вторник, 28 февраля 2017 г.

Дайджест новостей по ИБ за 10 — 27 февраля 2017 г.



Блоги:
Евгений Касперский ответил на вопросы, касающиеся безопасной операционной системы (KasperskyOS).

Алексей Лукацкий (1, 2, 3, 4, 5) и Андрей Прозоров подготовили обзоры презентаций с секции ФСТЭК России "Актуальные вопросы защиты информации" конференции "ТБ Форум 2017".


Валерий Естихин поделился впечатлениями с "IX Уральского форума" (1, 2, 3, 4, 5).

Статьи:
Обзор кибератак с 16 по 31 января 2017 г. от hackmageddon.

Обзор инцидентов безопасности за период с 06 по 12 февраля 2017 г. от securitylab.

Судебная практика: Google нарушило тайну переписки гражданина РФ, размещая рекламу в его письмах.


Первый способ генерации коллизий для SHA-1.

ЦБ ужесточит требования по ИБ к банкам из-за хакеров.





Элементы защиты банкнот. Частное расследование.



Финансовая кампания TwoBee.


Как «пробить» человека в Интернет: используем операторы Google и логику.

Как обманывают на AliExpress и что с этим делать.

Виртуализация, основанная на безопасности (VBS). Часть 2: взаимодействие ядра с VTL0 и VTL1 (англ.).


Законодательство:
Федеральный закон от 22 февраля 2017 г. N 16-ФЗ "О внесении изменений в главу 5 Федерального закона "О персональных данных" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 декабря 2016 г. N 308 г. Москва "Об утверждении формы и порядка направления уполномоченными государственными органами требования о принятии мер по прекращению распространения новостным агрегатором фальсифицированных общественно значимых сведений, недостоверной общественно значимой новостной информации под видом достоверных сообщений, новостной информации, распространяемой с нарушением законодательства Российской Федерации" (см. краткий обзор).

Документы:
Multi-Factor Authentication - рекомендации по использованиею многофакторной аутентификации. Источник: PCI Security Standards Council.

Программное обеспечение/сервисы:
mongoaudit - утилита для аудита безопасности серверов MongoDB.

Мероприятия:
2 марта 2017 г. в московском офисе Positive Technologies состоится "OWASP Russia Meetup #6".

Ресурсы:
Видео с "ТБ Форум 2017".

Презентации с "RSA Conference 2017".

четверг, 16 февраля 2017 г.

Обзор прошедших мероприятий по ИБ в Ростове



В течение последних трех недель мне удалось поучаствовать в двух мероприятиях, посвященных теме информационной безопасности и персональным данным. О них и пойдет речь далее.
 

31 января в рамках дня открытых дверей, приуроченного к Международному дню защиты персональных данных, Управление Роскомнадзора по Ростовской провело бесплатный семинар по теме: «Практика применения Федерального закона от 27 июля 2006 г. № 152‑ФЗ "О персональных данных». К слову,  они проводятся ежемесячно. Даты проведения можно найти на сайте Роскомнадзора.

Среди участников семинара были представители банков, учебных заведений, адвокат и сотрудники других организаций, ответственные за организацию обработки персональных данных. Всего было порядка 15 человек.

В вводной части семинара представитель Роскомнадзора кратко изложил ключевые моменты 152-ФЗ. Далее он рассказал про перечень документов, который рекомендуется иметь операторам, и про распространенные нарушения, выявленные при проведении  проверок. Затем нас ознакомили с «Кодексом добросовестного поведения в сети Интернет», а в заключительной части семинара представители Роскомнадзора ответили на вопросы участников.

Мероприятие, безусловно, полезное, т.к. оно позволяет узнать официальную позицию регулятора для конкретного случая при выполнении требований Федерального закона «О персональных данных», а также познакомиться с другими участниками и обменяться опытом прохождения проверки Роскомнадзора.


Следующим событием стало посещение конференции «Код информационной безопасности», которое прошло 9 февраля в Ростове-на-Дону. В прошлом году я тоже его посещал, так что есть, с чем сравнить.

Из всех докладов, что я посетил, особо понравился мастер-класс «Инциденты ИБ: практика судебных разбирательств» от Евгения Царева. На нем Евгений раскрыл тему процесса проведения нормативно-технических экспертиз, указал на типичные экспертные ошибки и поделился примерами из практики.

Следующий понравившийся доклад – «Новые штрафы за нарушение закона «О персональных данных». Практические аспекты» от Николая Мисника. Название темы, скорее, для привлечения внимания, т.к. закон еще не вступил в силу и практики по нему быть не может. Зато Николай рассказал о типичных ошибках операторов персональных данных, которые они допускают при выполнении требований 152-ФЗ. Таким образом, доклад дополнил мои знания, полученные на семинаре от Роскомнадзора.

Третий доклад, который хотелось бы выделить, - это «Предотвращение съема информации через технические каналы утечки информации» от Александра Еремеева. Александр рассказывал про шпионские закладки АНБ и показывал примеры закладок, которые обнаруживались организацией, в которой он работает.

В конце конференции всеми участниками обсуждались ТОП-10 проблем ИБ.

Помимо получения полезной информации, я  познакомился с Евгением Царевым, Ильей Шабановым и Владимиром Кочетковым. С Владимиром мы даже договорились создать ИБ-тусовку в Ростовской области.
 
На этом всё.
Спасибо за внимание!

понедельник, 13 февраля 2017 г.

Дайджест новостей по ИБ за 3 - 10 февраля 2017 г.



Блоги:
Видео и презентация доклада "Обнаружение необнаруживаемого" от Алексея Лукацкого.

Статьи:
Обзор инцидентов безопасности за период с 30 января 2016 года по 05 февраля 2017 года.
 
Судебная практика: суд не признал разглашение коммерческой тайны, т.к. режим коммерческой тайны не был установлен надлежащим образом.

Форма обратной связи, размещённая на сайтах организаций, была признана астраханскими прокурорами нарушающей закон о персональных данных.



В Рунете активизировались мошенники, создающие «клоны» сайтов страховых компаний для продажи электронных полисов ОСАГО.

Бесфайловые атаки против корпоративных сетей.



ТОП-10 средств информационной безопасности, на которые стоит обратить внимание в 2017 году.

 

Особенности реализации безопасной ОС на примере операционной системы KasperskyOS.

Машинный поиск аномалий в поведении интернет-магазинов и покупателей.

Мошенничество при покупке б/у MacBook.

Как соответствовать требованиям HIPAA.

Поиск уязвимости Ticketbleed (CVE-2016-9244) (англ.).

Отслеживание физического присутствия с помощью журнала безопасности Windows (англ.).

Разработка безопасного криптографического кода на php (англ.). 

Nile Phish: крупномасштабная фишинговая кампании, направленная на неправительственные организации Египта (англ.).

Вредонос "Pony" заражает пользователей через прикрепленный к фишинговому письму pub-файл (англ.).

CVSSv3: проблемы определения области тестирования (scope).


К проекту "VirusTotal" присоединился сканер "Endgame" (англ.).

Виртуализация, основанная на безопасности (VBS). Часть 1: процесс загрузки (англ.).

Законодательство:
Федеральный закон от 07.02.2017 N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (комментарии Михаила Емельянникова).

Документы:
Best Practices for Securing E-commerce - дополнительные рекомендации по обеспечению безопасности электронной коммерции, выполняемые в рамках PCI DSS. Источник: PCI Security Standards Council.

Common Sense Guide to Mitigating Insider Threats, Fifth Edition - рекомендации CERT по защите от внутренних угроз (см. краткий обзор). Источник: Carnegie Mellon University.
 
Бесплатное учебное пособие "Конкурентная разведка. Часть 2" под редакцией Е. Л. Ющука, А. А. Мальцева.

Журналы:
Infosecurity Magazine: Q1, 2017, Volume 14, Issue 1.

Программное обеспечение/сервисы:
Printer Exploitation Toolkit - инструмент для автоматизации атак на популярные многофункциональные принтеры марок HP, Brother, Lexmark, Dell, Samsung, Konica, OKI и Kyocera с использованием давно известных и недавно обнаруженных уязвимостей (см. статью).

PacketTotal - сервис для анализа pcap-файлов с помощью BRO IDS и Suricata.

 
The Archimedes Center for Medical Device Security - веб-ресурс, содержащий информацию о безопасности медицинских устройств. 

Ресурсы:
Презентации с "ТБ Форум 2017" (08.02.2017, Зал 4, Защита информации и связи).

Презентации с "Cyber Security Forum 2017".

Видео с митапа "Op!DevOps!", который прошёл 7 октября 2016 г. в Москве.
 
Инфографика "Взлом автомобиля" от Select Car Leasing (англ.).

вторник, 7 февраля 2017 г.

Дайджест новостей по ИБ за 27 января - 3 февраля 2017 г.


Блоги:
Алексей Лукацкий поделился своим мнением, чего не хватает 17-му приказу ФСТЭК.

Статьи:
Обзор инцидентов безопасности за период с 23 по 29 января 2017 года.

Обзор кибератак с 1 по 15 января 2017 года.

Обзор уязвимостей за 20-28 января от US-CERT (англ.).



«Вконтакте» подала иск на "Double Data" и "НБКИ" за сбор данных для банков.

В Facebook придумали механизм восстановления аккаунтов, где один сервис ручается за другой.

На 100% правильный способ проверки адресов электронной почты.



Бывший разработчик Firefox: удалите сторонние антивирусы.

Восстановление среды Windows Recovery Environment (WinRE) в Windows 10.


Facebook и другие соцсети получили предупреждение Еврокомиссии о недопустимости публикации фальшивых новостей.
 

Введение в Deep Packet Inspection (DPI).

Обзор OfficeMalScanner (англ.).

Прикрытие доменом (Domain fronting)  через Cloudfront (англ.).



Пример использования AD ACL Scanner - инструмента для создания отчетов по спискам избирательного управления доступом (DACL) и спискам управления доступом к объектам Microsoft Windows (SACL) в Active Directory (англ.).

Законодательство:
Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79. Источник: ФСТЭК. (см. комментарии Алексея Лукацкого, Андрея Прозорова, Сергея Борисова).
 

Аналитика:
DDoS-атаки в четвертом квартале 2016 года. Источник: Лаборатория Касперского.



Атаки на веб-приложения (2016) - результаты  исследований  на  основе  данных,  собранных  в  ходе работы  PT  AF. Источник: Positive Technologies.

Кибербезопасность 2016-2017: от итогов к прогнозам. Источник: Positive Technologies.

Мероприятия:
09 февраля 2017 г. в 10.00 в Конгресс-отеле «Don-Plaza» (ул. Большая Садовая, 115) состоится конференция "Код информационной безопасности".

Подать заявку на участие в международном форуме по практической безопасности Positive Hack Days VII.

Принять участие в программе "Kaspersky Who Calls" - наполнении базы данных телефонного спама.

Ресурсы:
Passport Index - интерактивный сервис, посвященный паспортам мира.
 
Закрытый профессиональный клуб «SOC в России». 

No Name Podcast - подкаст по информационной безопасности от Влада Стыряна, Игоря Кравчука и Руслана Киянчука.

Видео с "ShmooCon 2017".