Видео. Фишинг

Дайджест новостей по ИБ за 13 – 20 февраля 2015г.

Блоги:

Впечатления о пятой ежегодной конференции ФСТЭК «Актуальные вопросы защиты информации» от Алексея Лукацкого (часть1, часть 2), Андрея Прозорова + презентации.

Аман Хардикар (Aman Hardikar) обновил диаграммы связей Pentest Practice и Forensic Challenges (англ.).

Статьи:

Преступления в банковской сфере 9 - 16 февраля 2015 

Обзор кибератак за 1 – 15 февраля 2015 (англ.)

Обзор конференции «Kaspersky Security Analyst Summit 2015».

Ограбление банкомата по-пермски.

VirusTotal будет отслеживать false positive.

Настройка HTTPS на Nginx.

Защита сайта от взлома через phpMyAdmin.

Восстановление локальных и доменных паролей из hiberfil.sys.

Ноутбуки Lenovo поставляются с вредоносным ПО Superfish.

Встроенная в веб-приложение переменная debug позволяет получить доступ к «чувствительной информации».

Технический отчет Group-IB о деятельности преступной группы, занимающейся целевыми атаками — Anunak.

Сервисы Google следят за тобой.

Документы:

Carbanak APT. The Great Bank Robbery – отчет  об APT-кампании Carbanak (см. краткий отчет). Источник: Лаборатория Касперского.

Программное обеспечение/сервисы:

Kaspersky Software Updater – утилита для проверки установленного ПО на наличие новых версий, в которых были закрыты найденные уязвимости (альтернатива Sumo и Secunia PSI).

LaZagne Project – утилита для восстановления паролей в распространенных приложениях (браузеров, мессенджеров и пр.).

Ресурсы:

Top 5 Free Guides for IT Professionals от Netwrix.

Дайджест новостей по ИБ за 30.01.2015 – 13.02.2015гг.

Блоги:

Алексей Лукацкий опубликовал ответ Роскомнадзора касательно некоторых моментов ФЗ-242: часть 1, часть 2, часть 3; подготовил слайдкаст о требованиях к защите информации в информационных системах, отличных от государственных.

Статьи:

Обзор кибератак за 16 – 31 января 2015 (англ.)

Рекомендации по защите от хищения денег с пластиковой карты.

TOP-10 ошибок логики в веб-приложениях в 2014 году.

Рекомендации по выбору и хранению паролей для малых и средних предприятий: часть 1, часть 2, часть 3.

Основы работы с фреймворком Viper.

В Internet Explorer обнаружена XSS-уязвимость нулевого дня.

Около 40000 баз данных MongoDB доступны через Интернет.

Исследователь опубликовал 10 млн логинов с паролями.

Компания Facebook запустила проект ThreatExchange для обмена информацией об угрозах безопасности.

5 способов мониторинга DNS-трафика на наличие угроз безопасности (англ.).

Семь лучших плагинов безопасности для WordPress (англ.).

Обзор технологии DKIM (DomainKeys Identified Mail).

Обзор bWAPP - площадки для тестирования веб-уязвимостей OWASP Top-10.

Глубокая защита веб-приложений (англ.).

Журналы:

Вопросы кибербезопасности – пятый выпуск журнала по кибербезопасности.

Документы:

OUCH! Безопасность в путешествии – февральский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

OUCH! Безопасное использование мобильных приложений – январский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Уязвимости мобильного интернета (GPRS) – результаты исследования  мобильных угроз, а также рекомендации по обеспечению безопасности мобильных интернет-услуг. Источник: Positive Technologies.

Kaspersky Lab Report: Financial Cyberthreats in 2014 - результаты исследования финансовых киберугроз за прошлый год (см. краткий отчет). Источник: Лаборатория Касперского.

Программное обеспечение/сервисы:

Vezir – образ диска с Linux-дистрибутивом для обучения тестированию на проникновение мобильных прилоений и анализу вредоносов для мобильных приложений.

Bindead – статический анализатор бинарных файлов.

Kali Linux 1.1.0 – Linux-дистрибутив для проведения тестирования на проникновение и анализа защищенности.

Binary Risk Analysis – утилита для проведения оценки риска информационной безопасности.

Metasploit 4.11 - инструмент для создания, тестирования и использования эксплойтов.

oclHashcat 1.33 - утилита для восстановления пароля по хешу с использованием видеокарт.

Аналитика:

Статистика кибератак за январь 2015 г 20 (англ.)

Ресурсы:

Запись выступления Гленна Гринвальда «Почему важна неприкосновенность частной жизни».

http://ringzer0team.com - RingZer0 CTF

TOP-500 компаний по кибербезопасности (англ.).

Презентации Инфофорума-2015.

UFO CTF School 2015

http://securityreactions.tumblr.com/post/101497633158/asking-girlfriend-for-permission-to-play-a-ctf-the

14 февраля начинается отборочный онлайн-этап UFO CTF School 2015 - олимпиады по информационной безопасности среди школьников. Соревнования заочного этапа продлятся до 29 марта. Как и в прошлом году, помимо школьников, к участию приглашаются все желающие (вне зачёта). Итоговый рейтинг школьников будет опубликован в свободном доступе.

По результатам онлайн-этапа будут отобраны участники очного тура, которым будут разосланы персональные приглашения. Очный тур состоится в конце апреля, о точной дате будет сообщено чуть позже.

Победитель и призёры Олимпиады – абитуриенты ЮФУ получают по 10 баллов в состав индивидуальных достижений при подаче документов на следующие направления подготовки (специальности): 10.05.03 «Информационная безопасность автоматизированных систем», 10.05.02 «Информационная безопасность телекоммуникационных систем», 10.05.05 «Безопасность информационных технологий в правоохранительной сфере», 01.03.02 прикладная математика и информатика, 02.03.02 «Фундаментальная информатика и информационные технологии», 10.03.01 «Информационная безопасность».

Подробности на сайте олимпиады: olymp.ctf.sfedu.ru

Дайджест новостей по ИБ за 23 - 30 января 2015 г.

Блоги:

Слайдкасты на тему «Какие нормативные акты устанавливают требования по защите госорганов?», «Как защищать ГУПы и ФГУПы?» от Алексея Лукацкого.

Александр Бодрик указал на распространенные ошибки, которые допускаю при написании резюме ИБ-специалисты.

Андрей Прозоров подготовил перечень документов, необходимых для построения СУИБ по 27001-2013.

Сергей Борисов опубликовал ответы ФСТЭК России на ряд вопросов по защите ПДн.

Статьи:

С чего начать участие в Bug Bounty (англ.).

Хакерские секреты простых вещей.

Подмена файлов с помощью BDFProxy.

Повышаем пользовательские привелегии в Windows.

Maldrone  - первый бекдор для дронов (англ.).

В Linux обнаружена критическая уязвимость, позволяющая получить полный контроль над компьютером жертвы – Ghost.

Сходство исходников кейлоггера АНБ (Qwerty) и трояна Regin.

Утечка локального IP-адреса через браузер с поддержкой WebRTC.

Must-read книги за 2014 год по ИБ и программированию.

Обзор онлайн-сервисов по анализу вредоносный файлов (англ.).

Недоверенные цифровые сертификаты и способы защиты от запуска программ, подписанных ими.

Парсинг безопасных HTTP-заголовков.

Программное обеспечение/сервисы:

Oracle Auditing Tools – инструмент для проведения аудита безопасности серверов БД Oracle.

BackBox Linux v4.1 – Linux-дистрибутив для тестирования на проникновение, основанный на Ubuntu.

Документы:

Информационное сообщение по вопросу совершенствования нормативных правовых актов и методических документов ФСТЭК России, регламентирующих вопросы защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах от 27 января 2015 г. N 240/22/287.

Вебинары:

13 февраля, 15.00 - 16.00 (МСК), «Самостоятельная подготовка к международным сертификационным экзаменам CISSP (Certified Information System Security Professional) и CISM (Certified Information Security Manager)» от ЗАО «НПО «Эшелон».

Ресурсы:

http://plan.genproc.gov.ru/plan2015/ - сводный план проверок субъектов предпринимательства на 2015 год.

Материалы с конференции Rooted CON 2014.

Видеозаписи докладов с конференции Shmoocon 2015.

Презентации с конференции POC 2014.

Дайджест новостей по ИБ за 16 – 23 января 2015 г.

Блоги:

Сергей Борисов описал, как и в какой форме лучше вписать оценку соответствия в комплекс работ по созданию/модернизации СЗПДн.

Сергей Гордейчик развеял мифы о свободном программном обеспечении.

Статьи:

Обзор кибератак за 1 – 15 января 2015 (англ.)

Кража учетных записей с помощью имитации легитимной службы.

История о несостоявшейся целевой атаке.

Защита от XSS без правки исходных кодов (англ.).

Анализ спам-рассылки с вашего сайта.

Виртуальные войны в Википедии.

Рекомендации по использованию DLP-систем с юридической точки зрения от компании Infowatch.

Компания SplashData опубликовала рейтинг популярных паролей.

Из ФСКН утекли в свободную продажу секретные базы данных.

Google Webfonts в Wordpress собирает метаданные пользователей.

Журналы:

Pentest Magazine. Journey In The World of The XSS – электронная версия семинара по обнаружению и эксплуатации XSS-уязвимостей (англ.).

eForensic Magazine. Malware Analysis StarterKit - электронная версия семинара по исследованию вредоносных программ (англ.).

Документы:

Перевод третьей части руководства по виртуализации PCI DSS.

Управление киберрисками во взаимосвязанном мире. Основные результаты Глобального исследования по вопросам обеспечения информационной безопасности. Перспективы на 2015 год. Источник: PWC.

Actionable Information for Security Incident Response – практическое руководство по обмену информацией в рамках реагирования на инциденты (англ.). Автор: ENISA.

Информационная безопасность: стандартизированные термины и понятия – собрание официальных (стандартизированных) определений понятий, используемых в области информационной безопасности и защиты информации. Автор: Парошин А. А.

Краткий обзор годового отчета Cisco по информационной безопасности (см. полный отчет). Источник: Cisco

ГОСТ 32321-2013 «Извещатели охранные поверхностные ударно-контактные для блокировки остекленных конструкций в закрытых помещениях. Общие технические требования и методы испытаний».

ГОСТ Р ИСО/МЭК 18045-2013 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий». Стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО\МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО\МЭК 15408.

ГОСТ Р ИСО/МЭК 19794-6-2014 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза». Стандарт устанавливает требования к форматам обмена данными изображения радужной оболочки глаза (РОГ) для систем, осуществляющих биометрическую регистрацию, верификацию и идентификацию по РОГ.

ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1».

ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности». В стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2005.

ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме». Стандарт предоставляет руководство по распространенным ситуациям, возникающим  в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциалами свидетельствами, представленными в цифровой форме, между юрисдикциями.

ГОСТ Р ИСО/МЭК 27033-3-2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления». В стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями.

Программное обеспечение/сервисы:

Sysmon 2.0 - программа для мониторинга процессов в Windows (см. описание)

Game of Hacks - онлайн-игра, представленная в виде вопросов по знанию уязвимостей OWASP Top-10 2013 и призванная повысить осведомленность сотрудников ИБ (см. обзор).

Вебинары:

6 февраля, 11:00, «Как надежно защитить систему ДБО от кражи денежных средств киберприступниками», компания «Аладдин Р.Д.».

Мероприятия:

12 февраля 2015 г. с 11.00 до 17.00 в рамках XX Международного форума «Технологии безопасности» ФСТЭК РФ проводит V Конференцию «Актуальные вопросы защиты информации».

Ресурсы:

Hacker’s List — фриланс-биржа для хакеров.

Бесплатные версии стандартов ISO.

ES6 XSS challenge – задания по поиску и эксплуатации XSS-уязвимостей.

Открытая безопасность – подкаст о построении центров управления ИБ (автоматизация процессов ИБ): часть 1, часть 2.

Юмор. Социальная инженерия