Дайджест ИБ за 16-22 мая 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Пост Евгения Касперского "Дети и соцсети. Проблема, которую лучше решить поздно, чем никогда".

• Пост Дениса Батранкова "Безопасность облачных услуг". Денис проанализировал вопрос - почему безопасность облачных услуг является основной причиной отказа от их внедрения.

• Презентация Владимира Стырана c UISG v6 "Социальная инженерия для инженеров". Жаль, что нет видео или аудио-записи выступления Владимира. Слайды явно готовились под выступление, поэтому не очень информативны.

• Статья Дениса Балуева "DNS в облаках", в которой Денис делает обзор бесплатного сервиса SkyDNS. SkyDNS - это DNS-сервер с возможностью фильтрации запросов. С его помощью можно легко защитить компьютер от фишинга, закрыть доступ к вредоносным сайтам, блокировать баннеры, запретить отдельные нежелательные категории сайтов.

• Статья Владимира Безмалого "Тестирование антифишинговых фильтров в браузерах". По результатам тестирования победил браузер Internet Explorer 9, причем с гигантским отрывом. Пост Вадима Стеркина на эту же тему.

• Пост "Шаблоны и политики безопасности в продукте vGate 2 от Кода Безопасности".

• Алексей Лукацкий опубликовал ссылки на различные "социальные" ресурсы и подкасты Cisco. Радует достаточно большое количество полезных ресурсов на русском языке.

Лучшие посты из англоязычных блогов по ИБ

• Статья Dave Piscitello "Топ 10 угроз APT" (часть 1, часть 2). Дейв считает, что в угрозах APT нет ничего нового и необычного, а сам термин APT (Advanced Persistent Threat) не имеет никакого смысла. Это просто целенаправленная атака мотивированного и квалифицированного злоумышленника. Дейв составил перечень из 10 основных угроз, которые сейчас рассматриваются в качестве APT. Среди них - социальная инженерия, неосознанные утечки данных (типа публикаций в социальных сетях), уязвимости и недостатки систем и веб-приложений, спуфинг, незащищенная передача сообщений и т.п. Аналогичного мнения придерживается Lenny Zeltser. Ленни считает APT просто новым модным термином, используемым средствами массовой информации, а также производителями продуктов по безопасности.

• Пост Dejan Kosutic "Взгляд руководства на информационную безопасность", в котором Дижен затрагивает тему взаимодействия специалистов по ИБ с руководством. Точно также, как специалисты по ИБ думают, что руководство ничего не понимает в ИБ, руководство считает, что специалисты по ИБ понятия не имеют, что нужно бизнесу. Дижен приводит 5 основных вопросов руководства при реализации проектов по ИБ: Это действительно необходимо? Это соответствует корпоративной стратегии? Как можно уменьшить стоимость? Как мы узнаем, что мы достигли нужного результата? Какие риски связаны с этим проектом?

• Пост Lenny Zeltser "4 причины, почему пользователи боятся устанавливать патчи". По мнению Ленни, основными причинами, по которым пользователи не устанавливают патчи являются: слишком много кликов для установки патча; патчи имеют слишком большой размер; после установки патча требуется перезагрузка; некоторые патчи требуют установки от имени администратора. Также Ленни приводит примеры наиболее удачных решений по установке патчей, которые лишены (или почти лишены) этих проблем: Google Chrome, антивирусные продукты, Windows Update.

• Пост Luther Martin "Инсайдерские угрозы не так страшны". Согласно последнему отчету CERT по исследованию киберугроз, угрозы, от внешних злоумышленников существенно превышают инсайдерские угрозы.

• Пост Guy Helmer "Классы защищаемой информации и DLP". Гай дает рекомендации по использованию различных функций систем DLP для предотвращения утечки различных типов информации.

• Пост Douglas Davidson "Политика использования мобильных устройств важна для защиты вашей компании". Дуглас объясняет важность введения в компании политики использования мобильных устройств и дает рекомендации по ее содержанию.

• В США 17 мая прошел Национальный день повышения осведомленности по ИБ. В связи с этим событием SpiderLabs опубликовала пост с рекомендациями по мерам безопасности, которые должен знать и соблюдать каждый. Примечательно, что эти рекомендации состоят всего из 4 пунктов: пароли, патчи, друзья и связи в социальных сетях и настройки приватности в социальных сетях. Аналогичные рекомендации опубликовал Brian Krebs, однако он в большей степени сконцентрировался на ПО: устанавливайте только те программы, которые вы нашли сами; если установили программу, не забывайте обновлять ее; удаляйте программы, которые вам больше не нужны.

• Brian Krebs опубликовал детальную информацию о скиммерах, которые были недавно обнаружены в POS-терминалах сети магазинов Michaels.

Интересные статьи и заметки по менеджменту, коммуникациям

• Пост Сергея Славинского "Успешные проекты", в котором Сергей затрагивает вопрос о том, почему многие проекты, к которым привлекаются внешние консультанты, так и не доходят до успешной реализации. На мой взгляд, описанные Сергеем проблемы очень близки руководителям подразделений ИБ и консультантам по ИБ. В частности, Сергей пишет: "Бесполезно выстраивать стратегию, если собственник требует "как можно больше и прямо сейчас". Так же бесполезно заниматься заниматься маркетингом в компании, где маркетинг воспринимается скорее как обуза, чем как драйвер бизнеса. И даже если компания проходит критический период (снижение спроса, спад продаж), то если компания не готова внутри себя к каким бы то ни было изменениям - даже самый аргументированный и "беспроигрышный" маркетинговый план будет похерен."

• Пост Евгения Ческидова "Что такое ROI и зачем он нужен?". Евгений на простейшем примере объясняет суть понятия Коэффициента окупаемости инвестиций (ROI - Return on Investment) и возможности его использования.

Стандарты, руководства, лучшие практики, исследования

• ENISA опубликовала документ "Инициативы по безопасному проектированию и разработке программного обеспечения", в котором собран исчерпывающий перечень инициатив (методик, руководств, стандартов и т.п.), направленных на предотвращение появления уязвимостей в прикладном ПО.

• Антон Чувакин опубликовал документ "Анализ PCI DSS: Как выполнять аудит действий в приложениях, если логи не помогают" (на английском). Антон рассматривает ситуации, когда логи слишком огромны для того, чтобы их эффективно анализировать, или когда логи находятся в "облаке" и недоступны для анализа. Имеется сокращенная версия документа и его краткий обзор.

• CERT опубликовал еще две "шпаргалки" по реагированию на инциденты. Первая касается DDoS-атак, а вторая - взлома Unix-систем (на английском).

• Множество исследователей приступили к анализу утекших исходных кодов ZeuS. Уже готовы результаты от Sophos и Imperva (часть 1, часть 2). А здесь можно посмотреть результаты исследования Steve Ragan.

• Nick Nikiforakis опубликовал результаты исследования безопасности использования файлообменных сервисов в сети Интернет (на английском). В результате анализа 100 популярных файлообменных сервисов Ник сделал вывод, что они содержат множество уязвимостей и недостатков, позволяющих получить доступ к размещенным на них файлов неуполномоченным лицам. В частности, исследователи провели эксперимент - они разместили на таких сервисах множество файлов различных форматов, которые при открытии должны "позвонить домой". Ссылки на размещенные файлы никому не сообщались. В результате, в течение месяца "позвонили домой" 275 файлов... Здесь можно посмотреть краткий обзор отчета (на английском).

• ICASI разработан новый общий формат информирования об уязвимостях (CVRF - Common Vulnerability Reporting Framework), который заменит множество существующих нестандартизованных форматов уведомлений об уязвимостях. Здесь можно посмотреть краткий обзор (на английском).

• Application Security совместно с ассоциацией ISUG провели исследование угроз безопасности базам данных. В результате исследования было выявлено, что наибольшие риски для БД представляют человеческие ошибки и злоупотребление привилегиями, а не действия хакеров. Также было установлено, что большинство администраторов БД обладает недостаточными знаниями и опытом в обеспечении безопасности БД. Основные проблемные области - управление конфигурациями, управление изменениями и управление патчами. Тем не менее большинство респондентов, принявших участие в исследовании, убеждены, что конфиденциальная информация в их базах данных надежно защищены. Краткий обзор отчета можно посмотреть здесь (на английском) или здесь (на русском).

• Раздел "Иллюстрированный хакинг" на сайте Irongeek.com. В нем в открытом доступе представлено множество видеоматериалов по взлому, защите, использованию различных утилит для тестирования безопасности. Например, на прошлой неделе опубликована видеопрезентация Tom Eston "Взлом и защита устройств Apple iOS". Все материалы на английском.

• Рекомендации Advent "Посмотрите, прежде чем прыгнуть" - 10 вопросов, которые вы должны выяснить, прежде чем заключить договор с поставщиком услуг (на английском).

• NIST выпустил документ SP 800-147 "Руководство по защите BIOS" (на английском).

Новости

• Появились сообщения о взломе блочного шифра ГОСТ 28147-89. Однако, судя по всему, о реальном взломе пока речи не идет, т.к. для реализации атаки нужны совершенно нереальные условия. Скорее это похоже на попытку помешать его международной стандартизации.

• В Москве прошел форум Positive Hack Days. В целом мероприятие участникам понравилось: своими впечатлениями поделились Алексей Лукацкий и Александр Матросов.

• Обнаружена уязвимость в OpenSSL, которая может позволить злоумышленнику получить доступ к критичной информации (в частности - закрытого ключа сервера TLS). Уязвимость вызвана недостатками реализации алгоритма цифровой подписи на основе эллиптических кривых. Рекомендуется использовать другой алгоритм подписи.

• Появилась новая вредоносная программа для MacOS - Mac Defender, от которой пострадало уже не мало пользователей Mac. Видимо, действительно, заканчивается эпоха "непробиваемой защиты" Mac. Однако, пользователям Mac пока не стоит рассчитывать на помощь AppleCare... 

• Вышел новый номер журнала ClubHACK Magazine. Это индийский журнал, издаваемый на английском языке. Этот номер журнала посвящен безопасности интернет-браузеров.

• Произошла еще одна утечка на рынке криминального ПО. В общий доступ попал набор эксплойтов Unknown Exploit Kit.

• Обнаружена уязвимость в операционной системе Android, которая позволяет злоумышленнику перехватывать цифровые удостоверения (authToken), передаваемые по беспроводным сетям, и затем использовать их для несанкционированного доступа к сервисам Google. Google уже выпустил исправление, которое будет автоматически установлено на устройства Android в ближайшее время. Здесь можно посмотреть некоторые технические подробности уязвимости (на английском).

• Появилась информация, что для взлома сети Sony PlayStation Network использовались облачные ресурсы Amazon.

• Хакеры нашли уязвимость в IP-телефонах Cisco, позволяющие превратить их в устройства удаленной прослушки. Уязвимость связана с использованием небезопасных настроек по умолчанию.

• Сведения 35 млн. профилей пользователей Google находятся практически в открытом доступе. Причем компания Google была уведомлена об этом еще в 2008 году.

Инциденты за неделю

• Черная полоса Sony продолжается. Хакеры воспользовались неудачно организованной системой смены паролей пользователей PlayStation Network. На сервере Sony был обнаружен фишинговый сайт. Была взломана одна из дочерних компаний Sony - провайдер So-Net.

• Остров Сахалин оказался полностью отключен от интернета в результате аварии на волоконно-оптической линии связи в Хабаровском крае.

• Блог-сервис Diary.Ru подвергся мощной DDoS-атаке.