Блоги:
Алексей Лукацкий описал этапы
реализации угрозы "Chip-in-the-Middle"
("чип посередине") через партнеров ИБ/ИТ-вендоров.
Статьи:
Современные методы исследования
безопасности веб-приложений: инструментарий.
Вредоносное ПО распространяется через
популярные сайты для
бухгалтеров и юристов.
Wikileaks раскрыла методы шпионажа ЦРУ за своими
коллегами по всему миру.
«Человек посередине»,
использующий отозванные
сертификаты. Часть 2.
Система IEEE Software
Taggant: защита от ложных срабатываний антивируса.
Обзор мирового и российского
рынка SIEM-систем
2017.
Обзор лучших технических докладов
конференции «Still
Hacking Anyway 2017».
Выключаем Intel ME 11,
используя недокументированный режим.
Сравнительное нагрузочное
тестирование Lua-коннекторов для Tarantool
из NGINX.
Простой эксплойт даёт
злоумышленникам возможность изменить содержимое
письма после отправки.
13 технологий
безопасности, которые у вас могут быть, но не должны игнорироваться
(англ.).
В
Android O добавили разрешение (permission) "установка неизвестных
приложений" (англ.).
Документы:
Positive Research 2017: сборник исследований по практической безопасности.
Positive Research 2017: сборник исследований по практической безопасности.
CERT
Guide to Coordinated Vulnerability Disclosure - руководство содержит
ключевые концепции, принципы и роли, необходимые для создания успешного
процесса раскрытия информации об уязвимостях. Источник: Carnegie Mellon University.
Руководство
по реагированию на инциденты информационной безопасности. Источник:
Лаборатория Касперского.
Законодательство:
Приказ Федеральной службы по
надзору в сфере связи, информационных технологий и массовых коммуникаций от
09.06.2017 г. № 99 "Об утверждении Методики
определения количества пользователей сайта и (или) страницы сайта в
информационно-телекоммуникационной сети "Интернет", и (или)
информационной системы, и (или) программы для электронных вычислительных машин,
которые используются для формирования и (или) организации распространения в
информационно-телекоммуникационной сети "Интернет" совокупности
аудиовизуальных произведений, в сутки".
Приказ
Федеральной службы по надзору в сфере связи, информационных технологий и
массовых коммуникаций от 09.06.2017 г. № 100 "Об утверждении Порядка
доступа к информации, содержащейся в единой автоматизированной информационной
системе "Единый реестр доменных имен, указателей страниц сайтов в
информационно-телекоммуникационной сети "Интернет" и сетевых адресов,
позволяющих идентифицировать сайты в информационно-телекоммуникационной сети
"Интернет", содержащие информацию, распространение которой в
Российской Федерации запрещено".
Программное обеспечение/сервисы:
Nessus Compliance
Generator - утилита для быстрого создания заданий на соответствие различным
требованиями в Nessus.
extractTVpasswords -
утилита для извлечения паролей из TeamViewer с помощью Frida.
Аналитика:
Спам и фишинг
во втором квартале 2017. Источник: Лаборатория Касперского.
Ресурсы:
Презентации с "HITB GSEC 2017".