Дайджест новостей по ИБ за 11-18 сентября 2015г.

Блоги:

Александр Бодрик составил рейтинг личных блогов экспертов по ИБ; составил список кадровых рисков служб ИБ.

Артём Агеев описал один из способов отслеживания документов MS Word.

Алексей Комаров привел краткие выводы прогноза Gartner для мирового рынка по итогам второго квартала 2015 года.

Алексей Лукацкий ответил на вопрос, касающийся уведомления РКН о месте нахождения баз данных ПДн россиян. + рекомендации Роскомнадзору о том, как собирать сведения о месте нахождения баз данных ПДн россиян; подборка стендов по ИБ АСУ ТП.

Статьи:

Преступления в банковской сфере 8 - 17 сентября 2015.

Сибиряк попросил прокуратуру проверить Библию, чтобы показать абсурдность закона «о защите детей».

Список бесплатных веб-сервисов для поиска потенциально опасных сайтов (англ.).

О безопасности UEFI (1, 2).

Обнаружена очередная уязвимость протокола TLS.

Мастер-класс по работе со сканером AI-BOLIT.

Опубликованы популярные пароли Ashley Madison.

Судебная практика: отзыв согласия на обработку персональных данных в поликлинике.

Как не стать хакером. Metasploitable2 для стенда.

Документы:
ICS-CERT Monitor (июль-август 2015) - отчет об инцидентах в промышленных системах управления. Источник: ICS-CERT  (см. краткий обзор от Алексея Комарова).

Mobile Security Review 2015 - результаты теста антивирусов для Android (англ.). Источник: AV-Comparatives.

Аналитика:

Исследование DDoS-атак и уязвимостей в веб-приложениях в первой половине 2015 года. Источник: Qrator Labs.

Полугодовой отчет Cisco по информационной безопасности: 2015.

Мероприятия:

2 октября 2015 года в Москве состоится конференция по информационной безопасности «Secure IT World 2015».

Ресурсы:

Лекций о компьютерной безопасности от CTF-команды «Hackerdom».

Опрос «Курсы в сфере практической ИБ и последующая сертификация».

Дайджест новостей по ИБ за 29.08.2015 – 11.09.2015г.

Блоги:

Игорь Агурьянов рассказал сказку про шесть островов.

Обзор Gartner Magic Quadrant для UTM (Unified Threat Management) за 2015 год от Алексея Комарова.

Сергей Борисов затронул тему повышения осведомленности и обучения лиц, эксплуатирующих СЗИ.

Статьи:

Преступления в банковской сфере 25 - 31 августа, 1-7 сентября 2015.

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за август 2015г.

Обзор кибератак за 16 – 31 августа 2015 (англ.).

Статистика кибератак за август 2015г. Источник: Hackmageddon.

Перевод OWASP Testing Guide v4: часть 1.7, часть 1.8, часть 1.9.

Безопасность Wi-Fi сетей: обнаружение атак.

Результаты сравнительного тестирования блокировщиков рекламы.

Руководство по шифрованию мобильных устройств (англ.).

Обзор атак на клиента с помощью CSS.

Обзор распространенных IdM/IAM-систем.

Советы по безопасности для посетителей сайтов знакомств.

Применение CVSS для  оценки уязвимостей интернет вещей (IoT).

Откуда берутся вирусы на сайте.

Улучшение безопасности IIS.

Оценка уязвимостей CVSS 3.0.

Войны в интернете: какой информации можно доверять.

CIS анонсировала руководства по установке безопасных настроек для Microsoft Office 2013, Microsoft IIS 8, Oracle Solaris 10 и Oracle Linux 7 (англ.). Источник: CIS.

Журналы:

Документы:
Bypass WAF Cookbook – руководство по обходу межсетевых экранов для веб-приложений (англ.).

Evading All Web-Application Firewalls XSS Filters - в документе описаны способы обхода популярных межсетевых экранов для веб-приложений (WAF). Автор: Мазин Ахмед (Mazin Ahmed).

OUCH! Двухступенчатая верификация – сентябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:

Указание Банка России от 07.08.2015 N 3753-У «О внесении изменений в Положение Банка России от 21 февраля 2013 года N 397-П «О порядке создания, ведения и хранения баз данных на электронных носителях».

Обзор изменений в законодательстве за август 2015.

Схема взаимодействия Роскомнадзора с операторами персональных данных иностранной юрисдикции по проверке исполнения 242-ФЗ.

Управление Роскомнадзора по Ростовской области напоминает о предоставлении сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации в связи с вступлением в силу Федерального закона от 21.07.2014 № 242-ФЗ.

Программное обеспечение/сервисы:

Empire - PowerShell-агенг для пост-эксплуатации.

AI-BOLIT (20150901) - сканер вредоносного кода.

Аналитика:

Статистика кибератак за август 2015г. Источник: Hackmageddon.

Мероприятия:

18 сентября 2015г, г.Москва, VIII Международная конференция «Business Information Security Summit 2015».

Ресурсы:

https://securityheaders.io/ - веб-сервис по проверке сайта на наличие HTTP-заголовков, отвечающих за безопасность.

http://персональныеданные.дети/ - сборник материалов для молодежи по защите приватной информации от Роскомнадзора. (комментарии Андрея Прозорова).

Security-News-Feeds - сборник распространенных рассылок о безопасности.

OWASP Python Security Project - проект направлен на создание безопасных приложений, написанных на языке python.

ИБ в душе - подкаст о российскиих аналогах StoneGate.

ИБ в душе - подкаст о безопасности от банков и для банков.

Noise Security Bit #16 - подкаст из Вегасе, после DEFCON и Black Hat.

Вопросы кибербезопасности № 3 (11) - научный, информационно-методический журнал с базовой специализацией в области информационной безопасности.

Видео с DEF CON 23.

Шпаргалка по iptables (англ).

Дайджест новостей по ИБ за 14 - 29 августа 2015 г.

Блоги:

Михаил Емельянников растолковал вопросы, связанные со вступлением в силу поправок в законодательство, вносимых Федеральным законом от 21.07.2014 № 242-ФЗ, которые волнуют наибольшее количество компаний.

Статьи:

Преступления в банковской сфере 13 - 24 августа 2015. 

Обзор кибератак за 01 – 15 августа (англ.).

Использование patator для bruteforce-атак.

Сравнение систем управления доступом (IdM/IAM) 2015.

Как построить успешную карьеру в сфере информационной безопасности (англ.).

Популярные утилиты для атаки методом полного перебора (brute-force attack).

Угрозы для систем трекинга показателей здоровья.

Как Windows 10 собирает данные о пользователях +  заявление о конфиденциальности корпорации Майкрософт + избавляемся от шпионского функционала Windows 10.

Показатели компрометации (indicator of compromise, IOC) как средство снижения рисков.

Перевод OWASP Testing Guide v4: часть 1.5, часть 1.6.

Вредные советы начинающему пентестеру-«скриптышу» (англ.).

Обзор карт кибератак и ботнетов в режиме реального времени (англ.).

Что такое атака «человек в облаке» (Man in the Cloud Attack, MITC)?

Выявлена новая мошенническая схема, которая позволяет через интернет подделывать документы как о смерти, так и рождении человека.

Графические ключи также предсказуемы, как пароли «1234567» и «password».

Злоумышленники рассылают фишинговые письма от Роскомнадзора и ПФР.

Журналы:

Information Security/Информационная безопасность #3/2015.

Документы:
2015 RedList: Security Startups – рейтинг ИБ-стартапов, основанный на результатах опроса «безопасников». Автор: Джастин Сомаини (Justin Somaini).

Законодательство:

Постановление Правительства РФ от 19.08.2015 N 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»).

Программное обеспечение/сервисы:

OWASP ZCR Shellcoder - python-скрипт для денерации шелл-кодов.

Аналитика:

Спам и фишинг во втором квартале 2015. Источник: Лаборатория Касперского

Ресурсы:

LinkMeUp. Выпуск № 30. История APT-атак.

Квант безопасности № 6 – подкаст о безопасности мобильных кошельков, историях с BlackHat, скандалах Oracle и Kaspersky.

Квант безопасности № 7 – подкаст о Security Awareness, мобильных кошельках, метрике ИБ, Gartner и пр.

Mobile Security Wiki – сборник по мобильной безопасности.

Сведения о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц - сервис от ФНС предоставляет возможность получения сведений о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц.

Юмор. Анонимность

Дайджест новостей по ИБ за 7 - 14 августа 2015 г.

Блоги:

Алексей Лукацкий привел примеры конкуренции на рынке мероприятий по ИБ.

Александр Бодрик поделился вредными советами по управлению проектами в сфере защиты ПДн.

Статьи:

Преступления в банковской сфере 4 - 12 августа 2015. 

Перевод OWASP Testing Guide v4. Часть 1.4.

Рекомендации по регистрации домена/хостинга на себя или свою компанию.

NIST анонсировал SHA-3 Cryptographic Hash Standard.

МВД России присоединилось к глобальной информационной кампании Интерпола «Дадим преступности отпор».

SAST против IAST (англ.).

Прошлое и настоящее SSL-сертификатов.

Тестирование Android-приложений для родительского контроля.

Обзор рынка защиты веб-приложений (WAF) в России и в мире.

Методы уничтожения конфиденциальных данных на различных носителях.

ЦБ предупредил о том, что злоумышленники от имени крупных банков присылают зараженные вирусом e-mail-сообщения с предложением оформить карту «Мир».

Корпоративные сети могут быть взломаны с помощью Windows Update.

Министерство обороны уличили в пересылке секретных сведений через публичные почтовые сервисы.                                                                              

Документы:
Результаты теста средств защиты от фишинга (август 2015г.). Источник: AV-comparatives.

Программное обеспечение/сервисы:

Kali Linux v.2.0 – дистрибутив для проведения тестирования на проникновение и аудита безопасности.

OpenSSH 7.0 – набор программ для шифрования сеансов связи с использованием протокола SSH 2.0.

SpiderFoot 2.5.0 – опенсорсная кроссплатформенная утилита для сбора информации о цели.

Аналитика:

DDoS-атаки во втором квартале 2015 года. Источник: Лаборатория Касперского.

Статистика кибератак за июль 2015 г. (англ.). Источник: hackmageddon.com.

Краткий обзор отчёта Twitter о правительственных запросах.

Мероприятия:

В ноябре 2015 года на базе Университета ИТМО товарищество RISC проведет всероссийский чемпионат по информационной безопасности.

Ресурсы:

Квант безопасности № 5 – подкаст о фейковомTrueCrypt, рынке ИБ в России, Gartner SIEM 2015, ThunderStrike 2 и проблемах Apple.

Презентации и исходники с Black Hat USA 2015.

Security Week 33: двери без замков, неуязвимость Microsoft, дизассемблер и боль.

Дайджест новостей по ИБ за 31 июля – 7 августа 2015 г.

Блоги:

Алексей Лукацкий опубликовал список вопросов, посвященных этике компаний, занимающихся пентестами и исследованиями в области информационной безопасности.

Статьи:

Преступления в банковской сфере 23 июля - 3 августа 2015.

Обзор кибератак за 16 – 31 июля (англ.).

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за июль 2015г.

Что такое эксплойты и почему их все так боятся?

Подборка документов посвященных безопасности облаков.

Взлом BitDefender и серьезные уязвимости в Symantec Endpoint Protection.

Риски, которым подвержены пользователи при отключенном  Windows User Account Control (англ.).

Обзор NIST SP 800-83 «Guide to Malware Incident Prevention and Handling».

Возможно ли выпустить патч за два дня?

Документы:
OUCH! Резервное копирование и восстановление данных – августовский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Программное обеспечение/сервисы:

Виджет утечек информации от InfoWatch – виджет для отображения на веб-странице новостей о громких утечках информации.

OWASP Broken Web Applications Project v1.2 – сборник уязвимых веб-приложений, представленных в VMware-формате.

The Social-Engineer Toolkit (SET) v6.5 - инструмент с открытым исходным кодом для тестирования на проникновение с помощью социальной инженерии.

Arachni Framework v1.2 – сканер безопасности веб-приложений.

AI-BOLIT - сканер вредоносного кода.

BlackArch Linux v2015.07.31 – дистрибутив на основе Arch Linux, содержащий утилиты для проведения тестирования на проникновение.

Аналитика:

«Доктор Веб»: обзор вирусной активности для мобильных Android-устройств в июле 2015 года.

Ресурсы:

Видео с семинара «Криптография в России: проблемы применения», состоявшегося в 24 июля в московском офисе Яндекса (впечатления Артёма Агеева).

Видео с BSides Cincinnati 2015.

Видео с BSides Las Vegas 2015.

Викторина по ИБ от Infosecinstitute (англ.).

Слайдкаст «Пошаговое руководство по защищенному доступу с мобильных устройств» от Алексея Лукацкого.

Security Week 32 - подборка из трех важных новостей за неделю от «Лаборатории Касперского».

Юмор. Фишинг