Дайджест ИБ за 11-17 апреля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, лучшие практики, обзоры
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Презентация Алексея Лукацкого "Риски использования социальных сетей". Алексей сделал всеобъемлющий обзор современных интернет-угроз в контексте использования социальных сетей сотрудниками компаний (и не только).

• Перевод статьи Dan Tynan "7 грязных трюков консультантов", в которой Дэн рассказывает о приемах, применяемых некоторыми консультантами, чтобы выудить побольше денег со своих заказчиков, снизить себестоимость проектов, выиграть тендеры и т.д. Для России тема не менее актуальна. За перевод спасибо Александру Бондаренко.

• Перевод поста Derek Newton "Dropbox уязвим изначально?". Дерек исследовал способ аутентификации в клиентском приложении Dropbox и выяснил, что для аутентификации используется только значение host_id, которое присваивается компьютеру при первом подключении и никогда больше не меняется. Получив значение host_id злоумышленник может получить доступ к чужим файлам в Dropbox незаметно для их владельца. За перевод спасибо Владимиру.

• Запись вебинара Владимира Чугунова "К вам пришла проверка. Что делать?". Часть 1. Часть 2. Речь в вебинаре идет о проверках по вопросам персональных данных, но данные в нем рекомендации, в принципе, применимы и в других случаях проверок государственными службами. За ссылки спасибо Евгению Цареву.

• Интересная заметка Николая Федотова "Пальцы второго сорта" о рисках использования биометрии (отпечатков пальцев), если одни и те же пальцы будут использоваться одновременно для "серьезных" (типа банкомата) и "несерьезных" (типа двери в гостинице) систем.

• Пост Дмитрия Евтеева "Безопасность ERP-систем". Дмитрий обращает внимание на проблемы, связанные со встроенными учетными записями и паролями "по умолчанию" в системе SAP. 

• Статья Ильи Медведовского "PA-DSS vs разработчики, или ожидает ли российские банки эпидемия взломов", в которой Илья дает негативный прогноз в отношении повышения безопасности приложений в ближайшем будущем, даже для приложений, на которые распространяются требования PA-DSS. "Зачем разработчику тратить свои деньги на безопасность, если их решения покупают и так?", задает риторический вопрос Илья.

Лучшие посты из англоязычных блогов по ИБ

• Компания Trusteer провела эксперимент, который показал, что обучение пользователей не может защитить их от атак социальной инженерии. Экспериментаторы отобрали группу хорошо осведомленных в вопросах безопасности участников социальной сети LinkedIn, изучили их контакты, а потом направили им по электронной почте сообщения, очень похожие на те уведомления, которые они постоянно получают от LinkedIn. Ссылки в сообщениях вели на специальный веб-сайт. В результате 68% перешли по этим ссылкам. Остальные 32% либо не видели сообщения, либо не заинтересовались им... Trusteer делает вывод, что упор в организации защиты от таких атак следует делать все-таки на технические средства.

• Пост Lenny Zeltser "Может ли соответствие требованиям регуляторов поощрять слабую безопасность?". Ленни высказывает интересную мысль, что компании могут "прикрываться" формальным соответствием, чтобы оправдать недостаточный уровень безопасности. Если инцидент все же произошел, такая компания может свести к минимуму общественный резонанс и число исков, показывая документ о соответствии предъявляемым к ней требованиям (например, PCI DSS).

• Еще одна заметка про недостатки безопасности Dropbox "Как Dropbox экономит средства, жертвуя конфиденциальностью данных пользователей". Christopher Soghoian сообщает о недостоверных данных в заявления об обеспечении безопасности Dropbox. Dropbox говорит, что данные пользователей шифруются ключом, который есть только у пользователя, что даже сотрудники Dropbox не могут получить доступ к файлам пользователя. Тем не менее сервис Dropbox для оптимизации использования своего хранилища данных выполняет поиск дубликатов файлов. Если пользователь пытается загрузить файл, который уже кто-то загрузил, повторной загрузки не происходит. Как Dropbox может делать это, если файлы зашифрованы персональными ключами пользователей?

Интересные статьи и заметки по менеджменту, коммуникациям

• Книга Славы Панкратова "Черная книга менеджера". Не пожалейте час времени, книга - MUST READ. Отлично прочищает мозги в вопросах взаимоотношений с руководством, работы с подчиненными, собственной мотивации. Правда в книге речь идет об ИТ, но к ИБ это применимо ни чуть не меньше. Кстати, автор рассылает книгу бесплатно всем желающим.

• Статья Фаины Филиной "Банк на попечении", в которой рассказано о передаче на аутсорсинг отдельных процессов кредитных организаций. Указаны основные "за" и "против" такого решения, рассмотрены возникающие при этом риски.

Стандарты, лучшие практики, обзоры:

• Open Group выпустила новую версию стандарта "Модель зрелости системы управления ИБ" (O-ISM3) (на английском), который позволяет определять приоритеты, оптимизировать затраты на ИБ, постоянно совершенствовать СУИБ с помощью определенных в стандарте метрик. Здесь - небольшой обзор.

• Securosis выпустила документ "Оценка и оптимизация безопасности баз данных" (на агнлийском). В документе описана программа обеспечения безопасности баз данных, а также ключевые метрики для ее оценки.

• Рекомендации Eric Siebert "10 лучших практик для защиты данных в VMWare" (на английском). Здесь - краткий обзор документа на русском.

• Опубликован отчет Symantec по угрозам безопасности в интернете за 2010 год (на английском). Киберугрозы стали значительно более масштабными и изощренными. Здесь - обзор отчета на русском.

Новости

• Россияне смогут получить электронную подпись уже в апреле - до конца апреля в Москве планируется создать 4 УЦ, где можно будет получить ЭП. 

• 25-26 апреля в Москве состоится конференция РИТ ++ / 2011. В программе запланировано участие анонимного владельца ботсети (по скайпу), с которым участники конференции смогут пообщаться "в прямом эфире".

• Компания ScanSafe предлагает бесплатно 30 дней потестировать "облачную безопасность" (SaaS). За новость спасибо Алексею Лукацкому. Кстати, вот здесь есть краткий обзор похожего сервиса от Microsoft: Intune - предположительно сервис будет доступен в России уже в июле-августе.

• Компания АЛТЭКС-СОФТ разработала программу "Net_Check", позволяющюю централизованно управлять (и обновлять) сертифицированными ОС Microsoft в сети организации. За новость спасибо Сергею Борисову.

• Обнаружена новая критическая уязвимость в Adobe Flash Player (CVE-2011-0611), которая активно используется злоумышленниками (рассылается файл MS Word с внедренным в него объектом Flash). Adobe оперативно выпустила патч.

• Oracle решила не отставать от Microsoft и на следующей неделе планирует выпустить патчи, закрывающие 73 уязвимости. Патчи затронут все продукты Oracle.

• Вышли новые номера журналов Infosecurity, HAKIN9, а также новый журнал PenTest Magazine. За ссылку спасибо Александру Бондаренко.

• Компания ESET предупреждает, что растет процент вредоносных программ, направленных на кражу информации.

• Началось бета-тестирование безопасной ОС Qubes (основана на Fedora 14). Безопасность Qubes достигается за счет использования гипервизора Xen, поверх которого работают несколько виртуальных Linux-машин (доменов), выполняющих строго определенный набор функций. Дистрибутив доступен для тестирования всем желающим.

Инциденты за неделю

• Сайт Фонда развития Инновационного центра "Сколково" не выдержал наплыва читателей Хабрахабра, желающих посмотреть на сайт за 3,1 млн.руб., и упал. Заодно любопытные исследователи получили доступ к административной панели (пароль был "1"), получили полные исходные тексты сайта, анализ которых показал, что сайт создан на базе недорогого (или вообще бесплатного) UMI.CMS, к которому прикуплен дешевый шаблон. Подробности - здесь.

• Хакеры взломали сервера WordPress, получили административный (root) доступ к ним. Скомпрометированы личные данные и пароли пользователей, а также аутентификационные данные от различных внешних сервисов. Владелец блогохостинга рекомендует всем пользователям WordPress срочно сменить пароли. Интересно, что в тот же день год назад WordPress также был взломан.

• AVAST выпустил некорректное обновление антивирусных баз, в результате чего множество сайтов Интернета были классифицированы как опасные и блокированы веб-фильтром. Комментарии по этому инциденту в блоге Лаборатории Касперского.