вторник, 20 сентября 2016 г.
понедельник, 19 сентября 2016 г.
Дайджест новостей по ИБ за 9-16 сентября 2016 г.
Блоги:
Алексей Лукацкий порекомендовал
выстраивать процесс
управления уязвимостями и патчами.
Николай Казанцев сформировал
перечень мер по
защите коммутационного оборудования, включающий угрозы, меры защиты и
примеры конфигураций.
Статьи:
Преступления в банковской
сфере 30 августа - 12 сентября 2016.
Обзор
кибератак за 16 - 31 августа 2016
г. от hackmageddon (англ.).
Уязвимости
«умного города» и рекомендации по защите.
Архитектура JETPLOW –
NSA бэкдор в моей подставке под кофе.
Немного о ARM Security Extensions (aka ARM
TrustZone).
Обзор
популярных сертификатов безопасности, которые помогут подняться по
карьерной лестнице (англ.).
Брайан Кребс разоблачил хакерскую группировку vDos
и стал жертвой DDoS-атак.
Обзор "PDUG Picnic 2016"
— неформальной тусовки для разработчиков.
Обзор "r2con 2016" (англ.).
Особенности использования машинного обучения при
защите от DDoS-атак.
Социальная инженерия на
практике: "Заксобрание — не самое безопасное место, а проходной
двор".
Как работает современный веб-фишинг.
Геймификация
DLP (англ.).
Рекомендации по защите
сайтов на Wordpress (англ.).
Документы:
CSP
Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of
Content Security Policy - распространенные ошибки при настройке Content Security Policy (CSP).
Законодательство:
Информационное
сообщение ФСТЭК России от 12 сентября 2016 г. N 240/24/4278 "Об
утверждении методических документов, содержащих профили защиты межсетевых экранов".
Программное обеспечение/сервисы:
Обновились утилиты из набора Windows
Sysinternals.
Ресурсы:
Видео с "BSides
Augusta 2016".
Видео с "Security
Onion Conference 2016".
вторник, 13 сентября 2016 г.
Дайджест новостей по ИБ за 26 августа - 9 сентября 2016 г.
Блоги:
Ксения Шудрова взяла интервью у
ведущего эксперта по управлению документацией компании «Электронные Офисные
Системы» Натальи
Храмцовской.
Статьи:
Обзор
кибератак за 1 - 15 августа 2016 г. от hackmageddon (англ.).
Обзор уязвимостей за
19-26 августа от US-CERT (англ.).
ЦБ и Росфинмониторинг запустят механизм обмена данными с
банками и НФО.
Рейтинг популярных соцсетей по
степени их надежности.
Атака SWEET32: Исследователи
обнаружили новый способ взлома
шифров 3DES и Blowfish.
Вредоносный
код в pub-файлах (англ.).
Визуализация атак,
аномалий и нарушений информационной безопасности с помощью OpenGraphiti.
"Лаборатория
Касперского" намерена запустить CERT для промышленных
предприятий.
Как достичь рейтинга А+
для SSL-сертификата на вашем сайте, и другие аспекты безопасности хостинга.
Удаленное управление компьютерами
с помощь LiteManager.
Компания AMD анонсировала выпуск
новой технологии защиты памяти виртуальных машин гипервизора под названием Secure Encrypted
Virtualization (SEV).
Журналы:
Вопросы кибербезопасности № 3 (16).
Спецвыпуск.
Документы:
OUCH!
Электронная почта: что нужно делать и чего делать не стоит – сентябрьский
выпуск ежемесячника по информационной безопасности для пользователей (англ.).
Источник: SANS.
Биография
сетевого периметра в картинках - результаты оценки уровня защищенности 10
организаций в 2014-2015 годах. Источник: Positive Technologies
ГОСТ
Р ИСО/МЭК 27038-2016 "Информационные технологии. Методы обеспечения
безопасности. Требования и методы электронного цензурирования". Настоящий
стандарт устанавливает требования к методам, используемым для выполнения
электронного цензурирования электронных документов, а также требования к
программным инструментам для цензурирования и к методам тестирования,
позволющим убедиться в том, что электронное цензурирование было выполнено
надлежащим образом.
Программное обеспечение/сервисы:
Kali Linux 2016.2 - Linux-дистрибутив,
содержащий утилиты для проведения тестирования на проникновение (см. краткий обзор).
L0phtCrack - инструмент для
аудита и взлома паролей (см. краткий
обзор).
Wireshark 2.2.0 - анализатор
сетевых протоколов.
Аналитика:
Веб-угрозы
за август 2016 по статистике веб-сканера ReScan.pro.
«Доктор Веб»: обзор вирусной
активности для мобильных устройств в августе 2016 года.
Ресурсы:
Презентации с "HITB
GSEC 2016".понедельник, 29 августа 2016 г.
Дайджест новостей по ИБ за 19 - 26 августа 2016 г.
Блоги:
Артем Агеев поделился
своим опытом подготовки к экзамену "EC-counsil 312-50 Certified
Ethical Hacker".
Андрей Прозоров
опубликовал судебные дела, в материалах которых фигурирует упоминание DLP-систем в качестве
источника доказательства разглашения информации.
Алексей Комаров
обновил сводную таблицу, содержащую информацию о токенах с поддержкой алгоритмов
ГОСТ.
Статьи:
Преступления в банковской
сфере за 21 июля - 15 августа 2016.
Как распознать мошенников при поиске работы.
Шпионский скандал:
как утечка
из АНБ подтвердила данные Сноудена.
Защита от DDoS
подручными средствами: DNS
Amplification, NTP
Amplification.
IIS:
резервное копирование конфигурации и восстановление на другом сервере.
Перевод OWASP Testing Guide. Часть 3.1.
Результаты
тестирования приложений
для родительского контроля под Android (англ.) от AV-TEST.
Новый тип атаки
против шифров 3DES и Blowfish.
Как реализуется контроль сетевого
доступа внутри компании Cisco?
Программное обеспечение/сервисы:
Мероприятия:
Фонд «Сколково» и
Национальный исследовательский ядерный университет МИФИ совместно с партнёрами
объявили конкурс «Skolkovo
Cybersecurity Challenge 2016», посвящённый поиску лучших инновационных
решений для защиты бизнеса и частных лиц от киберугроз.
Ресурсы:
Видео с «Converge
2016».
Видео с «OISF 2016».
понедельник, 22 августа 2016 г.
Дайджест новостей по ИБ за 29 июля - 19 августа 2016 г.
Блоги:
Алексей Лукацкий
привел реальные примеры, когда безопасность
только мешает бизнесу, нанося ему финансовый ущерб.
Сергей Борисов
подготовил таблицу
для оценки соответствия ГОСТ Р 56939-2016; подготовил обзор мероприятий "Код
ИБ-онлайн" и "Кибербаталий".
Андрей Березов утверждает,
что в
медицинских учреждениях требуется брать согласия с пациентов на обработку их
персональных данных.
Артем Агеев огласил позицию ЦБ по поводу
банковской тайны в облаках.
Статьи:
Похитивших со счетов
клиентов российских банков более 1,7 млрд рублей хакеров
запустили сисадмины.
NIST: SMS нельзя
использовать в качестве средства
аутентификации.
Деанонимизируем пользователей Windows
и получаем учетные данные Microsoft и VPN-аккаунтов.
ProjectSauron:
кибергруппировка вскрывает зашифрованные каналы связи госорганизаций.
Бывший сотрудник АНБ
рассказал о своем опыте
работы в Центре Удаленных Операций.
AV-Test определила лучшие антивирусы для Windows 8.1.
Кража
денег из интернет-банка — виноват клиент или банк?
Анализируем и устраняем последствия вредоносной
подмены метатегов на сайте.
Расшифровка
базы данных KeePass:
пошаговое руководство.
Безопасное
использование языка Go
в веб-программировании.
Модуль Cisco ASA Firepower.
Введение. Установка.
Риск использования Google
Sign-In на iOS-устройствах (англ.).
Сериализация:
уязвимости и методы защиты (англ.).
Анонсирована продажа доменов
верхнего уровня .security и .protection (англ.).
Ручное тестирование
SSL/TLS-уязвимостей (англ.).
Документы:
OUCH!
Программы-вымогатели – августовский выпуск ежемесячника по информационной
безопасности для пользователей. Источник: SANS.
Уязвимости
приложений финансовой отрасли - отчет
содержит статистику, собранную
в ходе работ
по анализу защищенности систем дистанционного банковского
обслуживания, проведенных специалистами
компании Positive Technologies в 2015 году (см. краткий обзор).
Законодательство:
Приказ
ФСБ России от 19.07.2016 N 432 "Об утверждении Порядка представления
организаторами распространения информации в информационно-телекоммуникационной
сети "Интернет" в Федеральную службу безопасности Российской
Федерации информации, необходимой для декодирования принимаемых, передаваемых,
доставляемых и (или) обрабатываемых электронных сообщений пользователей
информационно-телекоммуникационной сети "Интернет".
Постановление Правительства
РФ от 13 августа 2016 г. N 789 "О внесении изменений в некоторые акты
Правительства Российской Федерации". Установлен порядок использования
простой электронной подписи (ЭП) при обращении за получением государственных и
муниципальных услуг в электронной форме с помощью абонентского устройства
подвижной радиотелефонной связи (мобильные телефоны, смартфоны, планшеты).
Аналитика:
SE
Labs: Consumer Report - результаты тестирования антивирусов на возможность
защиты от троянов-шифровальщиков (см. краткий отчет).
«Доктор Веб»: обзор вирусной
активности для мобильных устройств в июле 2016 года.
Развитие информационных
угроз во втором квартале 2016 года. Статистика. Источник: Лаборатория
Касперского.
DDoS-атаки во втором квартале 2016 года.
Источник: Лаборатория Касперского.
Спам
и фишинг во втором квартале 2016. Источник: Лаборатория Касперского.
Статистика
кибератак за июль 2016 г. Источник: Hackmageddon.
Ресурсы:
Видео с "Northsec
2016 Conference".
Видео с "Black
Hat USA 2016".
Hacksplaining.com - бесплатный интерактивный курс по изучению уязвимостей и методам
защиты. (см. краткий
обзор).
Maltese (Malware Traffic Emulating Software) - утилита для генерации
вредоносного DNS-трафика
с целью проверки эффективности работы средств защиты (см. обзор).
среда, 17 августа 2016 г.
Исследование вредоносной активности на сайтах банков РФ
Совместно с проектом ReScan.pro я провел диагностику сайтов кредитных организаций на вирусы и взлом. Список кредитных организаций был взят с веб-страницы ЦБ РФ «Сведения об адресах Web-сайтов кредитных организаций Российской Федерации по состоянию на 31.07.2016». Всего проверялось 1219 веб-ресурсов.
Веб-сканер ReScan.pro проверял указанный URL и все внутренние ссылки, которые расположены на этой странице, на наличие:
- опасного кода;
- вирусов в скриптах;
- вставок с опасных и неизвестных сайтов;
- сайтов в базе вредоносных;
- редиректов;
- ошибок страницы и ошибок загрузки ресурсов.
В результате исследования было выявлено три сайта (все относятся к одному банку), на которых присутствовал мобильный редирект (сайт работает на старой версии CMS Joomla, вероятно, это и послужило причиной заражения). Работники банка были уведомлены о проблеме. Проблема уже устранена. В остальных случаях проблем обнаружено не было.
Честно говоря, я надеялся, что хотя бы сайты кредитных организаций не будут являться источником вредоносной активности. Но, к сожалению, мои ожидания не оправдались.
Я подготовил список сервисов, которые помогут сисадминам и специалистам по безопасности проверить их веб-ресурсы на наличие вредоносной активности, уязвимостей, присутствия в черных списках, доступности и т.п.:
https://virustotal.com/ - сервис, осуществляющий анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ.
https://aw-snap.info/file-viewer/ - веб-сканер проверяет сайт на наличие вредоносного кода, вредоносных скриптов и редиректов. Также пользователю доступны различные опции для проверки, такие как User Agent, referer и пр.
https://quttera.com/, https://sitecheck.sucuri.net/ и http://www.urlvoid.com/ - веб-сканеры, которые проверяют сайт на известные вредоносы, наличие их в черных списках, выявляют различные ошибки. Частично пересекаются с возможностями virustotal.
https://sergeybelove.ru/one-button-scan/ - небольшой онлайн-сканер безопасности от Сергея Белова, который тестирует сайт на различные уязвимости, наличие чувствительных данных и доступных директорий.
https://www.ssllabs.com/ssltest/ - онлайн-сервис для тестирования веб-сервера на наличие SSL-уязвимостей и небезопасных настроек.
https://securityheaders.io/ - сервис для проверки сайта на предмет HTTP-заголовков безопасности типа CSP и HSTS.
Подписаться на:
Сообщения (Atom)