Дайджест новостей по ИБ за 23 - 30 января 2015 г.

Блоги:

Слайдкасты на тему «Какие нормативные акты устанавливают требования по защите госорганов?», «Как защищать ГУПы и ФГУПы?» от Алексея Лукацкого.

Александр Бодрик указал на распространенные ошибки, которые допускаю при написании резюме ИБ-специалисты.

Андрей Прозоров подготовил перечень документов, необходимых для построения СУИБ по 27001-2013.

Сергей Борисов опубликовал ответы ФСТЭК России на ряд вопросов по защите ПДн.

Статьи:

С чего начать участие в Bug Bounty (англ.).

Хакерские секреты простых вещей.

Подмена файлов с помощью BDFProxy.

Повышаем пользовательские привелегии в Windows.

Maldrone  - первый бекдор для дронов (англ.).

В Linux обнаружена критическая уязвимость, позволяющая получить полный контроль над компьютером жертвы – Ghost.

Сходство исходников кейлоггера АНБ (Qwerty) и трояна Regin.

Утечка локального IP-адреса через браузер с поддержкой WebRTC.

Must-read книги за 2014 год по ИБ и программированию.

Обзор онлайн-сервисов по анализу вредоносный файлов (англ.).

Недоверенные цифровые сертификаты и способы защиты от запуска программ, подписанных ими.

Парсинг безопасных HTTP-заголовков.

Программное обеспечение/сервисы:

Oracle Auditing Tools – инструмент для проведения аудита безопасности серверов БД Oracle.

BackBox Linux v4.1 – Linux-дистрибутив для тестирования на проникновение, основанный на Ubuntu.

Документы:

Информационное сообщение по вопросу совершенствования нормативных правовых актов и методических документов ФСТЭК России, регламентирующих вопросы защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах от 27 января 2015 г. N 240/22/287.

Вебинары:

13 февраля, 15.00 - 16.00 (МСК), «Самостоятельная подготовка к международным сертификационным экзаменам CISSP (Certified Information System Security Professional) и CISM (Certified Information Security Manager)» от ЗАО «НПО «Эшелон».

Ресурсы:

http://plan.genproc.gov.ru/plan2015/ - сводный план проверок субъектов предпринимательства на 2015 год.

Материалы с конференции Rooted CON 2014.

Видеозаписи докладов с конференции Shmoocon 2015.

Презентации с конференции POC 2014.

Дайджест новостей по ИБ за 16 – 23 января 2015 г.

Блоги:

Сергей Борисов описал, как и в какой форме лучше вписать оценку соответствия в комплекс работ по созданию/модернизации СЗПДн.

Сергей Гордейчик развеял мифы о свободном программном обеспечении.

Статьи:

Обзор кибератак за 1 – 15 января 2015 (англ.)

Кража учетных записей с помощью имитации легитимной службы.

История о несостоявшейся целевой атаке.

Защита от XSS без правки исходных кодов (англ.).

Анализ спам-рассылки с вашего сайта.

Виртуальные войны в Википедии.

Рекомендации по использованию DLP-систем с юридической точки зрения от компании Infowatch.

Компания SplashData опубликовала рейтинг популярных паролей.

Из ФСКН утекли в свободную продажу секретные базы данных.

Google Webfonts в Wordpress собирает метаданные пользователей.

Журналы:

Pentest Magazine. Journey In The World of The XSS – электронная версия семинара по обнаружению и эксплуатации XSS-уязвимостей (англ.).

eForensic Magazine. Malware Analysis StarterKit - электронная версия семинара по исследованию вредоносных программ (англ.).

Документы:

Перевод третьей части руководства по виртуализации PCI DSS.

Управление киберрисками во взаимосвязанном мире. Основные результаты Глобального исследования по вопросам обеспечения информационной безопасности. Перспективы на 2015 год. Источник: PWC.

Actionable Information for Security Incident Response – практическое руководство по обмену информацией в рамках реагирования на инциденты (англ.). Автор: ENISA.

Информационная безопасность: стандартизированные термины и понятия – собрание официальных (стандартизированных) определений понятий, используемых в области информационной безопасности и защиты информации. Автор: Парошин А. А.

Краткий обзор годового отчета Cisco по информационной безопасности (см. полный отчет). Источник: Cisco

ГОСТ 32321-2013 «Извещатели охранные поверхностные ударно-контактные для блокировки остекленных конструкций в закрытых помещениях. Общие технические требования и методы испытаний».

ГОСТ Р ИСО/МЭК 18045-2013 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий». Стандарт описывает минимум действий, выполняемых оценщиком при проведении оценки по ИСО\МЭК 15408 с использованием критериев и свидетельств оценки, определенных в ИСО\МЭК 15408.

ГОСТ Р ИСО/МЭК 19794-6-2014 «Информационные технологии. Биометрия. Форматы обмена биометрическими данными. Часть 6. Данные изображения радужной оболочки глаза». Стандарт устанавливает требования к форматам обмена данными изображения радужной оболочки глаза (РОГ) для систем, осуществляющих биометрическую регистрацию, верификацию и идентификацию по РОГ.

ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1».

ГОСТ Р ИСО/МЭК 27003-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности». В стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2005.

ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме». Стандарт предоставляет руководство по распространенным ситуациям, возникающим  в процессе обращения со свидетельствами, представленными в цифровой форме, а также содействует организациям в их дисциплинарных процедурах и в облегчении обмена потенциалами свидетельствами, представленными в цифровой форме, между юрисдикциями.

ГОСТ Р ИСО/МЭК 27033-3-2014 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления». В стандарте изложены угрозы, методы проектирования и вопросы, касающиеся мер и средств контроля и управления, связанные с типовыми сетевыми сценариями.

Программное обеспечение/сервисы:

Sysmon 2.0 - программа для мониторинга процессов в Windows (см. описание)

Game of Hacks - онлайн-игра, представленная в виде вопросов по знанию уязвимостей OWASP Top-10 2013 и призванная повысить осведомленность сотрудников ИБ (см. обзор).

Вебинары:

6 февраля, 11:00, «Как надежно защитить систему ДБО от кражи денежных средств киберприступниками», компания «Аладдин Р.Д.».

Мероприятия:

12 февраля 2015 г. с 11.00 до 17.00 в рамках XX Международного форума «Технологии безопасности» ФСТЭК РФ проводит V Конференцию «Актуальные вопросы защиты информации».

Ресурсы:

Hacker’s List — фриланс-биржа для хакеров.

Бесплатные версии стандартов ISO.

ES6 XSS challenge – задания по поиску и эксплуатации XSS-уязвимостей.

Открытая безопасность – подкаст о построении центров управления ИБ (автоматизация процессов ИБ): часть 1, часть 2.

Юмор. Социальная инженерия

Дайджест новостей по ИБ за 28.12.2014 – 16.01.2015

Блоги:

Алексей Лукацкий сделал подборку прогнозов и предсказаний в области информационной безопасности на 2015 год от отечественных и зарубежных вендоров; составил security checklist для домашнего пользователя.

Размышления Сергея Гордейчика о разработке отечественного «железа» и программного обеспечения.  

Александр Бодрик предлагает повышать осведомленность по информационной безопасности, воздействуя на сознание пользователей.

Статьи:

Преступления в банковской сфере 1 - 19 января 2015 

Обзор кибератак за 16 – 31 декабря 2014 (англ.)

Как рассчитать окупаемость бюджета безопасности

Советы по написанию отчетов о найденных уязвимостях от Джона Штауффахера (англ.)

С 14 января 2015 года компания Microsoft прекратила основную поддержку Windows 7.

Включение отображения информации о последнем входе в Windows на экране приветствия.

Обзор интерактивных карт кибератак в реальном времени.

Уязвимость Heardbleed через рекламную сеть.

Отчет о системе кибершпионажа Regin.

Исследование Cloud Atlas - APT-атаки схожей с Red October.

Уязвимость в сетевом оборудовании HP/H3C и Huawei, связанная с работой по протоколу SNMP, позволяет получить доступ к критически важной информации.

Журналы:

ChannelForIT Review - выпуск посвящен проблемам информационной безопасности.

Документы:

План проведения плановых проверок юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля на 2015 год. Источник: ФСТЭК.

How To Migrate To HTTPS – инструкция по переходу на HTTPS (англ.). Автор: Крис Палмер (Chris Palmer).

AIX for Penetration Testers – руководство по тестированию на проникновение AIX-систем. Автор: Золтан Панцел (Zoltan Panczel).

Концепция региональной информатизации – документ определяет основные цели и направления деятельности по использованию информационно-коммуникационных технологий в органах государственной власти субъектов РФ на период до 2018 года, а также организационную модель управления указанной деятельностью. Источник: Минсвязь России.

CIS Microsoft Internet Explorer 11 Benchmark v1.0.0 - руководство по установке безопасных настроек для IE 11 (англ.). Источник: CIS.

CIS Microsoft Internet Explorer 10 Benchmark v1.1.0 - руководство по установке безопасных настроек для IE 10 (англ.). Источник: CIS.

CIS Ubuntu 14.04 LTS Server Benchmark v1.0.0 - руководство по установке безопасных настроек для Ubuntu 14.04 LTS Server (англ.). Источник: CIS.

CIS Ubuntu 12.04 LTS Server Benchmark v1.1.0 - руководство по установке безопасных настроек для Ubuntu 12.04 LTS Server (англ.). Источник: CIS.

CIS Apache HTTP Server 2.4 Benchmark v1.2.0 - руководство по установке безопасных настроек для Apache HTTP Server 2.4 (англ.). Источник: CIS.

CIS Amazon Linux 2014.09 Benchmark v1.0.0 - руководство по установке безопасных настроек для Amazon Linux 2014.09 (англ.). Источник: CIS.

CIS Microsoft SQL Server 2014 v1.0.0 - руководство по установке безопасных настроек для Microsoft SQL Server 2014 (англ.). Источник: CIS.

CIS Oracle Linux 7 Benchmark v1.0.0 - руководство по установке безопасных настроек для Oracle Linux 7 (англ.). Источник: CIS.

Законодательство:

Информационное сообщение ФСТЭК «Об утверждении требований к средствам контроля съемных машинных носителей информации» от 24 декабря 2014 г. N 240/24/4918

Программное обеспечение/сервисы:

SPARTA – утилита для тестирования на проникновение сетевой инфраструктуры.

Kali Linux NetHunter 1.1 – платформа под Android для тестирования на проникновение.

oclHashcat 1.32 – утилита для восстановления пароля по хешу с использованием видеокарт.

Аналитика:

Обзор вирусной активности для мобильных устройств за 2014 год. Источник: Dr.Web.

Статистика кибератак за 2014г. (англ.) Источник: Hackmageddon.

Ресурсы:

Открытая безопасность #34 – подкаст о событиях в сфере ИБ за 2014 года

Noise Security Bit #12 - выпуск посвящён обсуждению конференции ZeroNight 2014

Видео «Как определить уровень защищенности ПДн?» от Алексея Лукацкого.

Cybrary - бесплатные онлайн-курсы по IT и кибербезопасности (англ.)

Семинар от Роскомнадзора

Управление Роскомнадзора по Ростовской области приглашает представителей учреждений и организаций Ростовской области посетить бесплатные семинары по теме: "Обеспечение безопасности персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".

Планируемые участники семинаров: представители Управления Роскомнадзора по Ростовской области; представители организаций, учреждений, ответственные за организацию обработки персональных данных; сотрудники осуществляющие обработку персональных данных.

Вопросы, рассматриваемые на семинарах: основы законодательства в области защиты персональных данных; требования к организации обработки персональных данных; локальные акты оператора; организация и проведение проверок за соответствием обработки персональных данных требованиям законодательства.

Даты проведения семинаров: 28.01.2015;   25.02.2015;   25.03.2015.

Время проведения семинаров: с 14:00 до 17:00 (возможно изменение).

Место проведения семинаров: Управление Роскомнадзора по Ростовской области: г. Ростов-на-Дону, ул. Металлургическая, д. 113/46.

Участие в семинаре бесплатное, но требуется обязательная предварительная регистрация.

Предварительная регистрация участников семинаров осуществляется по телефону: (863) 223 79 51 или направлением заявки на электронный адрес Управления: rsockanc61@rkn.gov.ru

Источник: http://61.rkn.gov.ru/news/news73290.htm

Сроки действия закрытых ключей и сертификатов

Решил разобраться, откуда берутся сроки использования пользовательских закрытых ключей и сертификатов для СКЗИ.

Всё началось с изучения системы ДБО, в которой сроки действия ключевых наборов задаются по умолчанию (в моем случае 1 год). Если система ДБО взаимодействует с сертифицированными СКЗИ, тогда сроки действия устанавливаются в соответствии с эксплуатационной документацией к этой СКЗИ. У разных разработчиков сроки отличаются (от года и выше).

Так откуда же они берут эти цифры?

Всем известно, что сертификацией данных продуктов занимается ФСБ. Как раз таки данное ведомство  и устанавливает необходимые сроки для каждого СКЗИ в процессе их сертификации. Таков срок так называемой «неявной компрометации закрытого ключа».

Различают два вида компрометации закрытого ключа: явную и неявную.

Основаниями для принятия решения о компрометации криптографических ключей являются:

1. Утеря ключевых носителей.

2. Утеря ключевых носителей с их последующим обнаружением.

3. Увольнение сотрудников, имевших доступ к ключевой информации.

4. Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.

5. Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.

6. Нарушение печати на сейфе с ключевыми носителями.

7. Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

Первые четыре события трактуются как явная компрометация ключей. Остальные можно отнести к неявной.

P.S. Коллеги, если есть, что дополнить, с радостью приму это к сведению.

Источники:

http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=1532

http://www.banksbrr.ru/internetbank/info/solution