Новости ИБ за 4 - 11 октября 2013 года

Блоги:

Алексей Лукацкий утверждает, что конференции формата «все обо всем» смогут существовать, если они будут заточены под конкретную целевую аудиторию.

Обзор кибератак за 16-30 сентября (англ.).

Банк привлекли к административной ответственности по ч.2 ст.14.8 КоАП из-за условий кредитного договора, противоречащих законодательству в области персональным данных.

Алексей Комаров обновил таблицу сертифицированных межсетевых экранов, в которой приводится список новых межсетевых экранов и с продленными сертификатами.

Статьи:

Введение в BREACH-атаку (англ.).

Методы противодействия XSS-атакам (англ.).

Подготовка к CISSP. В статье вы найдете ответы на вопросы «что такое CISSP?», «зачем он нужен?» и  «Как подготовиться к экзамену?».

Google начинает выплачивать вознаграждения за исправление уязвим остей в проектах с открытым исходным кодом.

Атака типа «человек в браузере» и основные меры противостояния.

Минфин договорился с Банком России о спорных списаниях с банковских карт.

Документы:

Nmap Cheat Sheet 1.0 (англ.). Источник: SANS.

OUCH! Менеджер паролей – октябрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.

Программное обеспечение:

vulnerability-check – скрипт, который использует программное обеспечение с открытым исходным кодом (Nmap, vFeed и DPE); выполняет задачи схожие с работой Nessus или AVDS.

Secunia PSI for Android – программа для проверки и автоматической установки обновлений безопасности для программ, установленных на вашем смартфоне.

Dr.Web LinkChecker 3.4 - бесплатное расширение для браузеров для проверки интернет-страниц и файлов, скачиваемых из сети Интернет.

Аналитика:

Обзор информационных угроз сентября 2013 года. Источник: ESET.

Ресурсы:

http://itsec.by – блог белорусских коллег, посвященный, в частности, ISO 27001.

SecLog - бесплатный сервис обнаружения атак на ваш сайт.

Юмор. Твиттер

- Привет, как в кино сходила? У Маринки как дела? Жалко, что вы с Ваней расстались, он норм был.
- А вы вообще кто??
- В твиттере тебя читаю.

Новости ИБ за 27 сентября – 4 октября 2013 года

Блоги:

Алексей Лукацкий рассуждает об идеи проверки знаний специалистов-практиков в сфере информационной безопасности и получения опыта по реализации атак и защиты от них, в частности, с помощью киберучений и соревнований CTF (Capture The Flag); прокомментировал проект приказа ФСБ по защите персональных данных.

Владимир Стыран выделил пять качеств, которыми должен обладать успешный специалист по информационной безопасности.

Статьи:

Закон о персональных данных мешает запустить реестр дипломов.

Настраиваем HTTPS-сервер на nginx.

Тайна связи не распространяется на интернет-переписку.

Международная антивирусная компания ESET составила список 10 популярных хакерских игр.

Введение в хактивизм (англ.).

Документы:

Research Report. 2013 State of Social Media Spam – отчет по спаму в социальных медиа в первой половине 2013 года (см. краткий обзор). Источник: Nexgate.

Программное обеспечение:

Matriux – Debian-дистрибутив, состоящий из более 300 бесплатных / с открытым исходным кодом утилит, которые могут быть использованы для тестирование на проникновение, администрирования, судебно-медицинской экспертизы, расследования инцидентов и поиска данных.

OllyDbg v2.01 - бесплатный отладчик уровня машинного кода для операционных систем семейства Windows.

Lynis v1.3.1 – утилита для аудита безопасности в системах Unix / Linux..

Аналитика:

Аналитический обзор инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств за первое полугодие 2013г. Источник: Банк России.

Обзор вирусной активности в сентябре 2013 года. Источник: Dr.Web.

Ресурсы:

Запись передачи «Основной элемент. Цифровая эпидемия», посвященной интернет-угрозам.

Проект «Разбираем Интернет» - образовательные ресурсы для получения новых знаний и навыков в области цифровой грамотности, в том числе и по информационной безопасности (см. краткий обзор проекта).

Книги:

WindowsServer 2012 Security from End to Edge and Beyond: Architecting, Designing,Planning, and Deploying Windows Server 2012 Security Solutions

Авторы: Том Шиндер (Thom Shinder), Юрий Диоген (Yuri Diogenes), Дебра Литтлджон Шиндер (Debra Littlejohn Shinder)

Язык: английский

Год издания: 2013

Описание: сотрудники Microsoft описывают практические примеры по проектированию и развертыванию безопасной инфраструктуры для защиты активов в системах Windows.

 

LearningFrom the Octopus: How Secrets from Nature Can Help Us Fight Terrorist Attacks,Natural Disasters, and Disease

Автор: Рейф Сагарин (Rafe Sagarin). Является экологом и экспертом по безопасности.

Язык: английский

Год издания: 2012

Описание:  Автор книги описывает механизмы безопасности, которыми наделены обитатели живой природы, и показывает нам, как мы могли бы научиться эффективней реагировать на неизвестные угрозы в будущем.

WindowsRegistry Forensics: Advanced Digital Forensic Analysis of the Windows Registry

Автор:  Харлан Карви (Harlan Carvey)

Язык: английский

Год издания: 2011

Описание: книга посвящена цифровой криминалистике реестра Winodws. В ней приводятся инструменты и методы анализа реестра.

Browser Security Handbook. Глава 1, пункт 12

Руководство по безопасности браузеров (Browser Security Handbook). Глава I 
§ 11. Другие встроенные форматы документов 

§12. Контентные плагины 

В отличие от небольшого и вполне определенного набора изначально поддерживаемых форматов документов, сфера применения браузерных плагинов очень разнообразна и быстро расширяется. Большинство распространенных плагинов для отображения контента вызываются с помощью тегов <OBJECT> или <EMBED> (или <APPLET> для Java), но могут использоваться и другие типы интеграции.

Распространенные плагины, встраиваемые в страницу сайта, можно разделить на несколько основных категорий:

- Языки веб-программирования. Включает такие технологии, как Adobe Flash, Java или Microsoft Silverlight, присутствующие на подавляющем большинстве настольных компьютерах. Эти языки, как правило, позволяют выполнять множество сценариев (скриптов), включая доступ к документу верхнего уровня и другой DOM-информации, или способны отправить сетевые запросы на некоторые объекты. Модели безопасности, реализованные этими плагинами обычно отличаются от моделей самого браузера нелогичными или непредусмотренными особенностями. Такие технологии веб-разработки становятся главной целью для проведения атак.  Они также представляют потенциальную угрозу безопасности из-за недостаточной обработки входных данных в популярных плагинах.

- Интегрированные форматы документов, отличные от HTML. Некоторые популярные редакторы документов или средства просмотра, включая Acrobat Reader и Microsoft Office, устанавливают плагины для поддержки собственных форматов на HTML-странице или для просмотра содержимого в полноэкранном режиме прямо в браузере. Интересной особенностью этого механизма является то, что многие такие форматы документов позволяют создавать сценарии или предлагают интерактивные функции (например, интерактивные ссылки), что может привести к передаче данных браузеру необычным или непредсказуемым способом. Например, существуют методы для перемещения окна браузера с помощью JavaScript в Url-адресах встроенных в PDF-документы - и этот код будет выполняться в контексте безопасности сайта.

- Языки разметки,  интегрированные в HTML. Языки разметки, такие как VRML, VML или MathML, также поддерживаются в некоторых браузерах с помощью плагинов, и могут быть встроены в стандартные HTML-документы; они имеют такой же вектор атаки, что и формат XML (см. предыдущий параграф).

- Мультимедийные форматы, обладающие широкими возможностями. Различные плагины  позволяют воспроизводить видео и аудио непосредственно в браузере без открытия окна мультимедийного проигрывателя. Интеграцию плагина в браузер, расширяющие его возможности, предлагают большинство современных медиаплееров, в частности, Windows Media Player, QuickTime, RealPlayer или VLC. Большинство таких форматов не влияют на безопасность для принимающей стороны, хотя на практике, этот тип интеграции подвержен определенным ошибкам.

- Специализированные виджеты для манипулирования данным. Они включают в себя функции, такие как DHTML Editing Control с CLSID 2D360201-FFF5-11D1-8D03-00A0C959BC0A. Некоторые такие плагины поставляются вместе с Windows и помечаются как безопасные, хотя безопасности уделяется мало внимания.

Общая информация: в некоторых азиатских странах применяются плагины на основе модуля шифрования, реализованные в виде управляющих элементов ActiveX.

Одним из наиболее важных свойств безопасности объектов, вложенных в теги, является возможность встраивания произвольных типов файлов, манипулируя заголовками Content-Type и Content-Disposition.

Приоритеты входящих данных для того, чтобы решить, как интерпретировать содержание в различных браузерах, описаны с таблице 13.

Таблица №13

Входной сигнал	MSIE6	MSIE7	MSIE8	FF2	FF3	Safari	Opera	Chrome	Android
Тип тега и TYPE= / CLASSID= значение	#1	#1	#1	#1	#1	#1	#1	#1	n/a
Content-Type=значение, если TYPE= не определен	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	n/a
Content-Type=значение, если TYPE= отсутствует	#2	#2	#2	#2	#2	#2	#2	#2	n/a
Сниффинг контента, если TYPE= не определен	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	n/a
Сниффинг контента, если TYPE= отсутствует	игнорировать	игнорировать	игнорировать	игнорировать	игнорировать	(#3)	игнорировать	(#3)	n/a

Подход по определению обрабатываемых входных данных является проблематичным, поскольку он лишает сервер выбирать определенные ресурсы, которые рассматриваются как интерпретируемый плагином документ в ответ на действия вредоносного стороннего сайта. В сочетании со слабым синтаксическим анализатором в браузерных плагинах это приводит к старым уязвимостям.  

Примечание: К сожалению, на сегодняшний день нельзя полностью проконтролировать как будет отображаться управляемый плагином документ. 

 Другое интересное свойство, которое стоит отметить - это наличие во многих модулях собственных HTTP-стеков и кэширование системы, что позволяет обойти настройки конфиденциальности браузера.

Новости ИБ за 20-27 сентября 2013 года

Блоги:

Мировые эксперты по информационной безопасности в Twitter.

Алексей Лукацкий предложил вернуться к идее единого госоргана по вопросам информационной безопасности, обосновывая свою позицию примерами из жизни; поделился советами по организации мероприятий по информационной безопасности.

Наталья Храмцовская прокомментировала спор, в результате которого Арбитражный суд города Москвы признал, что предоставление правовых актов, содержащих сведения конфиденциального характера, противоречит положениям закона о доступе к государственной информации.

Владимир Безмалый описал методы защиты информации на Android-устройствах встроенными средствами операционной системы.

Статьи:

Обзор кибератак за 1-15 сентября 2013г. (англ.).

Первая часть трилогии о практическом применение математики в сфере информационной безопасности.

Обзор круглого стола по проблемам применения ст.9 Закона о национальной платежной системе в пресс-центре «Комсомольской правды».

Введение в CSRF-уязвимость и методы противодействия (англ.).

Исследовательский центр «Лаборатории Касперского» опубликовал отчет, раскрывающий действия кибершпионской группы Icefog.

Набор плагинов для Firefox, позволяющих повысить вашу безопасность.

Журналы:

!Безопасность Деловой Информации выпуск #3.

Документы:

Mobile Security Review - результаты августовского теста антивирусов для Android (англ.). Источник:AV-Comparatives + краткий обзор документа от Владимира Безмалого.

The Global State of Information Security Survey 2014 - отчет о состоянии информационной безопасности в определенной сфере деятельности.

COBIT 5 – русская версия бизнес-модели по руководству и управлению ИТ на предприятии. Настоящий документ включает описание пяти принципов COBIT 5 и определяет семь факторов влияния, которые вместе формируют основу методологии.

Cyber Risk Report: September 16-22, 2013 (англ.) - отчет о компьютерных рисках от Cisco.

Законодательство:

Приказ Министерства внутренних дел Российской Федерации от 15 июля 2013 г. N 538 «О внесении изменений в приказ МВД России от 6 июля 2012 г. N 678 «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации».

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 9 августа 2013 г. N 906 «Об утверждении формы заявления правообладателя о принятии мер по ограничению доступа к информационным ресурсам, распространяющим с нарушением исключительных прав фильмы, в том числе кинофильмы, телефильмы, или информацию, необходимую для их получения с использованием информационно-телекоммуникационных сетей».

Приказ Государственной фельдъегерской службы Российской Федерации (ГФС России) от 12 июля 2013 г. N 306 «О персональных данных в системе ГФС России».

Программное обеспечение:

Portspoof - основная задача программы заключается в повышение безопасности ОС с помощью набора методов, которые увеличивают время для сбора данных о вашем компьютере, например, при сканировании nmap программа покажет, что все порты открыты, хотя, на самом деле, открыт только один порт.

Kvasir – интернет-приложение для управления данными о тестировании на проникновении.

Suricata v1.4.6 - открытая система обнаружения и предотвращения атак.

Аналитика:

Анализ рынка систем защиты от утечек конфиденциальных данных (DLP) в России 2011-2013. Источник: Anti-Malware.ru

Ресурсы:

Материалы конференции DEF CON 1993-2013.

Материалы конференции PKI-Forum Россия 2013.

Материалы конференции Код инфрмационной безопасности 2013.

Материалы Enterprise Mobile Security Forum 2013.

Письмо от Робин Гуда

Сегодня на банкир.ру  написал мне Робин Гуд:

"Приветствую ! Для взаимовыгодного сотрудничества ищу работника банка, имеющего доступ к полной информации по холдерам. Территориальное местонахождение РФ, название банка никакого значения не имеет. Без личных встреч, полная анонимность. Слив со счета и обнал этих средств устроим максимум за один день, ваши 10% уже белыми деньгами на любые указанные реквизиты. Работаем как по физикам, так и по корпам. Мы нацелены на продолжительное сотрудничество при доверительных отношениях. Если интересно, пишите в ЛС, либо по контактам : почта pavel.vladimirovich.82@gmail.com, скайп lois.passenger, ася 664177984, джаббер friedrichrotbart@jabber.cz"

Не знаю даже, как на подобные сообщения реагировать и куда посылать/обращаться.
Коллеги, поделитесь опытом.

Новости ИБ за 13-20 сентября 2013 года

Блоги:

Михаил Емельянников рекомендует учитывать специфику деятельности оператора, в частности, негосударственного пенсионного фонда, а не использовать общие шаблоны для написания положений и политик по персональным данным.

Обзор книги «Configuration Management Using COBIT 5» от Андрея Прозорова.

Статьи:

Защита данных от уязвимости «небезопасное криптографическое хранилище» (Insecure Cryptographic Storage) (англ.).

Взлом WordPress при помощи XSS, обход WAF и получение shell-доступа.

10 приложений для обеспечения безопасности вашего iPhone.

Перевод четвертой части книги «Metasploit Penetration Testing Cookbook».

Технологии безопасности Windows Server 2012.

Методы противодействия заражению вредоносным ПО мобильного устройства при его зарядке от USB.

5 хакерских инструментов в помощью безопаснику: Vega, OVAL, Scuba, Drozer PwnPad (англ.).

Журналы:

Hacker5 Issue 12 (September 2013)

PenTest OPEN Issue 7 (September 2013)

Журнал "Information Security/ Информационная безопасность" #4, 2013

Документы:

UEFI Secure Boot In Modern Computer Security Solutions - в данной статье обсуждаются заблуждения о безопасной загрузке UEFI, приводятся примеры потенциальных вредоносных атак руткитов и буткитов, а также возможные методы противодействия (англ.). Авторы: Richard Wilkins и Ph.D (Phoenix Technologies, Ltd), Brian Richardson (Intel Corporation).

Законодательство:

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 г. «Об утверждении требований и методов по обезличиванию персональных данных».

Банк России ответил на вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года № 382-П.

 

Программное обеспечение:

cvechecker v3.3 – утилита сообщает о возможных уязвимостях системы путем сканирования установленного программного обеспечения и сравнения полученных результатов с базой данных CVE.

Dr.Web v9.0 – средство антивирусной защиты.

Burp Suite Professional v1.5.17 – Java-приложение для защиты/взлома интернет-приложений.

JBrute v0.93 – Java-приложение для проведения аудита хеша паролей.

Nexpose v5.7.10 – сканер уязвимостей.

Arachni v0.4.5 – сканер безопасности интернет-приложений.

OWASP Zed Attack Proxy v2.2.1 – инструмент для поиска уязвимостей в интернет-приложениях.

Аналитика:

Спам в августе 2013. Источник: Securelist

Ресурсы:

Презентации с XII Всероссийской конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ – 2013».

Бесплатный пробный тест для претендентов на сертификацию CISA.

Бесплатные видеокурсы по хакингу от Offensive Security.