понедельник, 29 августа 2016 г.

Дайджест новостей по ИБ за 19 - 26 августа 2016 г.

Блоги:
Артем Агеев поделился своим опытом подготовки к экзамену "EC-counsil 312-50 Certified Ethical Hacker".

Андрей Прозоров опубликовал судебные дела, в материалах которых фигурирует упоминание DLP-систем в качестве источника доказательства разглашения информации.

Алексей Комаров обновил сводную таблицу, содержащую информацию о токенах с поддержкой алгоритмов ГОСТ. 

Статьи:
Преступления в банковской сфере за 21 июля - 15 августа 2016.


Шпионский скандал: как утечка из АНБ подтвердила данные Сноудена.

Защита от DDoS подручными средствами: DNS Amplification, NTP Amplification.

IIS: резервное копирование конфигурации и восстановление на другом сервере.


Результаты тестирования приложений для родительского контроля под Android (англ.) от AV-TEST.




Программное обеспечение/сервисы:
FireEyes Indicators of Compromise (IoC) Editor - инструмент для работы с IoC-данными.

Мероприятия:
Фонд «Сколково» и Национальный исследовательский ядерный университет МИФИ совместно с партнёрами объявили конкурс «Skolkovo Cybersecurity Challenge 2016», посвящённый поиску лучших инновационных решений для защиты бизнеса и частных лиц от киберугроз.

Ресурсы:
Видео с «Converge 2016».

Видео с «OISF 2016».

Видео с «BSides Detroit 2016».

понедельник, 22 августа 2016 г.

Дайджест новостей по ИБ за 29 июля - 19 августа 2016 г.

Блоги:
Алексей Лукацкий привел реальные примеры, когда безопасность только мешает бизнесу, нанося ему финансовый ущерб.




Статьи:
Похитивших со счетов клиентов российских банков более 1,7 млрд рублей хакеров запустили сисадмины.

NIST: SMS нельзя использовать в качестве средства аутентификации.

Деанонимизируем пользователей Windows и получаем учетные данные Microsoft и VPN-аккаунтов.

Перевод OWASP Testing Guide. Часть 2.9.

ProjectSauron: кибергруппировка вскрывает зашифрованные каналы связи госорганизаций.

Бывший сотрудник АНБ рассказал о своем опыте работы в Центре Удаленных Операций.


Анализ трафика Android-приложений: обход certificate pinning без реверс-инжиниринга.

Кража денег из интернет-банка — виноват клиент или банк?

Анализируем и устраняем последствия вредоносной подмены метатегов на сайте.

Расшифровка базы данных KeePass: пошаговое руководство.

Безопасное использование языка Go в веб-программировании.

Модуль Cisco ASA Firepower. Введение. Установка.


Риск использования Google Sign-In на iOS-устройствах (англ.).

Сериализация: уязвимости и методы защиты (англ.).


Анонсирована продажа доменов верхнего уровня .security и .protection (англ.).


Документы:
OUCH! Программы-вымогатели – августовский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Уязвимости приложений финансовой отрасли - отчет  содержит  статистику,  собранную  в  ходе  работ  по  анализу  защищенности систем  дистанционного  банковского  обслуживания,  проведенных  специалистами  компании Positive Technologies в 2015 году (см. краткий обзор).

Законодательство:
Приказ ФСБ России от 19.07.2016 N 432 "Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети "Интернет" в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет".

Постановление Правительства РФ от 13 августа 2016 г. N 789 "О внесении изменений в некоторые акты Правительства Российской Федерации". Установлен порядок использования простой электронной подписи (ЭП) при обращении за получением государственных и муниципальных услуг в электронной форме с помощью абонентского устройства подвижной радиотелефонной связи (мобильные телефоны, смартфоны, планшеты).

Аналитика:
SE Labs: Consumer Report - результаты тестирования антивирусов на возможность защиты от троянов-шифровальщиков (см. краткий отчет).


Развитие информационных угроз во втором квартале 2016 года. Статистика. Источник: Лаборатория Касперского.

DDoS-атаки во втором квартале 2016 года. Источник: Лаборатория Касперского.

Спам и фишинг во втором квартале 2016. Источник: Лаборатория Касперского.


Ресурсы:
Презентации с "DEF CON 24".

Видео с "Northsec 2016 Conference".

Видео с "Black Hat USA 2016".

Hacksplaining.com - бесплатный интерактивный курс по изучению уязвимостей и методам защиты. (см. краткий обзор).

Maltese (Malware Traffic Emulating Software) - утилита для генерации вредоносного DNS-трафика с целью проверки эффективности работы средств защиты (см. обзор).

среда, 17 августа 2016 г.

Исследование вредоносной активности на сайтах банков РФ




Совместно с проектом ReScan.pro я провел диагностику сайтов кредитных организаций на вирусы и взлом. Список кредитных организаций был взят с веб-страницы ЦБ РФ «Сведения об адресах Web-сайтов кредитных организаций Российской Федерации по состоянию на 31.07.2016». Всего проверялось 1219 веб-ресурсов.

Веб-сканер ReScan.pro проверял указанный URL и все внутренние ссылки, которые расположены на этой странице, на наличие:
- опасного кода;
- вирусов в скриптах;
- вставок с опасных и неизвестных сайтов;
- сайтов в базе вредоносных;
- редиректов;
- ошибок страницы и ошибок загрузки ресурсов.

В результате исследования было выявлено три сайта (все относятся к одному банку), на которых присутствовал мобильный редирект (сайт работает на старой версии CMS Joomla, вероятно, это и послужило причиной заражения). Работники банка были уведомлены о проблеме. Проблема уже устранена. В остальных случаях проблем обнаружено не было.

Честно говоря, я надеялся, что хотя бы сайты кредитных организаций не будут являться источником вредоносной активности. Но, к сожалению, мои ожидания не оправдались.

Я подготовил список сервисов, которые помогут сисадминам и специалистам по безопасности проверить их веб-ресурсы на наличие вредоносной активности, уязвимостей, присутствия в черных списках, доступности и т.п.:

https://virustotal.com/ - сервис, осуществляющий анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.

https://aw-snap.info/file-viewer/ - веб-сканер проверяет сайт на наличие вредоносного кода, вредоносных скриптов и редиректов. Также пользователю доступны различные опции для проверки, такие как User Agent, referer и пр.

https://quttera.com/, https://sitecheck.sucuri.net/ и http://www.urlvoid.com/ - веб-сканеры, которые проверяют сайт на известные вредоносы, наличие их в черных списках, выявляют различные ошибки. Частично пересекаются с возможностями virustotal.

https://sergeybelove.ru/one-button-scan/ - небольшой онлайн-сканер безопасности от Сергея Белова, который тестирует сайт на различные уязвимости, наличие чувствительных данных и доступных директорий.

https://www.ssllabs.com/ssltest/ - онлайн-сервис для тестирования веб-сервера на наличие SSL-уязвимостей и небезопасных настроек.

https://securityheaders.io/ - сервис для проверки сайта на предмет HTTP-заголовков безопасности типа CSP и HSTS.