индустриальных сетей на предмет безопасности.

Джабраил Матиев сделал подборку литературы на тему безопасности в банках.

Игорь Агурьянов затронул тему иллюзии безопасности.

Статьи:

Использование API социальных сетей для сбора информации о пользователях.

Обзор сервиса капчи «Некапча Mail.Ru».

Подборка сайтов с уязвимыми сервисами для повышения хакерских навяков (англ.).


Десять рекомендаций от Check Point Software, которые помогут сделать систему информационной безопасности эффективной.

Создание программы по борьбе с внутренними угрозами в организации: предотвращение, обнаружение и реагирование (часть 7, англ.).


Введение в межсайтовое выполнение сценариев (XSS): история, факты, способы защиты (англ.).


Французский телеканал был взломан после интервью сотрудника на фоне стикеров с паролями.

Снова вспомнили про уязвимость «Redirect To SMB», способную передавать учётные данные пользователя злоумышленнику.

В сетевом стеке HTTP.sys для серверных Windows обнаружена критичная уязвимость, из-за которой HTTP.sys неправильно обрабатывает специальным образом составленные HTTP-запросы, вызывая DoS или удалённое исполнение кода.

Microsoft опубликовала отчет о правительственных запросах данных пользователей за второе полугодие 2014 г.

Документы:
Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures (PCI DSS) v3.1
– в документе приведены 12 требований стандарта и описаны соответствующие процедуры проведения оценки соответствия данному
стандарту (англ.). Автор: PCI Security Standards Council.

Информация о несанкционированных операциях, совершенных с использованием устройств мобильной связи – рекомендации Банка России для минимизации рисков хищения денежных средств при осуществлении переводов денежных средств с использованием устройств мобильной связи. Источник: ЦБ РФ.

Информация о вводе в действие рекомендаций в области стандартизации Банка России. С 1 мая 2015 вводятся в действие рекомендации РС БР ИББС-2.8-2015 и РС БР ИББС-2.7-2015. Источник: ЦБ РФ.

2015 Dell Security Annual Threat Reportотчет о распространенных атаках, которые наблюдались Dell SonicWALL Threat Research Team в 2014 году. Источник: Dell.

Программное обеспечение/сервисы:
OWASP ZAP 2.4.0 - утилита для проведения тестирования на проникновение веб-приложений.

Samurai Web Testing Framework 3.1 – Linux-дистрибутив для тестирования на проникновение.

XSSYA 2.0 – XSS-сканер

Аналитика:


Мероприятия:

Ресурсы:
Видео с BSides Nashville 2015.

Презентация Алексея Лукацкого «Как обосновать затраты на ИБ?».

Открытая безопасность #39 – подкаст об информационной безопасности автомобилей.

понедельник, 13 апреля 2015 г.

Дайджест новостей по ИБ за 03 – 10 апреля 2015 гг.



Блоги:
Алексей Лукацкий рассказал о важных событиях в области информационной безопасности, которые могут иметь далеко идущие последствия: проект конвенции по информационной безопасности для стран-участниц БРИКС, новая редакция Доктрины информационной безопасности.

Андрей Прозоров создал майндкарту с ссылками на «лучшие практики» по управлению инцидентами.

Джабраил Матиев опубликовал список рекомендаций по безопасности IoT.

Аман Хардикар (Aman Hardikar) опубликовал новую диаграмму связей «Code Review» (англ.).

Статьи:





Исследование андроид-вируса (обязательно читайте комментарии).


Пошаговое руководство по установке и настройки OSSIM (Open Source Security Information Management) — системы управления, контроля и обеспечения информационной безопасности.

Интервью со skype-мошенником.


Судебная практика: свидетельство о браке не подтверждает того, что жена является законным представителем своего умершего супруга.

Создание программы по борьбе с внутренними угрозами в организации: программа контроля соответствия и эффективности, интеграция с управлением рисками (часть 5 и 6, англ.).


Обнаружена новая разновидность атаки «drive-by download», которую прозвали «drive-by login».

Специалисты по безопасности из IBM Security Intelligence обнаружили и подробно описали новую хакерскую атаку, которую назвали «Dyre Wolf», комбинирующую зловредный код и социальную инженерию.



Программное обеспечение/сервисы:
EvilAP_Defender – утилита для обнаружения поддельных wi-fi точек доступа (см. обзор).

Аналитика:

Google_Android_Security_2014_Report – отчет о работе по защите Android-устройств компанией Google за 2014 год (англ.). Источник: Google.

Ресурсы:
https://www.hybrid-analysis.com/ - онлайн-сервис от компании Payload Security для анализа вредоносных приложений.

Примеры практики судебных решений по статье 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».

Презентации с конференции SyScan2015.

Презентации с конференции CanSecWest Vancouver 2015.

Доклады с  конференции «Технологии защиты информации и информационная безопасность организаций» (IT-Security Conference).

OWASP WASC Distributed Web Honeypots Project – проект позиционируется как ловушка для хакеров, представленный в виде образа с предустановленными на него веб-приложениями.

Noise Security Bit #14 - подкаст о PacSec, 31c3, S4 и атаках на SCADA.

JSON.TV «Персоналии ИКТ-бизнеса. Михаил Емельянников - На линии киберобороны» - интервью с Михаилом Емельянниковым, в котором рассматриваются: тенденции и особенности развития российского рынка информационной безопасности; проблемы с применением закона «О персональных данных» и др.

Семинар от Роскомнадзора

Управление Роскомнадзора по Ростовской области приглашает представителей учреждений и организаций Ростовской области посетить бесплатные семинары по теме: "Практика применения Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Планируемые участники семинаров: представители Управления Роскомнадзора по Ростовской области; представители организаций, учреждений, ответственные за организацию обработки персональных данных; сотрудники осуществляющие обработку персональных данных.

Вопросы, рассматриваемые на семинарах: основы законодательства в области защиты персональных данных; требования к организации обработки персональных данных; локальные акты оператора; организация и проведение проверок за соответствием обработки персональных данных требованиям законодательства.

Даты проведения семинаров: 29.04.2015;   27.05.2015;   17.06.2015.

Время проведения семинаров: с 14:00 до 17:00 (возможно изменение).

Место проведения семинаров: Управление Роскомнадзора по Ростовской области: г. Ростов-на-Дону, ул. Металлургическая, д. 113/46.

Участие в семинаре бесплатное, но требуется обязательная предварительная регистрация.

Предварительная регистрация участников семинаров осуществляется по телефону: (863) 223 79 51 или направлением заявки на электронный адрес Управления: rsockanc61@rkn.gov.ru

Источник: http://61.rkn.gov.ru/news/news78043.htm


P.S.  Я был на первом семинаре, мне мероприятие понравилось: доклад «без воды», местами переходящий в дискуссию между участниками и докладчиком. К «минусам» можно отнести нежелание докладчика делиться презентацией =)

воскресенье, 5 апреля 2015 г.

Дайджест новостей по ИБ за 27.03.2015 – 03.04.2015гг.



Блоги:
Дмитрий Бумов написал о том кто, как и зачем собирает данные о тебе в интернете, а также обнаружил уязвимость на сайте Wikipedia.

Наталья Храцовская поделилась новостью о внедрении компанией Microsoft международного стандарта защиты персональных данных в облака ISO/IEC. 27018:2014.

Михаил Емельянников провел грань между рекламой и адресной рассылкой.

Алексей Комаров поведал интересную историю, основанную на социальной инженерии.

Джабраил Матиев постарался выяснить каким должно быть идеальное решение по защите мобильных устройств для бизнеса.

Статьи:
Преступления в банковской сфере 25 февраля - 16 марта, 17 марта - 3 апреля 2015г.

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за март 2015г.

Презентация по взлому сайтов WordPress.

Введение в QR-код и угрозы ИБ, связанные с его использованием (англ.).

Принцип работы вредоносных программ для POS-терминалов на примере Dexter, BlackPOS, JackPOS и Chewbacca (англ.).



На хакерской конференции DefCamp 2014 продемонстрировали извлечения мастер-пароля LastPass на компьютере жертвы.

Завершился аудит TrueCrypt 7.1a.

Журналы:
eForensics Magazne Issue 02/2015 (41)тема номера: «Exploring, Decrypting, Dissecting and Deciphering» (англ.).


Workshop «Backend Database Hacking» от Hakin9 (англ.).

Workshop «Exploiting VoIP Systems» от Pentest Magazine (англ.).

OUCH! Парольные фразыапрельский выпуск ежемесячника по информационной безопасности для пользователей (англ.). Источник: SANS.

Документы:
Electronic evidence - a basic guide for First Responders - руководство по первичному сбору доказательств при расследовании инцидентов информационной безопасности (англ.). Источник: ENISA.

ГОСТ Р ИСО/МЭК 27034-1-2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия». Документ содержит общий обзор безопасности приложений, а также определения, понятия, принципы и процессы, касающиеся обеспечения безопасности приложений.

ГОСТ Р ИСО/МЭК 27007-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности». Настоящий стандарт предоставляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности, по проведению аудитов и по определению компетентности аудиторов системы менеджмента информационной безопасности.

ГОСТ Р 56103-2014 «Защита информации. Автоматизированные системы в защищенном исполнении. Организация и содержание работ по защите от преднамеренных силовых электромагнитных воздействий. Общие положения». Настоящий стандарт устанавливает общие положения по организации и содержанию работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий.

Программное обеспечение/сервисы:
Malcom – инструмент для анализа сетевого трафика на наличие в нем вредоносной активности.

Kali NetHunter v1.2 - Kali Linux-дистрибутив с поддержкой устройств Android Lollipop, включая Nexus 6 и Nexus 9.

Аналитика:
Обзор вирусной активности для Android-устройств в марте 2015 года. Источник: Dr.Web.

Мероприятия:
9 апреля 2015 года стартует  олимпиада Yandex.Root для Unix-сисадминов.

20-21 мая 2015 года пройдет DevCon 2015 - пятая конференция компании Microsoft, посвященная разработке и тестированию ПО.

Ресурсы:
Материалы докладов «РусКрипто 2015».

CyberSecurity Club подкаст: «Атаки на банк-клиенты: методы и средства противодействия»  с Павлом Головлевым.

Дайджест телефонных и интернет-мошенничеств по данным пресс-службы МВД по Республике Коми.