понедельник, 31 октября 2016 г.

Дайджест новостей по ИБ за 21-28 октября 2016 г.

Блоги:
Алексей Лукацкий описал Kill chain для внутреннего нарушителя; подготовил обзор матрицы ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) для описания всевозможных методов атак.


Сергей Борисов подготовил обзор "Положения о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утвержденное приказом ФСО РФ от 7 сентября 2016 г. № 443.

Александр Бодрик сформулировал принципы и стратегии контроля экспертности.

Статьи:



Как QIWI создавала собственный Security Operations Center (SOC).

Роскомнадзор объяснил суть претензий к LinkedIn.


Все, что нужно знать о настройках безопасности Facebook


Поисковый риск или как Google почти убил ProtonMail.
 
Обнаружение антивируса при помощью iframe с javascript (англ.).

 
Защита рабочих станций Windows с помощью базового уровня безопасности (Secure Baseline).

DWARF: обход IDS/IPS с помощью SMTP и писем, используя Gmail (англ.).


Руководство по взлому Ruby (Ruby Hacking Guide).

Законодательство:
Информационное сообщение ФСТЭК России от 18 октября 2016 г. N 240/24/4893 "Об утверждении требований безопасности информации к операционным системам".

Приказ Федеральной службы охраны РФ от 7 сентября 2016 г. N 443 "Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети "Интернет".

Аналитика:



Мероприятия:
SOC-Forum v.2.0 "Практика противодействия кибератакам и построения центров мониторинга ИБ"

Ресурсы:
Internet of Things Scanner - сервис от "BullGuard" для проверки вашего ip по базе Shodan.

Презентации с "Hack.lu 2016".

Презентации с "Industrial CyberSecurity Conference 2016: Unite and Act".

понедельник, 24 октября 2016 г.

Дайджест новостей по ИБ за 14-21 октября 2016 г.


Блоги:
Алексей Лукацкий написал о последних изменения по ИБ в госорганах.

Михаил Емельянников осветил проблемы, вызванные принятием Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации" от 03.07.2016 N 360-ФЗ.

Статьи:

Обзор уязвимостей за 7-14 октября от US-CERT (англ.).

Этика кибервзлома: США обвиняют Россию во взломе на основании данных из собственных незаконных закладок.

Проблемы безопасности IoT: исследователь обнаружил серьезные уязвимости в MatrixSSL.


Microsoft Update Catalog теперь работает в любом браузере.

Новая накопительная модель обновления Windows 7 и 8.1.



Аудит VeraCrypt выявил 8 критических уязвимостей.


AV-Comparatives: результаты тестирования антивирусов под Windows 10 64-Bit на лечение активного заражения (март-сентябрь 2016 г.).

AV-Test: Лучшие антивирусы для Android. Сентябрь 2016.

Функциональная безопасность, часть 4 из 7. Процессы управления и оценивания.


Trend Micro рассказала о том, как хакеры воруют у геймеров и отмывают деньги в играх.



Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies.



Лучшие практики по разработке безопасных мобильных приложений от  NowSecure (англ.).

Ошибки и рекомендации по созданию поддельных(фейковых) аккаунтов (англ.).

DDoS-угрозы от ботнетов и методы противодействия (англ.).

Программное обеспечение/сервисы:
YaraRules Analyzer - онлайн-анализ файлов с использованием набора правил YaraRules

Ресурсы:
Видео с пятого OWASP Russia Meetup.

пятница, 21 октября 2016 г.

В Ростовской области найдены пострадавшие от хакерской группы vDOS

В сентябре ИБ-эксперт Брайан Кребс опубликовал информацию об утечке базы данных сервиса vDOS, которая содержала ip-адреса заказчиков и их жертв. Я решил выяснить, имеются ли в этой базе ip-адреса Ростовской области. Для этого был собран список ip-адресов Ростовской области и написан скрипт на python, который осуществлял поиск этих ip по базе vDOS.  В результате было найдено 8 ip-адресов, из них четыре, предположительно принадлежащих заказчикам (87.117.12.180, 87.117.13.173, 87.117.15.235, 46.61.32.15), четыре - жертвам (188.114.13.228, 46.41.106.122, 46.61.98.249, 46.41.95.223). Всего была обнаружена 21 запись (см. ниже).

Имена столбцов: `ID`, `Username`, `Action`, `IP`, `Date`, `platform`, `hidden`
16391012,'hukarion','Launched a stress test on 188.114.13.228:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:30','Google Chrome v47.5.2526.111 on windows',0

16402262,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using TCP-AMP','87.117.12.180 (RU)','24-05-2016 09:17','Mozilla Firefox v46.0 on windows',0

16402266,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using DNS','87.117.12.180 (RU)','24-05-2016 09:18','Mozilla Firefox v46.0 on windows',0

16402268,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using PORTMAP','87.117.12.180 (RU)','24-05-2016 09:18','Mozilla Firefox v46.0 on windows',0

16402271,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using ESSYN','87.117.12.180 (RU)','24-05-2016 09:19','Mozilla Firefox v46.0 on windows',0

16402276,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using xSYN','87.117.12.180 (RU)','24-05-2016 09:19','Mozilla Firefox v46.0 on windows',0

16402282,'Holst','Launched a stress test on 188.127.239.134:3306  for 1200 using ESSYN','87.117.12.180 (RU)','24-05-2016 09:21','Mozilla Firefox v46.0 on windows',0

16390900,'hukarion','Launched a stress test on 46.41.106.122:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:04','Google Chrome v47.5.2526.111 on windows',0

16385029,'Holst','Launched a stress test on 90.156.201.68:80  for 1200 using TCP-AMP','87.117.13.173 (RU)','20-05-2016 01:26','Mozilla Firefox v46.0 on windows',0

16385032,'Holst','Launched a stress test on 90.156.201.68:80  for 1200 using TCP-AMP','87.117.13.173 (RU)','20-05-2016 01:27','Mozilla Firefox v46.0 on windows',0

16385034,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using DNS','87.117.13.173 (RU)','20-05-2016 01:27','Mozilla Firefox v46.0 on windows',0

16385038,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using PORTMAP','87.117.13.173 (RU)','20-05-2016 01:28','Mozilla Firefox v46.0 on windows',0

16385043,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using TCP-ACK','87.117.13.173 (RU)','20-05-2016 01:29','Mozilla Firefox v46.0 on windows',0

16385045,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using ESSYN','87.117.13.173 (RU)','20-05-2016 01:29','Mozilla Firefox v46.0 on windows',0

16385048,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using xSYN','87.117.13.173 (RU)','20-05-2016 01:29','Mozilla Firefox v46.0 on windows',0

16413439,'Holst','Launched a stress test on 37.140.192.194:80  for 1200 using xSYN','87.117.15.235 (RU)','27-05-2016 03:34','Mozilla Firefox v46.0 on windows',0

16413445,'Holst','Launched a stress test on 37.140.192.194:80  for 1200 using xSYN','87.117.15.235 (RU)','27-05-2016 03:36','Mozilla Firefox v46.0 on windows',0

16390941,'hukarion','Launched a stress test on 46.61.98.249:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:15','Google Chrome v47.5.2526.111 on windows',0

16390933,'hukarion','Launched a stress test on 46.41.95.223:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:11','Google Chrome v47.5.2526.111 on windows',0

16459704,'Holst','Launched a stress test on 144.76.9.110:80  for 1200 using xSYN','46.61.32.15 (RU)','09-06-2016 03:49','Mozilla Firefox v47.0 on windows',0

16459721,'Holst','Launched a stress test on 46.29.2.56:80  for 1200 using xSYN','46.61.32.15 (RU)','09-06-2016 03:55','Mozilla Firefox v47.0 on windows',0


Далее я попытался выяснить, за какими организациями закреплены указанные выше ip-адреса и привязаны ли к ним какие-либо сайты (искал через Google, Shodan, dns- и whois-сервисы и т.п.). Но, к сожалению, никакой информации найти не удалось, кроме того, 7 ip-адресов уже не подают признаков жизни.

вторник, 18 октября 2016 г.

Дайджест новостей по ИБ за 7-14 октября 2016 г.



Блоги:
Александр Бодрик проводит опрос "Кадровая ситуация в ИБ".

Алексей Бондаренко выделил 10 ключевых критериев для выбора SIEM.

Дмитрий  Дудко описал роли, сценарии поведения и потенциальный профит от посещения ИБ-конференций.

Сергей Борисов разбирался, кто чаще всего подвергается DDOS-атакам и нужно ли от них защищаться; подготовил обзор "The Directive on security of network and information systems (NIS Directive)" , устанавливающего требования по информационной безопасности для операторов жизненно важных услуг.


Статьи:







Хранение пользовательских паролей в Google Chrome на Android.

Специальные простые числа помогают пассивно прослушать протокол обмена ключами Диффи-Хеллмана.

Любой сайт может получить информацию о том, в каких популярных сервисах вы авторизированы.




Использование WMI для обнаружения виртуальной среды и обхода антивирусной защиты (англ.).

Команда APT (Advanced Persistent Threat) и их отличие от пентестеров(англ.).




Документы:
NIST SP 800-177 «Trustworthy Email» (Обеспечение доверия к электронной почте) - рекомендации по защите электронной почты. Источник: NIST

Программное обеспечение/сервисы:
Nmap 7.30 - сканер безопасности.

Мероприятия:
25.10.2016, 23.11.2016 и 14.12.2016 Управление Роскомнадзора по Ростовской области проводит бесплатные семинары по теме: «Практика применения Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».

Ресурсы:
phonenumber.to - телефонный справочник (см. обзор).

Презентации и видео с XIV международной конференции по проблематике инфраструктуры открытых ключей и электронной подписи "PKI-Форум Россия 2016".

Презентации с "Код ИБ: Екатеринбург 2016".

Видео с «GrrCON 2016».

понедельник, 10 октября 2016 г.

Дайджест новостей по ИБ за 30 сентября - 7 октября 2016 г.

Блоги:
Алексей Лукацкий привел случаи, при которых необходимо обязательное уведомление об инцидентах ИБ, а также озвучил инициативы, подготовленные разными регуляторами; затронул тему этики специалиста по ИБ.

Александр Бондаренко рассказал, как правильно выбирать средства защиты информации.


Статьи:
Преступления в банковской сфере 13 сентября - 3 октября 2016 г.

Обзор инцидентов безопасности с 26 сентября по 2 октября от securitylab.


Браузеры и app specific security mitigation. Часть 2. Internet Explorer и Edge.

Стандартные пароли помогли создать ботнет из почти 400 000 IoT-устройств.

Результаты летней стажировки в Digital Security. Отдел исследований.

Вредоносный js-код загружается после анализа действий пользователя.

Восстановление файлов из снимков VSS при заражении шифровальщиком.


Защита от атак межсайтового скриптинга с помощью X-XSS-Protection (англ.).

Настройка Perfect Forward Secrecy и TLS 1.2 на IIS-сервере с помощью Powershell (англ.).

Громкие события и актуальные хакерские тренды сентября 2016 г..

Вышел релиз ОС Windows Server 2016.

Доступность JSOC: показатели и измерение.

Модификация вредоносных программ для мобильных устройств с целью обхода антивирусной защиты.


Обходим детектирование виртуальной машины вредоносными программами в VMWare.


Документы:
OUCH! Четыре ступени безопасности  – октябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:
RannohDecryptor - дешифратор для программы-шифровальщика Polyglot (MarsJoke).

Аналитика:

Мероприятия:
12 октября в 18:30 в московском офисе Яндекса состоится пятый OWASP Russia Meetup

Ресурсы:
Kaspersky Start - реализация собственных проектов в сфере информационной безопасности при поддержке «Лаборатории Касперского».

понедельник, 3 октября 2016 г.

Дайджест новостей по ИБ за 16-30 сентября 2016 г.

Блоги:
Алексей Лукацкий рассуждает про ИБ-маркетинг  и личную модель нарушителя; рекомендует не ориентироваться на рекламные листовки с упоминанием серьезных заказчиков при выборе СЗИ.


Валерий Естехин советуют не верить на слово вендорам и интеграторам при покупке ИБ-решений; тезисно поделился впечатлениями о BIS Summit 2016.

Максим Пряничников опубликовал инструкцию по настройке КриптоПро и Stunnel для ГОСТ TLS (для автоматизированного обмена с бюро кредитных историй).

Статьи:




Какой антивирус лучше: Kaspersky Free 2017 против Avira Free Antivirus.



Основы работы с Splunk Enterprise (Snort+OSSEC). https://defcon.ru/network-security/3585/

SDLC: ожидания, требования и предпочтения отечественных разработчиков.

Syncookied — OpenSource ddos protection system.

Бывший мошенник рассказал про схемы мошенничества в «ВКонтакте».

Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт.


ФСБ прогнозирует больший рост числа кибератак на отечественные банки.






Microsoft представила защитную технологию Windows Defender Application Guard для веб-браузера Edge.



Обзор TLS 1.3 (англ.).


Рекомендации по защите WebSocket (англ.).

Рекомендации по защите сайтов на Wordpress (англ.).


Неделя вирусов-шифровальщиков (Ransomware): Cerber, Stampado, Fabiansomware, FenixLocker и другие (англ.).

Фишинговые атаки на студентов Лондонского университета королевы Марии (англ.).


Обзор книги Гордона Корера (Gordon Corera) "Cyberspies: The Secret History of Surveillance, Hacking, and Digital Espionage" (англ.).
 
Законодательство:
Письмо ФНС России от 03.08.2016 N ГД-4-14/14126@ "О проведении работы в отношении юридических лиц, зарегистрированных после 1 августа 2016 года и имеющих признаки недостоверности" (см. комментарии Натальи Храмцовской).

Журналы:
(IN)SECURE Magazine ISSUE 51. Securing your spot at the top.

Программное обеспечение/сервисы:
Kaspersky Cybersecurity Index - онлайн-сервис, предоставляющий информацию о текущем уровне угроз для интернет-пользователей (см. описание).

ir-rescue - bat-скрипт для Windows для сбора различных данных при расследовании инцидентов.

CSP Evaluator - веб-сервис для проверки вашего сайта на возможность противостоять XSS-атакам с помощью Content Security Policy (см. описание).

Аналитика:
Исследование утечек конфиденциальной информации в первом полугодии 2016 года. Источник: Infowatch.

Статистика кибератак за август 2016 г. Источник: Hackmageddon.

Ресурсы:
Материaлы  с "BIS Summit 2016".


Видео с "Derbycon 2016".

Видео с "Louisville Infosec 2016".

Полезные ресурсы по сознанию и запуску Security Operations Center (SOC).