Дайджест новостей по ИБ за 09 – 27 ноября 2015г.

[upd 27.11.2015]

Блоги:

Артем Агеев пытался выяснить, является ли электронный почтовый ящик персональными данными.

Алексей Лукацкий поделился впечатлениями от курса по промышленной безопасности SANS ICS515; посоветовал организаторам мероприятий по ИБ, что нужно включить в памятку спикеру и участнику; рассмотрел симулятор АСУ ТП в качестве средства для обучения ИБ.

Сергей Борисов проанализировал краткий отчет Group-IB «Тенденции развититя преступлений в области высоких технологий 2015».

Сергей Солдатов предложил создать киберполицию; предложил госкомпаниям использовать госаутсорсинг с целью эффективности и результативности работы.

Александр Бондаренко поделился способами организации программы по повышению осведомленности по ИБ.

Андрей Прозоров подготовил перечень вопросов, которые помогают завести беседу с коллегами на профессиональных конференциях и понять их основные задачи, потребности и общий уровень ИБ-компании.

Статьи:

Обзор кибератак за 16 – 30 сентября 2015 (англ.). Источник: Hackmageddon.

Независимый специалист Пирр Ким (Pierre Kim) обнаружил в роутерах Huawei уязвимости.

Установка неподписанных программ на устройства с iOS 9 без Jailbreak.

Краткий отчет о ICCC 2015.

Обзор лучших стартапов, представленных в экспозиции UK Cyber Innovation Zone в рамках Infosecurity Europe 2015.

Менеджер паролей 1Password хранит данные в открытом виде.

Фишинг в корпоративной среде + примеры фишинговых сообщений электронной почты.

Разработка защищенных банковских приложений:главные проблемы и как их избежать.

Успешное внедрение SIEM: часть 1, часть 2.

Уведомление о конфиденциальности в электронной почте: не очень хорошая идея.

Инструменты для обучения сотрудников защите от фишинга (англ.).

Контрольный список для найма тестировщика на проникновение веб-приложений или консультанта по безопасности (англ.).

Рекомендации по проверке защищенности серверных операционных систем Linux (по материалам ISACA Journal).

Перевод OWASP Testing Guide. 1.10, 1.11.

Cisco Security Ninja - повышение осведомленности в области информационной безопасности в Cisco.

Критическая уязвимость в компьютерах Dell позволяет хакерам получать доступ практически к любым данным: Как защититься.

Улучшение сетевой безопасности с помощью Content Security Policy.

Cканеры защищенности веб-приложений (WASS) – обзор рынка в России и в мире.

Дети в интернете: угрозы и решения.

Риски и проблемы хеширования паролей.
Кое-что о закладках, или как АНБ следит за пользователями.

Журналы:

Hakin9 Open. Botneting With Browser Extensions. Выпуск 03/2015 (78).

Программное обеспечение/сервисы:

Quick Android Review Kit - инструмент для поиска уязвимостей в Android-приложениях. (см. обзор).

Обзор утилит, представленных на Black Hat Arsenal Europe 2015.

AI-BOLIT (20151008) - сканер вредоносного кода.

BackBox Linux 4.4 - Linux-дистрибутив для тестирования на проникновение, основанный на Ubuntu.

Intercepter-NG [Android Edition] 1.7 - утилита для перехвата трафика и проведения автоматизированных атак (см. обзор).

Аналитика:

Статистика кибератак за сентябрь 2015г. (англ.). Источник: Hackmageddon.com.

Ресурсы:

Артем Гавриченков. DDoS-атаки.

TechDays. DoS и DDoS атаки (1, 2, 3).