вторник, 22 сентября 2015 г.

Дайджест новостей по ИБ за 11-18 сентября 2015г.

Блоги:
Александр Бодрик составил рейтинг личных блогов экспертов по ИБ; составил список кадровых рисков служб ИБ.

Артём Агеев описал один из способов отслеживания документов MS Word.


Алексей Лукацкий ответил на вопрос, касающийся уведомления РКН о месте нахождения баз данных ПДн россиян. + рекомендации Роскомнадзору о том, как собирать сведения о месте нахождения баз данных ПДн россиян; подборка стендов по ИБ АСУ ТП.

Статьи:

Сибиряк попросил прокуратуру проверить Библию, чтобы показать абсурдность закона «о защите детей».


О безопасности UEFI (1, 2).

Обнаружена очередная уязвимость протокола TLS.

Мастер-класс по работе со сканером AI-BOLIT.



Как не стать хакером. Metasploitable2 для стенда.

Документы:
ICS-CERT Monitor (июль-август 2015) - отчет об инцидентах в промышленных системах управления. Источник: ICS-CERT  (см. краткий обзор от Алексея Комарова).

Mobile Security Review 2015 - результаты теста антивирусов для Android (англ.). Источник: AV-Comparatives.

Аналитика:
Исследование DDoS-атак и уязвимостей в веб-приложениях в первой половине 2015 года. Источник: Qrator Labs.


Мероприятия:
2 октября 2015 года в Москве состоится конференция по информационной безопасности «Secure IT World 2015».

Ресурсы:

Опрос «Курсы в сфере практической ИБ и последующая сертификация».

понедельник, 14 сентября 2015 г.

Дайджест новостей по ИБ за 29.08.2015 – 11.09.2015г.


Блоги:
Игорь Агурьянов рассказал сказку про шесть островов.

Обзор Gartner Magic Quadrant для UTM (Unified Threat Management) за 2015 год от Алексея Комарова.


Статьи:
Преступления в банковской сфере 25 - 31 августа, 1-7 сентября 2015.

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за август 2015г.



Перевод OWASP Testing Guide v4: часть 1.7, часть 1.8, часть 1.9.


Результаты сравнительного тестирования блокировщиков рекламы.

Руководство по шифрованию мобильных устройств (англ.).

Обзор распространенных IdM/IAM-систем.

Советы по безопасности для посетителей сайтов знакомств.






CIS анонсировала руководства по установке безопасных настроек для Microsoft Office 2013, Microsoft IIS 8, Oracle Solaris 10 и Oracle Linux 7 (англ.). Источник: CIS.

Журналы:

Документы:
Bypass WAF Cookbook – руководство по обходу межсетевых экранов для веб-приложений (англ.).

Evading All Web-Application Firewalls XSS Filters - в документе описаны способы обхода популярных межсетевых экранов для веб-приложений (WAF). Автор: Мазин Ахмед (Mazin Ahmed).

OUCH! Двухступенчатая верификация – сентябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:
Указание Банка России от 07.08.2015 N 3753-У «О внесении изменений в Положение Банка России от 21 февраля 2013 года N 397-П «О порядке создания, ведения и хранения баз данных на электронных носителях».



Управление Роскомнадзора по Ростовской области напоминает о предоставлении сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации в связи с вступлением в силу Федерального закона от 21.07.2014 № 242-ФЗ.

Программное обеспечение/сервисы:
Empire - PowerShell-агенг для пост-эксплуатации.

AI-BOLIT (20150901) - сканер вредоносного кода.

Аналитика:

Мероприятия:

Ресурсы:
https://securityheaders.io/ - веб-сервис по проверке сайта на наличие HTTP-заголовков, отвечающих за безопасность.

http://персональныеданные.дети/ - сборник материалов для молодежи по защите приватной информации от Роскомнадзора. (комментарии Андрея Прозорова).

Security-News-Feeds - сборник распространенных рассылок о безопасности.

OWASP Python Security Project - проект направлен на создание безопасных приложений, написанных на языке python.

ИБ в душе - подкаст о российскиих аналогах StoneGate.

ИБ в душе - подкаст о безопасности от банков и для банков.

Noise Security Bit #16 - подкаст из Вегасе, после DEFCON и Black Hat.

Вопросы кибербезопасности № 3 (11) - научный, информационно-методический журнал с базовой специализацией в области информационной безопасности.

Видео с DEF CON 23.

четверг, 3 сентября 2015 г.

Дайджест новостей по ИБ за 14 - 29 августа 2015 г.



Блоги:
Михаил Емельянников растолковал вопросы, связанные со вступлением в силу поправок в законодательство, вносимых Федеральным законом от 21.07.2014 № 242-ФЗ, которые волнуют наибольшее количество компаний.

Статьи:




Популярные утилиты для атаки методом полного перебора (brute-force attack).


Как Windows 10 собирает данные о пользователях +  заявление о конфиденциальности корпорации Майкрософт + избавляемся от шпионского функционала Windows 10.

Показатели компрометации (indicator of compromise, IOC) как средство снижения рисков.

Перевод OWASP Testing Guide v4: часть 1.5, часть 1.6.


Обзор карт кибератак и ботнетов в режиме реального времени (англ.).


Выявлена новая мошенническая схема, которая позволяет через интернет подделывать документы как о смерти, так и рождении человека.

Графические ключи также предсказуемы, как пароли «1234567» и «password».

Злоумышленники рассылают фишинговые письма от Роскомнадзора и ПФР.

Журналы:

Документы:
2015 RedList: Security Startups – рейтинг ИБ-стартапов, основанный на результатах опроса «безопасников». Автор: Джастин Сомаини (Justin Somaini).

Законодательство:
Постановление Правительства РФ от 19.08.2015 N 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»).

Программное обеспечение/сервисы:
OWASP ZCR Shellcoder - python-скрипт для денерации шелл-кодов.

Аналитика:
Спам и фишинг во втором квартале 2015. Источник: Лаборатория Касперского

Ресурсы:
LinkMeUp. Выпуск № 30. История APT-атак.

Квант безопасности № 6 – подкаст о безопасности мобильных кошельков, историях с BlackHat, скандалах Oracle и Kaspersky.

Квант безопасности № 7 – подкаст о Security Awareness, мобильных кошельках, метрике ИБ, Gartner и пр.

Mobile Security Wiki – сборник по мобильной безопасности.

Сведения о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц - сервис от ФНС предоставляет возможность получения сведений о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц.