Дайджест новостей по ИБ за 10 – 24 июня 2016 г.

Блоги:

Алексей Лукацкий поделился рекомендациями по защите своего блога; предложил проводить самооценку по 17 приказу ФСТЭК.

Андрей Прозоров поделился новостями импортозамещения программного обеспечения; сделал майндкарту по регламенту взаимодействия с FinCERT.

Михаил Емельянников пояснил, какие сведения нельзя относить к коммерческой тайне.

Впечатления об "InfoSecurity Europe 2016" от Андрея Прозорова и Алексея Лукацкого.

Артем Агеев рассказал про угрозу личности на примере сервиса "findface".

Андрей Дугин сравнил эффективность Bug Bounty и сканеров уязвимостей.

Александр Бодрик рассказал о рынке труда в ИБ.

Судебная практика: информация, отправленная сотрудником с электронной почты, является коммерческой тайной.

Судебная практика: заказчик обязан анализировать техническое задание, подготовленное исполнителем, на предмет технической реализуемости проекта.

Арбитражная практика: электронная подпись физического лица не содержала информации о его праве действовать от имени юридического лица.

Статьи:

Преступления в банковской сфере 31 мая - 14 июня 2016.

Обзор инцидентов безопасности за период с 6 июня по 12 июня 2016 года от securitylab.

Обзор кибератак за 16 – 31 мая 2016 от hackmageddon (англ.).

xDedic: теневой рынок взломанных серверов.

Обязательная сертификация ИБ-специалистов не за горами.

Кибербезопасность в морском секторе.

Как защитить банковскую карту от мошенников.

Технология Microsoft OLE используется для внедрения вредоносного кода в документы.

Устройство встроенных банкоматных скиммеров (англ.).

Google Dorking как источник угроз (англ.).

Противодействие DDoS-атакам с помощью IPtables (англ.).

ДНК пароля (англ.).

Top 10 технологий для обеспечения информационной безопасности в 2016 г. по версии Gartner (англ.).

Результаты тестирования антивирусных средств под Android (май 2016 г.).

Pure.Charger - устройств для защиты данных при зарядке смартфона через недоверенные источники (англ.).

Top 5 инцидентов безопасности, связанных с SAP (англ.).

Настройка URL Overrides в Keepass2.

Веб-сервисы для проверки сайтов на вирусы.

В реализации протокола NetBIOS, которую использует Windows, найдена серьёзная уязвимость (BadTunnel).

Утвержден национальный стандарт ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Обзор бесплатных сканеров защищенности веб-сайтов.

Перевод OWASP Testing Guide. Глава третья. Типовая программа тестирования.

Система обнаружения вредоносного трафика Maltrail.

Что необходимо знать о потенциально нежелательных программах (Potentially Unwanted Programs, PUP)?

Соблюдение требований PCI DSS для электронной коммерции: выбор между SAQ A и A-EP (англ.).

Как проходит проверка персональных данных — глазами Superjob и Роскомнадзора. 

Журналы:

(IN)SECURE Magazine Issue 50 (июнь 2016). Тема номера: «CISO challenges» (англ.)

Документы:

CIS Oracle Linux 6 v1.0.0 Benchmark - руководство по установке безопасных настроек для Oracle Linux 6.

CIS Oracle Linux 7 v2.0.0 Benchmark - руководство по установке безопасных настроек для Oracle Linux 7.

CIS Amazon Linux v2.0.0 Benchmark - руководство по установке безопасных настроек для Amazon Linux.

CIS Apache HTTP Server 2.4 Benchmark v1.3.0 - руководство по установке безопасных настроек для Apache HTTP Server 2.4.

CIS Microsoft Windows Server 2008 non-R2 Benchmark v3.0.0 - руководство по установке безопасных настроек для Microsoft Windows Server 2008 non-R2.

CIS Microsoft Windows Server 2012 non-R2 Benchmark v2.0.0 - руководство по установке безопасных настроек для Microsoft Windows Server 2012 non-R2.

CIS CentOS Linux 6 v2.0.1 Benchmark - руководство по установке безопасных настроек для CentOS Linux 6.

CIS CentOS Linux 7 v2.1.0 Benchmark - руководство по установке безопасных настроек для CentOS Linux 7.

CIS Red Hat Enterprise Linux 6 v2.0.1 Benchmark - руководство по установке безопасных настроек для Red Hat Enterprise Linux 6.

CIS Red Hat Enterprise Linux 7 v2.1.0 Benchmark - руководство по установке безопасных настроек для Red Hat Enterprise Linux 7.

CIS Oracle Database 11g R2 Benchmark v2.2.0 -  руководство по установке безопасных настроек для Oracle Database 11g R2.

Законодательство:

О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных. Источник: ФСБ РФ.

Постановление Правительства РФ от 15.06.2016 N 541 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности".

Программное обеспечение/сервисы:

THC-Hydra v8.2 - взломщик паролей различных сетевых сервисов.

Suricata v3.1 - система обнаружения и предотвращения вторжения с открытым исходным кодом.

Аналитика:

Программы-вымогатели для ПК в 2014-2016 годах: эволюция угрозы и ее будущее.

Статистика кибератак за май 2016 г. Источник: Hackmageddon.

Ресурсы:

Презентации с "BIS Summit Minsk 2016".

Презентации с  конференции «Информационная безопасность платёжных систем. PCI DSS Russia 2016».

Запись трансляции с ПМЭФ 16 "Вызовы в киберпространстве. Возможно ли обеспечить безопасность в сети?".

Дайджест новостей по ИБ за 27 мая - 10 июня 2016 г.

Блоги:

Алексей Лукацкий дал рекомендации по написанию резюме кандидата по ИБ; рассказал, почему не стоит гнаться за модой в сфере ИБ.

Обзор «Facebook ThreatExchange» от Артема Агеева.

Статьи:

Преступления в банковской сфере 16 - 30 мая 2016.

Обзор инцидентов безопасности за период с 30 мая по 5 июня 2016 года от securitylab.

Обзор кибератак за 1 – 15 мая 2016 от hackmageddon (англ.).

Обзор уязвимостей за 20-26 мая, 27 мая - 4 июня  от US-CERT (англ.).

В России появилась биржа по покупке уязвимостей.

На TeamViewer была совершена DoS-атака (со взломом аккаунтов.!?).

Взломан украинский реестр недвижимости.

Хорватские хакеры взломали официальный сайт Acunetix.

Хакерскую группировку "Lazarus" подозревают в атаках на систему банковских переводов "SWIFT".

"bug poaching" - новый способ вымогательства денег у компаний.

 

Как выбрать DLP-систему: семь правильных вопросов.

Советы по противодействию фишингу (англ.).

Полезные Windows EventIDs для расследования инцидентов, связанных с вредоносным заражением (англ.).

Исследование безопасности банков Екатеринбурга.

Перевод OWASP Testing Guide. Глава вторая: часть 4, часть 5.

Отключение макросов в различных версиях Microsoft Office (англ.).

Анализ безопасности OEM-обновлений различных производителей (англ.).

Документы:
OUCH! Шифрование – июньский выпуск ежемесячника по информационной безопасности для пользователей (англ.). Источник: SANS.

(In-) Security of Security Applications - обзор уязвимостей в антивирусах под Android (англ.). Источник: Fraunhofer SIT.

Программное обеспечение/сервисы:

Tor Browser 6.0 - браузер, ориентированный на обеспечение анонимности, безопасности и приватности. 

Законодательство 

Информационное сообщение ФСТЭК России от 1 июня 2016 г. N 240/11/2416 "О разработанных ФСТЭК России примерных программах профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам и технической защиты информации" + Постановление Правительства РФ от 06.05.2016 N 399 + Выписка из перечня примерных программ профессиональной переподготовки + Перечень организаций, осуществляющих образовательную деятельность

Аналитика:

Статистика кибератак за апрель 2016 г. (англ.). Источнки: Hackmageddon.

«Доктор Веб»: обзор вирусной активности для мобильных устройств в мае 2016 года.

Ресурсы:

Видео с "BSidesSLC 2016".

Видео с "NolaCon 2016".

Материалы с "IT & Security Forum 2016".

Дайджест новостей по ИБ за 13 - 27 мая 2016 г.

Блоги:

Алексей Лукацкий рассказал об ИБ-блогерстве и о том, как повысить стоимость атаки; описал пример совмещения геймификации и DLP.

Михаил Емельянников рассказал, с какого возраста наступает дееспособность субъекта в отношении распоряжения своими персональными данными.

Впечатления от PHDays VI от Алексея Лукацкого, Сергей Борисова, Дмитрия Дудко,  Евгения Хворова.

Наталья Храмцовская изучила вопрос, связанный с использованием скриншотов в качестве доказательств в арбитражном суде.

Андрей Прозоров поделился своей презентацией про импортозамещение.

Евгений Царев представил обзор судебного решения по краже денег со счета юридического лица.

Статьи:

Преступления в банковской сфере 22 апреля - 16 мая 2016.

Обзор инцидентов безопасности за период с 16 по 22 мая 2016 года от securitylab.

Обзор уязвимостей за 13-21 мая от US-CERT (англ.).

Язык шаблонов для универсального сигнатурного анализатора кода.

Пропатчен архиватор 7-Zip.

Перевод OWASP Testing Guide. Глава вторая. часть 1, часть 2.8, часть 3.

Заряжать смартфон через USB небезопасно.

Так ли безопасны «топовые» сайты: исследуем рейтинг Alexa.

Отчет с семинара RISSPA, прошедшего 20 апреля.

Уязвимости в прокси-соединении: как антивирусы снижают безопасность интернет-браузера.

Дайджест последних достижений в области криптографии. Выпуск нулевой.

Создатели трояна-шифровальщика TeslaCrypt закрыли проект и опубликовали master-ключ для разблокировки.

Создание информационной панели PCI Compliance (dashboard) с помощью ELK (Elasticsearch, Logstash, Kibana) и Wazuh (англ.).

Впечатления о "PHDays 2016" от команды «Сервионики».

TOP-9 симуляторов фишинга (англ.).

Не храните резервные копии в публичном доступе (англ.).

Как узнать SID пользователя по имени и наоборот.

Аналитика:

IT threat evolution in Q1 2016 - отчет о выявленных угрозах ИБ за первый квартал 2016г. (англ.). Источник: Лаборатория Касперского.

Статистика "Exploit Database".

Программное обеспечение/сервисы:

BackBox Linux 4.6 - Linux-дистрибутив для тестирования на проникновение, основанный на Ubuntu.

OWASP VBScan - сканер уязвимостей для vBulletin.

Обзор утилиты "vFeed" (англ.).

Ресурсы:

Бесплатный курс "Defending Active Directory Against Cyberattacks" (англ.).

Видео с "RuhrSec 2016".

Презентации с "Hack in the Box 2016".

Дайджест новостей по ИБ за 22 апреля - 13 мая 2016г

Блоги:

Алексей Лукацкий подготовил обзор средств моделирования угроз; рассказал о рисках, возникающих при получении право на распространение чужого продукта под своим именем.

Андрей Прозоров собрал список стандартов и "лучших практик" по аутсорсингу; расписал назначение каждой стадии цикла «Планирование - Действие - Проверка - Корректировка» (PDCA).

Сергей Солдатов размышляет о полезности honeypot.

Сергей Борисов подготовил обзор требований в области технического регулирования к продукции, используемой в целях зашиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требований к межсетевым экранам).

Михаил  Емельянников пояснил про прослушку телефонов в офисе и конституционные права.

Статьи:

 Преступления в банковской сфере 22 апреля - 16 мая 2016.

Обзор кибератак за 1 - 15 апреля 2016 г. от hackmageddon (англ.).

Готовимся к проверке РКН по персональным данным. Часть 2. Виды проверок.

19 проектов с открытым исходным кодом от GitHub для профессионалов в компьютерной безопасности. Часть 2.

Как взломать Telegram и WhatsApp посредством атаки через сеть SS7.

Признаки, указывающие на ботов и троллей в интернете.

Перевод OWASP Testing Guide. Часть 2.7.

Защита сайта от DDoS-атак средствами iptables и nginx.

Автоматизация поиска администратора сети.

Выгрузка памяти приложения в iOS8.

Верховный суд России разрешил всем фотографировать, сканировать и копировать документы в госархивах.

Невизуальные методы защиты сайта от спама. Статистика.

Ищем уязвимости с помощью google.

Введение в Malvertising (сокр. от "malicious advertising" - распространение вредоносных приложений через рекламу).

Обход Windows AppLocker с помощью консольной утилиты regsvr32.

Исследуем «Ревизор» Роскомнадзора.

Угрозы для банкоматов.

Список книг по наступательной информационной безопасности (Offensive Security).

8 российских стартапов из области интернет-безопасности.

Директора по ИБ скоро вымрут, как динозавры.

Австралия: Как хранить данные банковских карт?

Хакеры Anonymous начали 30-дневной кампании, направленной против сайтов центробанков по всему миру.

PCI DSS 3.2: новые требования к безопасности платежей.

VirusTotal сообщил о новых условиях использования своего сервиса.

Обнаружение DGA-доменов: подход Positive Technology и Digital Security.

Антиспам в Mail.Ru: как машине распознать взломщика по его поведению.

Facebook открыла исходные коды платформы "Capture the Flag".

Сравнение систем мониторинга социальных медиа.

TOP-10 методов веб-хакинга в 2015 году (англ.).

Советы от Сесилии МакГуайер (Cecilia McGuire) по подготовке к экзамену CISSP (англ.).

Сертификаты и приложения с цифровой подписью: аудит событий AppLocker (англ.).

Как использовать NIST серии SP800 для реализации ISO 27001 (англ.).

Рекомендации по защите от фишинга (англ.).

Продвинутый Ping: httping, dnsping, smtpping (англ.).

Использование GPO для ассоциации файлов с "вредоносным" расширением к блокноту (англ.).

Журналы:

Information Security №2/2016. Темы номера: "Безопасность виртуальной среды" и "Интернет вещей".

PenTest OPEN: Most Wanted Penetration Testing Skills.

Документы:
Phrack №69 (см. краткий обзор).

OUCH! Интернет вещей (IoT) – майский выпуск ежемесячника по информационной безопасности для пользователей. Источник: SANS.

Законодательство:

Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации» (РС БР ИББС-2.9-2016). В настоящем документе содержатся рекомендации, выполнение которых обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков. Источник: ЦБ РФ.

Обзор изменений в законодательстве за апрель 2016.

Информационное сообщение ФСТЭК РФ от 28 апреля 2016 г. N 240/24/1986 "Об утверждении требований к межсетевым экранам".

Программное обеспечение/сервисы:

routersploit - фреймворк для экспуатации уязвимостей роутеров (см. краткий обзор)

Nessus 6.6 - сканер уязвимостей.

Аналитика:

Глобальное исследование утечек конфиденциальной информации в 2015 году. Источник: InfoWatch (см. краткий обзор).

DDOS-атаки в первом квартале 2016 года. (см. краткий обзор). Источник: Лаборатория Касперского.

Ресурсы:

Видео с "BSides Nashville 2016".

Видео с "AIDE 2016".

Видео с "DakotaCon 2016".

Интерактивная база данных «Панамского архива» - (см. краткий обзор).

Metasploit Minute - рубрика на канале Hak5, посвященная Metasploit.