Дайджест новостей по ИБ за 09 – 27 ноября 2015г.

[upd 27.11.2015]

Блоги:

Артем Агеев пытался выяснить, является ли электронный почтовый ящик персональными данными.

Алексей Лукацкий поделился впечатлениями от курса по промышленной безопасности SANS ICS515; посоветовал организаторам мероприятий по ИБ, что нужно включить в памятку спикеру и участнику; рассмотрел симулятор АСУ ТП в качестве средства для обучения ИБ.

Сергей Борисов проанализировал краткий отчет Group-IB «Тенденции развититя преступлений в области высоких технологий 2015».

Сергей Солдатов предложил создать киберполицию; предложил госкомпаниям использовать госаутсорсинг с целью эффективности и результативности работы.

Александр Бондаренко поделился способами организации программы по повышению осведомленности по ИБ.

Андрей Прозоров подготовил перечень вопросов, которые помогают завести беседу с коллегами на профессиональных конференциях и понять их основные задачи, потребности и общий уровень ИБ-компании.

Статьи:

Обзор кибератак за 16 – 30 сентября 2015 (англ.). Источник: Hackmageddon.

Независимый специалист Пирр Ким (Pierre Kim) обнаружил в роутерах Huawei уязвимости.

Установка неподписанных программ на устройства с iOS 9 без Jailbreak.

Краткий отчет о ICCC 2015.

Обзор лучших стартапов, представленных в экспозиции UK Cyber Innovation Zone в рамках Infosecurity Europe 2015.

Менеджер паролей 1Password хранит данные в открытом виде.

Фишинг в корпоративной среде + примеры фишинговых сообщений электронной почты.

Разработка защищенных банковских приложений:главные проблемы и как их избежать.

Успешное внедрение SIEM: часть 1, часть 2.

Уведомление о конфиденциальности в электронной почте: не очень хорошая идея.

Инструменты для обучения сотрудников защите от фишинга (англ.).

Контрольный список для найма тестировщика на проникновение веб-приложений или консультанта по безопасности (англ.).

Рекомендации по проверке защищенности серверных операционных систем Linux (по материалам ISACA Journal).

Перевод OWASP Testing Guide. 1.10, 1.11.

Cisco Security Ninja - повышение осведомленности в области информационной безопасности в Cisco.

Критическая уязвимость в компьютерах Dell позволяет хакерам получать доступ практически к любым данным: Как защититься.

Улучшение сетевой безопасности с помощью Content Security Policy.

Cканеры защищенности веб-приложений (WASS) – обзор рынка в России и в мире.

Дети в интернете: угрозы и решения.

Риски и проблемы хеширования паролей.
Кое-что о закладках, или как АНБ следит за пользователями.

Журналы:

Hakin9 Open. Botneting With Browser Extensions. Выпуск 03/2015 (78).

Программное обеспечение/сервисы:

Quick Android Review Kit - инструмент для поиска уязвимостей в Android-приложениях. (см. обзор).

Обзор утилит, представленных на Black Hat Arsenal Europe 2015.

AI-BOLIT (20151008) - сканер вредоносного кода.

BackBox Linux 4.4 - Linux-дистрибутив для тестирования на проникновение, основанный на Ubuntu.

Intercepter-NG [Android Edition] 1.7 - утилита для перехвата трафика и проведения автоматизированных атак (см. обзор).

Аналитика:

Статистика кибератак за сентябрь 2015г. (англ.). Источник: Hackmageddon.com.

Ресурсы:

Артем Гавриченков. DDoS-атаки.

TechDays. DoS и DDoS атаки (1, 2, 3).

Дайджест новостей по ИБ за 02 – 09 октября 2015г.

Блоги:

Валерий Естехин опубликовал правила Директора по ИБ.

Алексей Лукацкий рассмотрел игры в качестве средства для обучения ИБ.

Статьи:

Преступления в банковской сфере за 18 - 24 сентября, 25 сентября - 1 октября, 2 - 8 октября 2015.

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за сентябрь 2015г.

Использование GRС-решений в информационной безопасности.

Рекомендации по безопасной работе с Wi-Fi.

Обнаружен ботнет, который исправляет уязвимости в зараженных им маршрутизаторах и сообщает об этом администратору.

В App Store обнаружены зараженные приложения, созданные с участием вредоносного кода XcodeGhost.

Компания D-Link по ошибке опубликовала секретные ключи для подписи прошивок.

Журналы:

Вопросы кибербезопасности № 4 (12).

OUCH!  Менеджеры паролей – октябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:

Приказ Минкомсвязи России N 186, ФСО России N 258 от 27.05.2015 «Об утверждении Требований к организационно-техническому взаимодействию государственных органов и государственных организаций посредством обмена документами в электронном виде». Утверждены правила электронного документооборота при взаимодействии госорганов и госорганизаций, а также государственных внебюджетных фондов.

Программное обеспечение/сервисы:

Damn Vulnerable Web Application (DVWA) v1.9 -  веб-приложение для повышения навыков тестирования на проникновение, содержащее уязвимости.

Аналитика:

«Доктор Веб»: обзор вирусной активности для мобильных устройств в сентябре 2015г.

Мероприятия:

Всероссийский кейс-чемпионат по информационной безопасности.

11 ноября 2015г в Москве состоится «SOC-Forum: Практика противодействия кибератакам и построения центров мониторинга ИБ».

Ресурсы:

Видео с «BSides Augusta 2015».

Видео с «DerbyCon 2015».

Видео с «Louisville Infosec 2015».

Отчёт с DEFCON Moscow 0x0A

Дайджест новостей по ИБ за 18.09 – 02.10.2015г.

Блоги:

Артем Агеев сравнил вирус природный с вирусом компьютерным.

Игорь Агурьянов подготовил список технологий сокрытия вирусов.

Александр Бондаренко затронул тему проверки сертификатов ИБ-специалистов  и компаний.

7 практик для воспитания/проверки клиентоориентированности сотрудника ИБ от Александра Бодрика.

Валерий Естехин выяснял, требуется ли поэкземплярный учет OTP-токенов.

Алексей Лукацкий искал разницу в пассивной и активной безопасности.

Статьи:

Обзор кибератак за 1 – 15 сентября 2015 (англ.). Источник: Hackmageddon.

Отключение USB накопителей через групповые политики.

Сравнение SIEM-решений для построения SOC.

Список отечественных стандартов по криптографии.

Меры по защите пользователя в случае выдачи дубликата его сим-карты злоумышленнику + опыт немецких операторов.

Обход парольной блокировки экрана в iOS 9.

Инструменты и ресурсы для подготовки к CTF-соревнованиям (англ.).

Обзор программных межсетевых экранов при защите ИСПДн.

О безопасности UEFI (3, 4, 5).

Еще один способ отключения сбора телеметрии в OC Windows 10.

В App Store обнаружены зараженные приложения, созданные с участием вредоносного кода XcodeGhost.

В TrueCrypt обнаружены критические уязвимости.

Компания D-Link по ошибке опубликовала секретные ключи для подписи прошивок.

Специалисты Google обнаружили уязвимости в «Антивирусе Касперского». 

Парадокс CISO. 

ИТ и CБ. Как выстроить партнерство.

Журналы:

IN(SECURE) выпус 47 (сентябрь 2015). Тема номера: «Redefining security».

!Безопасность Деловой Информации выпуск #11. Тема номера: «Инновации в ИБ».

Аналитика:

Результаты теста эффективности антивирусов против угроз нулевого дня. Источник: Shadowserver.

Отчет об исследовании утечек конфиденциальной информации в I полугодии 2015 года. Источник: InfoWatch.

2015 Mobile Payment Security Study – результаты опроса 900 специалистов по кибербезопасности (англ.). Источник: ISACA.

Ресурсы:

Видео с «RVAsec 2015».

Презентации с «PKI-Forum 2015» + видео от Натальи Храмцовской.

Презентации с «Код информационной безопасности 2015» (Новосибирск).

Презентации с «InfosecurityRussia 2015».

Дайджест новостей по ИБ за 11-18 сентября 2015г.

Блоги:

Александр Бодрик составил рейтинг личных блогов экспертов по ИБ; составил список кадровых рисков служб ИБ.

Артём Агеев описал один из способов отслеживания документов MS Word.

Алексей Комаров привел краткие выводы прогноза Gartner для мирового рынка по итогам второго квартала 2015 года.

Алексей Лукацкий ответил на вопрос, касающийся уведомления РКН о месте нахождения баз данных ПДн россиян. + рекомендации Роскомнадзору о том, как собирать сведения о месте нахождения баз данных ПДн россиян; подборка стендов по ИБ АСУ ТП.

Статьи:

Преступления в банковской сфере 8 - 17 сентября 2015.

Сибиряк попросил прокуратуру проверить Библию, чтобы показать абсурдность закона «о защите детей».

Список бесплатных веб-сервисов для поиска потенциально опасных сайтов (англ.).

О безопасности UEFI (1, 2).

Обнаружена очередная уязвимость протокола TLS.

Мастер-класс по работе со сканером AI-BOLIT.

Опубликованы популярные пароли Ashley Madison.

Судебная практика: отзыв согласия на обработку персональных данных в поликлинике.

Как не стать хакером. Metasploitable2 для стенда.

Документы:
ICS-CERT Monitor (июль-август 2015) - отчет об инцидентах в промышленных системах управления. Источник: ICS-CERT  (см. краткий обзор от Алексея Комарова).

Mobile Security Review 2015 - результаты теста антивирусов для Android (англ.). Источник: AV-Comparatives.

Аналитика:

Исследование DDoS-атак и уязвимостей в веб-приложениях в первой половине 2015 года. Источник: Qrator Labs.

Полугодовой отчет Cisco по информационной безопасности: 2015.

Мероприятия:

2 октября 2015 года в Москве состоится конференция по информационной безопасности «Secure IT World 2015».

Ресурсы:

Лекций о компьютерной безопасности от CTF-команды «Hackerdom».

Опрос «Курсы в сфере практической ИБ и последующая сертификация».

Дайджест новостей по ИБ за 29.08.2015 – 11.09.2015г.

Блоги:

Игорь Агурьянов рассказал сказку про шесть островов.

Обзор Gartner Magic Quadrant для UTM (Unified Threat Management) за 2015 год от Алексея Комарова.

Сергей Борисов затронул тему повышения осведомленности и обучения лиц, эксплуатирующих СЗИ.

Статьи:

Преступления в банковской сфере 25 - 31 августа, 1-7 сентября 2015.

Телефонные и интернет-мошенничества по данным пресс-службы МВД по Республике Коми за август 2015г.

Обзор кибератак за 16 – 31 августа 2015 (англ.).

Статистика кибератак за август 2015г. Источник: Hackmageddon.

Перевод OWASP Testing Guide v4: часть 1.7, часть 1.8, часть 1.9.

Безопасность Wi-Fi сетей: обнаружение атак.

Результаты сравнительного тестирования блокировщиков рекламы.

Руководство по шифрованию мобильных устройств (англ.).

Обзор атак на клиента с помощью CSS.

Обзор распространенных IdM/IAM-систем.

Советы по безопасности для посетителей сайтов знакомств.

Применение CVSS для  оценки уязвимостей интернет вещей (IoT).

Откуда берутся вирусы на сайте.

Улучшение безопасности IIS.

Оценка уязвимостей CVSS 3.0.

Войны в интернете: какой информации можно доверять.

CIS анонсировала руководства по установке безопасных настроек для Microsoft Office 2013, Microsoft IIS 8, Oracle Solaris 10 и Oracle Linux 7 (англ.). Источник: CIS.

Журналы:

Документы:
Bypass WAF Cookbook – руководство по обходу межсетевых экранов для веб-приложений (англ.).

Evading All Web-Application Firewalls XSS Filters - в документе описаны способы обхода популярных межсетевых экранов для веб-приложений (WAF). Автор: Мазин Ахмед (Mazin Ahmed).

OUCH! Двухступенчатая верификация – сентябрьский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:

Указание Банка России от 07.08.2015 N 3753-У «О внесении изменений в Положение Банка России от 21 февраля 2013 года N 397-П «О порядке создания, ведения и хранения баз данных на электронных носителях».

Обзор изменений в законодательстве за август 2015.

Схема взаимодействия Роскомнадзора с операторами персональных данных иностранной юрисдикции по проверке исполнения 242-ФЗ.

Управление Роскомнадзора по Ростовской области напоминает о предоставлении сведений о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации в связи с вступлением в силу Федерального закона от 21.07.2014 № 242-ФЗ.

Программное обеспечение/сервисы:

Empire - PowerShell-агенг для пост-эксплуатации.

AI-BOLIT (20150901) - сканер вредоносного кода.

Аналитика:

Статистика кибератак за август 2015г. Источник: Hackmageddon.

Мероприятия:

18 сентября 2015г, г.Москва, VIII Международная конференция «Business Information Security Summit 2015».

Ресурсы:

https://securityheaders.io/ - веб-сервис по проверке сайта на наличие HTTP-заголовков, отвечающих за безопасность.

http://персональныеданные.дети/ - сборник материалов для молодежи по защите приватной информации от Роскомнадзора. (комментарии Андрея Прозорова).

Security-News-Feeds - сборник распространенных рассылок о безопасности.

OWASP Python Security Project - проект направлен на создание безопасных приложений, написанных на языке python.

ИБ в душе - подкаст о российскиих аналогах StoneGate.

ИБ в душе - подкаст о безопасности от банков и для банков.

Noise Security Bit #16 - подкаст из Вегасе, после DEFCON и Black Hat.

Вопросы кибербезопасности № 3 (11) - научный, информационно-методический журнал с базовой специализацией в области информационной безопасности.

Видео с DEF CON 23.

Шпаргалка по iptables (англ).

Дайджест новостей по ИБ за 14 - 29 августа 2015 г.

Блоги:

Михаил Емельянников растолковал вопросы, связанные со вступлением в силу поправок в законодательство, вносимых Федеральным законом от 21.07.2014 № 242-ФЗ, которые волнуют наибольшее количество компаний.

Статьи:

Преступления в банковской сфере 13 - 24 августа 2015. 

Обзор кибератак за 01 – 15 августа (англ.).

Использование patator для bruteforce-атак.

Сравнение систем управления доступом (IdM/IAM) 2015.

Как построить успешную карьеру в сфере информационной безопасности (англ.).

Популярные утилиты для атаки методом полного перебора (brute-force attack).

Угрозы для систем трекинга показателей здоровья.

Как Windows 10 собирает данные о пользователях +  заявление о конфиденциальности корпорации Майкрософт + избавляемся от шпионского функционала Windows 10.

Показатели компрометации (indicator of compromise, IOC) как средство снижения рисков.

Перевод OWASP Testing Guide v4: часть 1.5, часть 1.6.

Вредные советы начинающему пентестеру-«скриптышу» (англ.).

Обзор карт кибератак и ботнетов в режиме реального времени (англ.).

Что такое атака «человек в облаке» (Man in the Cloud Attack, MITC)?

Выявлена новая мошенническая схема, которая позволяет через интернет подделывать документы как о смерти, так и рождении человека.

Графические ключи также предсказуемы, как пароли «1234567» и «password».

Злоумышленники рассылают фишинговые письма от Роскомнадзора и ПФР.

Журналы:

Information Security/Информационная безопасность #3/2015.

Документы:
2015 RedList: Security Startups – рейтинг ИБ-стартапов, основанный на результатах опроса «безопасников». Автор: Джастин Сомаини (Justin Somaini).

Законодательство:

Постановление Правительства РФ от 19.08.2015 N 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных» (вместе с «Правилами создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных»).

Программное обеспечение/сервисы:

OWASP ZCR Shellcoder - python-скрипт для денерации шелл-кодов.

Аналитика:

Спам и фишинг во втором квартале 2015. Источник: Лаборатория Касперского

Ресурсы:

LinkMeUp. Выпуск № 30. История APT-атак.

Квант безопасности № 6 – подкаст о безопасности мобильных кошельков, историях с BlackHat, скандалах Oracle и Kaspersky.

Квант безопасности № 7 – подкаст о Security Awareness, мобильных кошельках, метрике ИБ, Gartner и пр.

Mobile Security Wiki – сборник по мобильной безопасности.

Сведения о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц - сервис от ФНС предоставляет возможность получения сведений о физических лицах, являющихся руководителями или учредителями(участниками) нескольких юридических лиц.

Юмор. Анонимность