Дайджест новостей по ИБ за 17-24 октября 2014 года

Блоги:

Анализ утёкших паролей Яндекс и Mail.ru от Артёма Агеева.

Статьи:

Обзор кибератак за 1-15 октября 2014 г. (англ.).

Преступления в банковской сфере 14 - 23 октября 2014.

Исследование шифровальщика Cryakl.

Целевые атаки через контекстную рекламу.

Управление блокировкой небезопасных вложений в Outlook.

Программы-вымогатели (ransomware), в частности, шифровальщики, и методы защиты от них (англ.).

Рекомендации компаний «FirstVDS/ FirstDEDIC» и «Mail.ru» по защите от уязвимости POODLE SSLv3.

В ОС Android обнаружена уязвимость, позволяющая запускать вредоносный код, спрятанный внутри PNG-изображения.

Документы:

Regional Advanced Threat Report: Europe, Middle East and Africa 1H2014 - отчет о целенаправленных атаках, обнаруженных в регионе ЕБВА (Европа, Ближний Восток и Африка) в первом полугодии 2014г (англ.). Источник: FireEye.

Аналитика:

Спам в сентябре 2014. Источник: Лаборатория Касперского

Мероприятия:

30 октября 13:00- 20:00 (UTC), MalCon CTF 2014.

Ресурсы:

Записи курсов-вебинаров от компании PentestIT.

Диалоги #поИБэ №19  - подкаст о банковском мошенничестве и атаках на финансовые организации.

Дайджест новостей по ИБ за 10-17 октября 2014 года

Блоги:

Алексей Лукацкий разъяснил, можно ли отказываться от какой-либо защитной меры согласно приказам 17, 21 и 31.

Статьи:

Преступления в банковской сфере 26 сентября - 13 октября 2014.

Обзор гаджетов для хакеров.

Методы взлома MD5.

Утечка аккаунтов Dropbox

Уязвимость SSLv3 POODLE (CVE-2014-3566).

В Windows 7, 8, 8.1  обнаружена уязвимость нулевого дня (CVE-2014-4114).

ЕС согласовал отказ от банковской тайны к 2017 году.

Документы:

Тенденции развития преступлений в области высоких технологий 2014 - в отчете рассматриваются тенденции развития высокотехнологичных преступлений в период со второй половины 2013 года по первую половину 2014 года, даются прогнозы развития рынка и тренды на следующий отчетный период. Источник: Group-IB.

CIS Microsoft Exchange Server 2013 Benchmark v1.0.0 - руководство по установке безопасных настроек для Microsoft Exchange Server 2013 (англ.). Источник: CIS.

Законодательство:

Приказ Федеральной таможенной службы (ФТС России) от 13 августа 2014 г. N 1533 г. Москва «Об утверждении Перечня должностей государственных служащих таможенных органов Российской Федерации, представительств (представителей) таможенной службы Российской Федерации в иностранных государствах, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным». Можно использовать в качестве шаблона.

Программное обеспечение/сервисы:

Veracrypt – программа для шифрования данных (см. описание).

CrowdStrike ShellShock Scanner – сканер для обнаружения уязвимости «ShellShock» на веб-серверах в локальной сети.

BackBox Linux 4.0 – дистрибутив на основе Ubuntu, предназначенный для выполнения тестирования на проникновение.

Аналитика:

Статистика кибератак за сентябрь 2014г. (англ.). Источник: Hackmageddon.com.

Мероприятия:

18-20 октября 2014 г., Defcamp CTF Qualification 2014.

20-22 октября 2014 г., UConn CyberSEED Competition 2014.

21-23 октября 2014 г., Hack.lu CTF 2014.

Ресурсы:

Видео с семинара «Практика выбора решений для защиты от угроз нулевого дня и целевых атак» Ассоциации RISSPA при поддержке Mail.Ru Group.

Открытая безопасность № 16 – подкаст о тенденциях ИБ на 2014-2015 гг.

Дайджест новостей по ИБ за 3-10 октября 2014 года

Статьи:

Преступления в банковской сфере 17 - 25 сентября 2014

Обзор кибератак за 16-30 сентября 2014 г. (англ.).

Пример выполнения аудита безопасности дейтинг-ресурса.

Использование соцсетей для сбора информации о российских чекистах.

Что такое APT и как с ними справиться.

Руководство на случай, если ваш сайт взломали и вымогают деньги.

Обзор плагинов безопасности для WordPress (англ.).

Использование HoneyDrive (виртуальный образ Linux-дистрибутива с honeypot) для обнаружения атак и других несанкционированных действий.

Анализ Tyupkin (вредоносного ПО для банкоматов) и рекомендации по минимизации риска.

Журналы:

Security Kaizen Magazine Issue 16 – журнал по информационной безопасности (англ.).

Документы:

ГОСТ Р ИСО/МЭК 27011-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по менеджменту информационной безопасности для телекоммуникационных организаций на основе ИСО/МЭК 27002». Стандарт предоставляет дополнительные рекомендации по реализации и менеджменту информационной безопасности в телекоммуникационных организациях  на основе ИСО/МЭК 27002.

Data Breaches Top 2014 – инфографика о крупных утечках данных за 2014 год (англ.). Источник: DataBreachToday.

Законодательство:

Указ Президента РФ от 03.10.2014 N 653 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента РФ от 30 ноября 1995 г. N 1203».

Письмо Банка России от 02.10.2014 N 167-Т «О мерах по снижению операционных рисков при принятии к исполнению исполнительных документов». Кредитным организациям рекомендуется максимально тщательно проверять подлинность исполнительных документов перед списанием денежных средств со счетов клиентов.

Программное обеспечение/сервисы:

CAINE (Computer Aided INvestigative Environment) 6.0 «Dark Matter» 64bit - Linux-дистрибутив для проведения цифровой криминалистики (расследование инцидентов ИБ).

OWASP Offensive Web Testing Framework (OWTF) 1.0 «Lionheart» – проект, ориентированный на эффективность проведения тестирования на проникновение в соответствии с требованиями таких стандартов как OWASP Testing Guide (v3 и v4), OWASP Top 10, PTES и NIST.

Аналитика:

Инциденты в информационной безопасности крупных российских компаний (2013 год) – результаты опроса руководителей 63 крупнейших российских компаний. Источник: Positive Technologies.

Анализ киберугроз для мобильных устройств на платформе Android за период с 1 августа 2013 года по 31 июля 2014 года. Источник: Лаборатория Касперского.

Мероприятия:

11-13 октября, ASIS CTF Finals 2014.

30 октября, г. Москва, пятая технологическая конференция Яндекса «Yet another Conference 2014».

Ресурсы:

Видеоархив с Derbycon 2014.

Материалы NeoQUEST-2014.

Материалы BIS Summit'2014.

Презентации с семинара «Роль человека в обеспечении информационной безопасности», организованного товариществом RISC совместно с экспертами CyberSecurity PriceWaterhouseCoоpers (PwC).

Тест для проверки уровня владения тематикой ИБ от «Информзащита».

Юмор. ПЭМИН

Дайджест новостей по ИБ за 26 сентября – 3 октября 2014 года

Блоги:

Артем Агеев подготовил краткий обзор изменений в Положение ЦБ 382-П + доработал excel-файл для самооценки по методике Положения Банка России 382-П.

Сергей Борисов высказал свое мнение по поводу необходимости проведения тестирования на проникновение.

Комментарии Михаила Емельянникова по поводу внесенных правок в закон № 98-ФЗ

«О коммерческой тайне».

Наталья Храмцовская поделилась впечатлениями о прошедшем мероприятии «PKI-Forum Россия 2014».

Статьи:

Владимир Путин провёл заседание Совета Безопасности, посвящённое вопросам противодействия угрозам национальной безопасности в информационной сфере.

Positive Technologies призывает ВУЗы присоединиться к некоммерческой программе Positive Education.

Обзор стандарта NIST Special Publication 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations» (Контроли безопасности и приватности для федеральных информационных систем и организаций).

Обзор кибератак за 1-15 сентября 2014 г. (англ.).

Обзор AI-Bolit – бесплатного сканера вредоносного кода.

Обзор уязвимости Shellshock + настройка Fail2ban для защиты от bash-уязвимостей.

Руководство по обеспечению безопасности Linux-системы.

Руководство по поиску эксплойтов в PDF-документах.

Полезные утилиты для игры в CTF (англ.).

Журналы:

eForensics Magazne Issue 03/2014 (8) – тема номера: «Киберпреступность и кибербезопасность» (англ.).

Документы:

На портале ТК 362 «Защита информации» выложена на публичное обсуждение первая редакция проекта национального стандарта ГОСТ Р «Защита информации. Обеспечение безопасной разработки программного обеспечения. Требования», разработанная специалистами НПО «Эшелон».

OUCH! Пять шагов к безопасности – октябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:

Deshellshock -  bash-скрипт для проверки на наличие уязвимости «ShellShock» и схожих уязвимостей, а также  установки патча при необходимости.

Аналитика:

Мобильные угрозы в сентябре 2014 года. Источник: Dr.Web.

Мероприятия:

1-8 октября, ZeroNights 2014: Hackquest (см. описание).

3-6 октября, MalCon 2014 Quals.

Ресурсы:

«Hacked» - бета-версия игры хакерского жанра для Android.

ShellShock Tester – веб-сервис для проверки сайта на наличие уязвимости «ShellShock».

WPScan Vulnerability Database – база данных уязвимостей WordPress.

Видео с рекомендациями по защите клиентской и серверной инфраструктуры Windows (англ.).

Материалы с PKI-Forum Россия 2014.

Презентации с международной конференции Virus Bulletin 2014.

Итоги ежегодного конкурса по тестированию защищенности информационных систем и интернет-разведке «Эшелонированная оборона — 2014» (прим. автора – интерес вызывают ссылки на pdf-файлы).

Дайджест новостей по ИБ за 19 – 26 сентября 2014 года

Блоги:

Алексей Лукацкий поделился впечатлениями о BIS Summit 2014; опубликовал список изменений в законодательстве по ИБ и ПДн, произошедших за последнее время; прокомментировал новую редакцию 382-П Банка России.

Ксения Шудрова составила портрет идеального специалиста по защите информации в соответствии с требованиями, предъявляемыми к кандидату, при трудоустройстве.

Статьи:

TOP-10 угроз безопасности баз данных (англ.).

14 лучших сканеров уязвимостей веб-приложений с открытым исходных кодом (англ.).

Список утилит для тестирования на проникновение Cisco (англ.).

Обход блокировки экрана iOS (англ.).

Эволюция зловредов для Mac OS X.

Примеры использования поисковика Shodan.

Преступления в банковской сфере 17 - 25 сентября 2014

Трюки и фокусы с файлом web.config.

Защита сайта на CMS-движке от взлома.

Безопасные способы общения в Сети

Новая уязвимость ShellShock (CVE-2014-6271) позволяет атаковать множество устройств, от смартфонов до промышленных серверов.

Журналы:

Information Security/Информационная безопасность #4/2014.

Документы:

OWASP Testing Guide v4 – руководство по тестированию на проникновение веб-приложений и веб-сервисов (англ.). Источник: OWASP.

Parental Control Test & Review 2014 - тест родительских контролей для различных ОС (англ.). Источник: AV-Comparatives.

Mobile Security Review September 2014 - тест приложений для обеспечения безопасности смартфонов (англ.). Источник: AV-Comparatives.

Аналитика:

Глобальное исследование утечек конфиденциальной информации в I полугодии 2014 года. Источник: Infowatch

Спам в августе 2014. Источник: Лаборатория Касперского.

Мероприятия:

Microsoft запустила программу по выплате вознаграждений за найденные уязвимости.

26-27 сентября 2014 г, Sharif University CTF Quals 2014.

Ресурсы:

Презентации с конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ-2014».

Дайджест новостей по ИБ за 12 – 19 сентября 2014 года

Блоги:

9 способов защитить данные на мобильном устройстве от Владимира Безмалого.

Александр Бондаренко рассмотрел применение agile-методов в сфере информационной безопасности.

Алексей Волков разобрался, какую цель преследовало принятие Постановления Правительства РФ от 31.07.2014 N 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей».

Статьи:

Преступления в банковской сфере 4 - 16 сентября 2014

Обзор фрагментов кода популярных Android-вирусов.

Проблематика российской ИБ-тусовки.

Рекомендации по выполнению требований законодательства при обработке персональных данных без использования средств автоматизации.

В Microsoft PatchGuard (или Kernel Patch Protection) для защиты ключевых компонентов Windows 8.1 обнаружена уязвимость.

Половина сайтов силовых структур России использует публичные почтовые серверы.

Журналы:

!Безопасность Деловой Информации выпуск #7 - тема номера: «Место ИБ в управлении рисками бизнеса».

(IN)SECURE Magazine Issue 43 (сентябрь 2014) - тема номера: «Certification, mobile, Black Hat» (англ.).

Документы:

ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности». Стандарт устанавливает структуру и содержание компонентов функциональных требований безопасности для оценки безопасности.

ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности». Стандарт определяет требования доверия ИСО/МЭК 15408.

CIS Microsoft Windows 8.1 Benchmark v1.0.0 - руководство по установке безопасных настроек для Microsoft Windows 8.1 (англ.). Источник: CIS.

CIS Microsoft Windows Server 2012 R2 Benchmark v1.0.0 - руководство по установке безопасных настроек для Microsoft Windows Server 2012 R2 (англ.). Источник: CIS.

CIS CentOS Linux 7 Benchmark v1.0.0 - руководство по установке безопасных настроек для CentOS Linux 7 (англ.). Источник: CIS.

CIS Apple iOS 7 Benchmark v1.1.0 - руководство по установке безопасных настроек для Apple iOS 7 (англ.). Источник: CIS.

CIS VMware ESXi 5.5 Benchmark v1.1.0 - руководство по установке безопасных настроек для VMware ESXi 5.5 (англ.). Источник: CIS.

CIS Microsoft SQL Server 2008 R2 Database Engine Benchmark v1.2.0 - руководство по установке безопасных настроек для Microsoft SQL Server 2008 R2 (англ.). Источник: CIS.

CIS Microsoft SQL Server 2012 Database Engine Benchmark v1.2.0 - руководство по установке безопасных настроек для Microsoft SQL Server 2012 Database Engine (англ.). Источник: CIS.

CIS Microsoft IIS 7 Benchmark v1.5.0 - руководство по установке безопасных настроек для Microsoft IIS 7 (англ.). Источник: CIS.

CIS Microsoft IIS 8.0 Benchmark v1.1.0 - руководство по установке безопасных настроек для Microsoft IIS 8 (англ.). Источник: CIS.

Законодательство:

Указание Банка России от 14 августа 2014 г. N 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Расширен перечень требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Приказ Министерства регионального развития Российской Федерации (Минрегион России) от 20 мая 2014 г. N 148 «Об упорядочении обращения со служебной информацией ограниченного распространения в Министерстве регионального развития Российской Федерации и его территориальных органах».  

Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» + комментарии Алексея Лукацкого, Александра Бондаренко, Сергея Борисова и Андрея Прозорова.

Постановление Правительства Российской Федерации от 6 сентября 2014 г. N 911 г. Москва «О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» + комментарии Роскомнадзора.

Программное обеспечение/сервисы:

OWASP Xenotix XSS Exploit Framework v6 - фреймворк для обнаружения и эксплуатации XSS-уязвимостей.

Аналитика:

Безопасность абонентского оборудования телекоммуникационных сетей - аналитический отчет по результатам анализа безопасности абонентского оборудования телекоммуникационных сетей. Источник: Digital Security.

Мероприятия:

22 сентября 2014 года в 10.00 состоится мастер-класс Андрея Прозорова «Как эффективно работать с информацией». 

19-21 сентября 2014 г., CSAW CTF Qualification Round 2014.