среда, 31 декабря 2014 г.
пятница, 26 декабря 2014 г.
Дайджест новостей по ИБ за 5 – 28 декабря 2014 года
Блоги:
Алексей Лукацкий послал вопросы в госорганы по
поводу запрета хранения персональных данных россиян заграницей и получил на них
ответы (раз, два) и предложил обезличивать ПДн в
качестве одного из способов выполнения требований ФЗ-242.
Андрей Прозоров затронул вопрос культуры и этики
специалистов по информационной безопасности.
Статьи:
Тренды и прогнозы 2015 в сфере ИТ и ИБ
от ведущих компаний.
Угрозы уходящего года и прогнозы
на 2015 год от Malwarebytes
(англ.).
Преступления в
банковской сфере 02
- 11 декабря, 12 - 22
декабря 2014.
Обзор конференции ZeroNights
2014 от Digital Security.
Обзор одного из векторов атак на публичные
терминалы для оплаты аренды велосипедов.
Выдуманная история о взломе рядового пользователя.
Анализ новой модификации ZeuS – Chthonic.
Рекомендации по обеспечению безопасность мобильных
устройств.
Журналы:
!Безопасность
Деловой Информации выпуск #8 - тема номера: итоги и тренды года
Документы:
Penetration Testing Tools that (do not) Support IPv6 - исследование утилит для
тестирования на проникновение на наличие поддержки протокола IPv6 (англ.).
Автор: Dr. Antonios Atlasis.
План проверок РКН на 2015-й
год. Источник: Роскомнадзор.
Независимое
детальное руководство для покупателей МЭ нового поколения - подробное
руководство для оценки межсетевых экранов для корпоративных сетей. Источник: Palo
Alto Networks.
Законодательство:
Приказ Федеральной службы по
оборонному заказу (Рособоронзаказ) от 6 октября 2014 г. N 163 г. Москва «Об упорядочении
обращения со служебной информацией ограниченного распространения в
Рособоронзаказе и его территориальных органах». Можно использовать в качестве
шаблона для Положения по работе с конфиденциальной информацией.
«О внесении изменений в приказ
Федеральной службы по надзору в сфере связи, информационных технологий и
массовых коммуникаций от 15 марта 2013 г. N 274 «Об утверждении перечня
иностранных государств, не являющихся сторонами Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке персональных данных и
обеспечивающих адекватную защиту прав субъектов персональных данных». Сокращен
перечень иностранных государств, не являющихся сторонами Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке персональных
данных.
Программное обеспечение/сервисы:
THC-Hydra v8.1 - взломщик паролей различных сервисов.
LOIC – утилита для
нагрузочного тестирования сетевых приложений.
Snort v3.0 — сетевая система предотвращения
вторжений (IPS) и обнаружения вторжений (IDS) с открытым исходным кодом.
Metasploit
v4.11 - инструмент
для создания, тестирования и использования эксплойтов.
Wpscan
v2.6 - сканер уязвимости для WordPress.
Аналитика:
Статистика
кибератак за ноябрь (англ.)
Kaspersky
Security Bulletin 2014. Основная статистика за 2014 год.
Ресурсы:
Видео с ZeroNights
2014.
Видео с OWASP Russia Meetup.
Видео с конференции
DefCamp 2014.
Материал с Botconf 2014.
Запись вебинара «Безопасность сайта:
мониторинг. Опыт профессионалов» от Максима Лагутина (SiteSecure).
Запись доклада «Опенсорс-инструменты на страже
безопасности бэкенда» от Петра Волкова.
Запись мастер-класса от Андрея
Бешкова «Криминалистика
в современном мире. Дело о фантомном проникновении».
Презентации с пятой Международной
конференции «Борьба с
мошенничеством в сфере высоких технологий. AntiFraud Russia – 2014».
Открытая безопасность №33 –
подкаст об AntiFraudRussia2014.
Metasploit Resource Portal – портал,
содержащий информацию по работе с Metasploit.
пятница, 5 декабря 2014 г.
Дайджест новостей по ИБ за 28 ноября – 5 декабря 2014 года
Блоги:
Сергей Борисов посоветовал, как правильно выбрать
СЗИ.
Михаил Емельянников затронул проблемы,
связанные с проведением проверки
действительности паспортов.
Ответ 8 центра ФСБ России Артёму
Агееву по поводу соблюдения требований старых документов ФСБ (ФАПСИ), регламентирующих
использование средств шифрования, для защиты персональных данных в
ИСПДн.
Статьи:
Обзор
кибератак за 16-30 ноября 2014
г. (англ.).
Краткое введение в доверительные отношения, или почему
нельзя запускать вслепую без проверки скрипты из интернета
Поиск XSS-уязвимостей в метаданных
(англ.).
Использование Shodan
из командной строки (англ.).
Мобильные телефоны и тотальная слежка АНБ: как это
работает.
Google представила новую систему reCAPTCHA.
Журналы:
PenTest Magazine - Metasploit Framework
Workshop (англ.).
Security Kaizen Magazine Issue 17 – журнал по информационной безопасности (англ.).
Документы:
CryptoPHP.
Analysis of a hidden threat inside popular content management systems – анализ бекдора для Joomla,
WordPress и Drupal (англ.). Источник: Fox-IT.
OUCH! Что такое антивирус? –
декабрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.
Законодательство:
Приказ Федеральной службы по
надзору в сфере связи, информационных технологий и массовых коммуникаций
(Роскомнадзор) от 17 июля 2014
г. N 103
г. Москва «Об утверждении Порядка предоставления
операторам связи технических средств контроля за соблюдением оператором
связи требований, установленных статьями 15.1-15.4 Федерального закона от 27
июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите
информации».
Программное обеспечение/сервисы:
Samurai
Web Testing Framework 3.0 – Linux-дистрибутив для тестирования на
проникновение.
Ресурсы:
Материалы с Hacktivity 2014.
Презентации с SANS Pen Test Hackfest 2014.
Видеозапись с Security
Meetup, который прошел 4 декабря 2014 года в офисе Mail.Ru Group.
Noise Security Bit #11 – подкаст
о различных конференциях для ресечеров
(H2HC, Ekoparty и Sacicon), которые проходят в латинской Америке.
пятница, 28 ноября 2014 г.
Дайджест новостей по ИБ за 21-28 ноября 2014 года
Блоги:
Алексей Лукацкий рассказал об
освоении новых форматов
донесения информации по ИБ до аудитории; поделился впечатлениями от Cisco
Connect Moscow 2014.
Статьи:
Бесплатные SSL-сертификаты от «Let's Encrypt».
Безопасность Виртуализации. Часть 2
BlackEnergy2:
новые плагины, взлом маршрутизаторов и данные о жертвах.
Список киберпреступлений
за ноябрь 2014 года.
Краткий анализ троянской программы Regin.
Законодательство:
Приказ Министерства Российской
Федерации по развитию Дальнего Востока (Минвостокразвития России) от 2 октября 2014 г. N 76 г. Москва «Об упорядочении
обращения со служебной информацией ограниченного распространения в
Минвостокразвития России"».
Можно использовать в качестве шаблона для разработки Положения о порядке
обращения со служебной информацией ограниченного распространения.
Федеральный закон Российской
Федерации от 24 ноября 2014 г. N 364-ФЗ «О внесении изменений в Федеральный
закон «Об информации, информационных технологиях и о защите информации» и
Гражданский процессуальный кодекс Российской Федерации». Закреплен порядок
ограничения доступа к информации, распространяемой в Интернете с нарушением
исключительных прав на фильмы.
Программное обеспечение/сервисы:
Detekt v1.8 -
бесплатный инструмент для обнаружения шпионских приложений.
Аналитика:
Спам
и фишинг в третьем квартале 2014. Источник: Лаборатория Касперского.
Мероприятия:
29 ноября 2014 г. d в 11:00 (UTC), 9447 Security Society CTF.
Ресурсы:
Материалы с V международной
конференции по защите персональных данных: презентации, видео (часть 1, часть 2, часть 3).
Видео с конференции Hack3rcon
5.
понедельник, 24 ноября 2014 г.
Дайджест новостей по ИБ за 14-21 ноября 2014 года
Блоги:
Сергей Борисов подготовил ряд вопросов, ответы на которые
помогут провести качественную оценку ущерба
активам от угроз ИБ.
Алексей Лукацкий опубликовал список крупных мероприятия по
информационной безопасности на 2015 год.
Статьи:
Обзор
кибератак за 1-15 ноября
2014 г.
(англ.).
Обзор конференции ZeroNights 2014 от Digital Security
Обзор опенсорсных инструментов
для статического анализа кода (англ.).
Эксперты Positive Technologies обнаружили уязвимости в 4G-модемах.
Новый вариант троянца
Citadel нацелен на менеджеры паролей.
Документы:
Android Application
Secure Design/Secure Coding Guidebook – сборник советов
и рекомендаций для разработчиков по проектированию
безопасных Android-приложений и
написания надежного кода (англ.). Авторы: Japan
Smartphone Security Association (JSSEC)
Программное обеспечение/сервисы:
Nessus v6 –
сканер уязвимостей.
Аналитика:
Развитие
информационных угроз в третьем квартале 2014 года. Источник: Лаборатория
Касперского.
Мероприятия:
27 ноября 2014 года в Москве
состоится пятая Международной конференции «Борьба
с мошенничеством в сфере высоких технологий. AntiFraud Russia – 2014».
4 декабря 2014 года в офисе
Mail.Ru Group при информационной поддержке журнала Хакер пройдет Security Meet Up.
Ресурсы:
Диалоги #поИБэ №21 – подкаст о мобильных угрозах (часть 1).
Подкаст про WireLurker
и операция ФБР в Tor от «Лаборатории Касперского».
понедельник, 17 ноября 2014 г.
Дайджест новостей по ИБ за 7-14 ноября 2014 года
Блоги:
Алексей Лукацкий уведомил о планах Европы ограничить распространение инструментов для обхода средств защиты; предложил создать этический кодекс пентестера.
Презентация Андрея Прозорова, посвященная нормативным документам по теме КВО/КСИИ/КИИ/АСУ.
Статьи:
APT-атака Darkhotel.
Буткит: прошлое, настоящее и будущее (англ.).
Gupt - троян, использующий имена беспроводных сетей для запуска команд.
Советы по защите Android-устройств.
Лучшие практики обеспечения безопасности в облаке.
Тенденции угроз ИБ на 2015 год от Trend Micro (англ.).
Обзор приказа ФСТЭК № 31 от 14 марта 2014 от Positive Technologies.
Как открыть навесной замок без ключа
Руководство по установке, настройке и использованию сканера уязвимостей сервера Rootkit Hunter (rkhunter).
Найдена критическая уязвимость в Microsoft SChannel.
Исследователи из IBM X-Force обнаружили критическую уязвимость CVE-2014-6332.
Новая техническая информация о ранее неизвестных аспектах атаки Stuxnet от Лаборатории Касперского.
Журналы:
Журнал «Information Security/ Информационная безопасность» #5, 2014
Документы:
ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам». Стандарт представляет рекомендации в области готовности к опасным ситуациям и инцидентам.
ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных». Стандарт устанавливает требования к системе менеджмента персональной информации, направленные на обеспечения выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области.
ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса».
Password Security. Thirty-Five Years Later – история развития парольной защиты (англ.). Источник: SANS.
Securing DNS to Thwart Advanced Targeted Attacks and Reduce Data Breaches - защита DNS-сервера от целенаправленных атак (англ.). Источник: SANS.
Законодательство:
Приказ Главного управления специальных программ Президента Российской Федерации (ГУСП) от 25 июля 2014 г. N 42 г. Москва «Об организации работы с персональными данными в Главном управлении специальных программ Президента Российской Федерации». Можно использовать в качестве шаблона для написания Политики по обработке и защите персональных данных.
Федеральный закон Российской Федерации от 4 ноября 2014 г. N 334-ФЗ «О внесении изменений в статью 8 Федерального закона «О банках и банковской деятельности». Поправками введена обязанность кредитной организации раскрывать на своем сайте информацию о квалификации и опыте работы членов совета директоров (наблюдательного совета), лиц, занимающих должности единоличного исполнительного органа, заместителей, членов коллегиального исполнительного органа, главного бухгалтера, его заместителя, а также руководителя, главного бухгалтера филиала.
Программное обеспечение/сервисы:
Enhanced Mitigation Experience Toolkit (EMET) 5.1 - программа для предотвращения эксплуатирования уязвимостей в программном обеспечении.
Аналитика:
Статистика кибератак за октябрь 2014 года (англ.). Источник: Hackmageddon.
Мероприятия:
21 ноября в 11.00 состоится мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о блуждающем гаджете».
Ресурсы:
Открытая безопасность №18 – подкаст о Log manager/SIEM/СУИБ, а именно о выборе ядра системы управления ИБ.
Noise Security Bit #10 – подкаст о безопасности мобильных облаков на примере iCloud, о форенсике и реверс-инжиниринге для современных мобильных устройств.
Руководство по поиску уязвимостей в php-скриптах (англ.).
Алексей Лукацкий уведомил о планах Европы ограничить распространение инструментов для обхода средств защиты; предложил создать этический кодекс пентестера.
Презентация Андрея Прозорова, посвященная нормативным документам по теме КВО/КСИИ/КИИ/АСУ.
Статьи:
APT-атака Darkhotel.
Буткит: прошлое, настоящее и будущее (англ.).
Gupt - троян, использующий имена беспроводных сетей для запуска команд.
Советы по защите Android-устройств.
Лучшие практики обеспечения безопасности в облаке.
Тенденции угроз ИБ на 2015 год от Trend Micro (англ.).
Обзор приказа ФСТЭК № 31 от 14 марта 2014 от Positive Technologies.
Как открыть навесной замок без ключа
Руководство по установке, настройке и использованию сканера уязвимостей сервера Rootkit Hunter (rkhunter).
Найдена критическая уязвимость в Microsoft SChannel.
Исследователи из IBM X-Force обнаружили критическую уязвимость CVE-2014-6332.
Новая техническая информация о ранее неизвестных аспектах атаки Stuxnet от Лаборатории Касперского.
Журналы:
Журнал «Information Security/ Информационная безопасность» #5, 2014
Документы:
ГОСТ Р 53647.5-2012 «Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам». Стандарт представляет рекомендации в области готовности к опасным ситуациям и инцидентам.
ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных». Стандарт устанавливает требования к системе менеджмента персональной информации, направленные на обеспечения выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области.
ГОСТ Р 53647.9-2013 «Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса».
Password Security. Thirty-Five Years Later – история развития парольной защиты (англ.). Источник: SANS.
Securing DNS to Thwart Advanced Targeted Attacks and Reduce Data Breaches - защита DNS-сервера от целенаправленных атак (англ.). Источник: SANS.
Законодательство:
Приказ Главного управления специальных программ Президента Российской Федерации (ГУСП) от 25 июля 2014 г. N 42 г. Москва «Об организации работы с персональными данными в Главном управлении специальных программ Президента Российской Федерации». Можно использовать в качестве шаблона для написания Политики по обработке и защите персональных данных.
Федеральный закон Российской Федерации от 4 ноября 2014 г. N 334-ФЗ «О внесении изменений в статью 8 Федерального закона «О банках и банковской деятельности». Поправками введена обязанность кредитной организации раскрывать на своем сайте информацию о квалификации и опыте работы членов совета директоров (наблюдательного совета), лиц, занимающих должности единоличного исполнительного органа, заместителей, членов коллегиального исполнительного органа, главного бухгалтера, его заместителя, а также руководителя, главного бухгалтера филиала.
Программное обеспечение/сервисы:
Enhanced Mitigation Experience Toolkit (EMET) 5.1 - программа для предотвращения эксплуатирования уязвимостей в программном обеспечении.
Аналитика:
Статистика кибератак за октябрь 2014 года (англ.). Источник: Hackmageddon.
Мероприятия:
21 ноября в 11.00 состоится мастер-класс Андрея Бешкова «Криминалистика в современном мире. Дело о блуждающем гаджете».
Ресурсы:
Открытая безопасность №18 – подкаст о Log manager/SIEM/СУИБ, а именно о выборе ядра системы управления ИБ.
Noise Security Bit #10 – подкаст о безопасности мобильных облаков на примере iCloud, о форенсике и реверс-инжиниринге для современных мобильных устройств.
Руководство по поиску уязвимостей в php-скриптах (англ.).
понедельник, 10 ноября 2014 г.
Дайджест новостей по ИБ за 31 октября – 07 ноября 2014 года
Статьи:
Обзор
кибератак за 16-31 октября 2014 г. (англ.).
Сравнительная таблица мессенджеров
с точки зрения безопасности.
Тестирование пропускной способности сети с Iperf.
Борьба с потенциально
нежелательными программами (Potentially Unwanted Program, PUP).
Новый вектор атаки Reflected File Download
позволяет передавать на компьютер пользователя исполняемые файлы, используя
домены легитимных провайдеров.
Журналы:
Pentest Magazine Issue 05/2014 (13) – бесплатная
версия ноябрьского номера (англ.).
Hakin9 Magazine. Issue 1/2014
(6) – вторая часть бесплатной версии журнала, посвященная Kali Linux (англ.).
Документы:
OUCH! Социальная инженерия –
ноябрьский выпуск журнала по вопросам компьютерной безопасности. Источник: SANS.
Аналитика:
Мобильные
угрозы в октябре 2014 года. Источник: Dr.Web
Полугодовой
отчет по информационной безопасности за 2014 год – в документе представлена
аналитика угроз и тенденций в области кибербезопасности за первое
полугодие 2014 года. Источник: Cisco.
Ресурсы:
Подписаться на:
Сообщения (Atom)