Дайджест ИБ за 20 - 26 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• На этой неделе прошел семинар RISSPA по теме "Advanced Persistent Threat: "белые пятна" на карте информационной безопасности". Краткий обзор мероприятия можно посмотреть в блогах "Кода безопасности" и Александра Бондаренко. Похоже коллеги так и не договорились, что же все-таки такое этот APT, т.к. на LinkedIn сразу началось обсуждение по теме "Определение APT". Чуть позже появились интересные заметки по теме APT в блогах Дениса Батранкова и Владимира Кочеткова. В целом мнения разделились - одни рассматривают это как реальную новую угрозу, другие - как новое модное словечко и маркетинговый трюк. Вендоры же, как обычно, уже подстроились под ситуацию и активно продают средства защиты от APT.

• Тарас Злонов обновил свой рейтинг блогов рунета, посвященных ИБ. На данный момент это, пожалуй, наиболее полный перечень русскоязычных блогов по теме ИБ.

• Пост Алексея Лукацкого "Вновь об управлении инцидентами". Алексей обращает внимание на важность формализации задач и процессов в рамках организации реагирования на инциденты, а также заблаговременного создания группы реагирования на инциденты. Без этого, в случае инцидента, начнется хаос. Инцидент при этом возможно и будет как-то разрешен, однако подробности инцидента и следы злоумышленника могут быть безвозвратно потеряны.

• Перевод статьи Tomas Orin "Продукты создания белых списков приложений". В статье Томас рассматривает несколько продуктов, которые позволяют обеспечить безопасность пользовательской среды за счет ограничения возможности запуска программ ("белых списков"), указывает их преимущества и недостатки. В обзор Томаса вошли AppLocker, Lumension Application Control, Sophos Endpoint Security and Data Protection, Bit9 Parity Suite.

• Перевод статьи David Taber "Насколько безопасен провайдер облачных сервисов? 7 основных правил". В статье Дэвид указывает основные вопросы безопасности, которые нужно учесть при выборе провайдера облачных сервисов: физический доступ, аутентификация, шифрование, предотвращение утечек информации, обеспечение конфиденциальности, ведение журналов аудита, защита от DoS-атак.

• Перевод поста Brian Krebs ""Кряки" - отличный способ инфицировать свой компьютер", в котором Брайан предупреждает, что прошли уже те времена, когда "кряки" и взломанные версии программ бескорыстно создавались и распространялись энтузиастами. Теперь большинство из них содержит вредоносный код. Брайан даже добавил 4-е правило обеспечения онлайновой безопасности: "не загружайте пиратское ПО или «кряки» из файлообменных сетей, потому что это главный источник распространения вредоносного ПО".

• Обновленная статья Владимира Безмалого "Защищаемся от фишинга". Владимир рассказывает о фишинговых атаках, приводит результаты тестирования анти-фишинговых фильтров, дает практические рекомендации, использование которых снизит риск стать жертвой фишинга.

• Опубликованы презентации с прошедшего недавно форума Positive Hack Days.

Лучшие посты из англоязычных блогов по ИБ

• Пост Boris Sverdlik "Злоумышленники обожают вашу кадровую службу". Борис затрагивает вопрос утечки сведений об используемых компанией аппаратных и программных средствах, а также средствах обеспечения безопасности через... объявления о вакансиях. Анализ информации из объявлений о поиске специалистов ИТ и ИБ может дать злоумышленнику много ценной информации, что существенно повысит его шансы на успех. Борис рекомендует компаниям использовать для поиска персонала специализированные рекрутинговые агентства и не раскрывать заранее название компании. Однако не намного меньшую проблему представляют резюме бывших сотрудников, описывающих свой опыт работы в компании...

• Пост Lenny Zeltser "Важнейшая роль Координатора группы реагирования на инциденты", в котором Ленни обращает внимание на очень важную роль в группе реагирования на инциденты - роль Координатора. Ленни описывает основные обязанности Координатора (отслеживать прогресс обработки инцидента, уведомлять о нем заинтересованных лиц, координировать действия членов команды, при необходимости организовывать экспертизу) и навыки, которыми он должен обладать (разбираться в информационных технологиях и ИТ-инфраструктуре компании, иметь хорошие коммуникативные навыки, быстро обучаться при необходимости и уметь импровизировать).

• Пост Tyler Shields "Пользователей не волнует безопасность". Конечно, большинство пользователей не хочет, чтобы их данные или данные их компании стали доступны кому-то еще, но почему же в таком случае они игнорируют требования безопасности? По мнению Тайлера, это происходит потому, что безопасность просто не волнует большинство из них - у них нет для этого стимулов. Далее Тайлер анализирует вопрос стимулов более детально. Какие стимулы мотивируют людей на следование определенному поведению? Есть 4 категории социальных стимулов: материальные (не работает, т.к. сотрудники обычно не получают материальных благ за то, что соблюдают требования безопасности), моральные (тоже не работает, т.к. несоблюдение требований безопаности аморальным поведением общество пока не считает), естественные (страх нарушения безопасности - отличный стимул, однако большинство людей считают пренебрежительно малой вероятность того, что проблема ИБ случится именно с ними, поэтому и этот стимул не работает), принуждение (установка обязательных требований и наказание за их несоблюдение часто является единственным вариантом обеспечения безопасности, т.к. этот стимул работает, однако на практике реальные наказания используются очень редко - в долгосрочной перспективе это ведет к еще большим проблемам). Как же быть в такой ситуации? Тайлер считает, что для решения этой проблемы служба ИБ должна обеспечивать безопасность за пользователя, внедряя сервисы безопасности, работающие в фоновом режиме, без его непосредственного участия, и устанавливая ограничения, исключающие выполнение пользователем небезопасных действий.

• Статья Larry Hardesty "Защита медицинских имплантов от атак". Проведенные исследования показали, что импланты, поддерживающие работу жизненно важных органов миллионов американцев уязвимы для хакерских атак. Большинство имплантов имеют беспроводные интерфейсы, которые позволяют врачам контролировать их работу и вносить изменения в настройки. Однако о безопасности этих интерфейсов при их разработке никто не подумал. Получив доступ к управлению имплантом, злоумышленник может изменить его настройки, что может, в худшем случае, привести к смерти жертвы. Исследователи предлагают способы решения этой проблемы с использованием криптографических алгоритмов.

Интересные статьи и заметки по менеджменту, коммуникациям

• Пост psilon "Менеджер проектов внутри матрицы". Интересная заметка, в которой автор рассказывает о том, с чем может столкнуться менеджер проектов прийдя работать в крупную компанию (на примере банка). Описанные в заметке сложности весьма актуальны и для сферы ИБ, причем в ИБ они нередко распространяются не только на проектную деятельность, но и текущую. В частности, автор отмечает такие проблемы, как низкая "вовлеченность" в проект участвующих в нем сотрудников подразделений банка; выделение времени на проект и представителей в проект по "остаточному принципу"; отсутствие "проектной команды", как таковой; конфликты между подразделениями, вовлеченными в проект. Знакомо? Автор дает рекомендации, как преодолеть все эти сложности: гланое - принять такое положение вещей и учитывать его при работе (будем реалистами, вряд ли менеджер проекта может серьезно повлиять на это в крупной компании); главное оружие - коммуникации, нужно выстраивать отношения с людьми; хороший контакт со "спонсором" из числа топ-менеджеров, заинтересованном в успехе проекта; максимальная "прозрачность" проекта для всех участников; документальная фиксация всех решений.

Стандарты, руководства, лучшие практики, исследования

• Компания Veracode опубликовала учебные материалы (на английском) по нескольким распространенным уязвимостям: SQL-инъекции, межсайтовое выполнение сценариев (XSS), подделка межсайтовых запросов (CSRF), LDAP-инъекции. Эти учебные материалы содержат описание уязвимости, ее воздействия, видеодемонстрацию ее использования. Также доступно руководство по безопасности мобильного кода.

• Anonymous опубликовали краткое руководство по обеспечению анонимности в сети (на английском) для Windows, Linux и MacOs.

• Brian Krebs проанализировал базу с хэшами паролей пользователей взломанного в прошлом году хакерского форума Antichat.ru. Оказывается хакеры тоже используют слабые пароли - всего за несколько дней Брайану удалось взломать почти половину паролей. Тремя самыми популярными паролями были 123456, 111111, 123123. Аналогичный анализ произвел Ростислав (sic) и добился еще больших успехов - были взоманы 77% паролей за 8 часов.

• Проведенное GFI Software исследование показало, что четверть опрошенных представителей компаний отметили, что их компании сталкивались с серьезными проблемами, вызванными дефектными патчами или несовместимостями ПО после установки патчей. Более половины компаний не имеют жесткой политики установки критических патчей. Большинство (90%) компаний устанавливает патчи в течение 1-2 недель после выпуска. По результатам тестирования исследователи подчеркивают важность проведения тестирования патчей перед их установкой в промышленной среде, а также важность использования специализированных решений по управлению патчами.

• Проведено сравнение скорости реагирования лабораторий антивирусных компаний на новые угрозы. Время реакции и ее качество оказались хуже ожиданий авторов тестирования. В качестве победителей теста, они (с натяжкой) отметили Dr.Web и Sophos. Чуть хуже Fortinet, GData, VBA и eScan. А Eset и McAfee - провалили тест. За новость спасибо администрации сайта SecuRRity.Ru.

• На сайте Habrahabr организовали интересное голосование по организации тестирования в компаниях. Результаты такие: в 23% компаний тестирования нет вообще - т.е. проверяют ПО сами пользователи, в 33% компаний тестируют ПО сами разработчики. Выделенные тестировщики есть только в 43% компаний... 

Новости

• Недавно CNET запустила свою ленту инцидентов ИБ. Также прекрасным источником информации об инцидентах ИБ является сайт DataLossDB. Жаль, что там нет информации по российским инцидентам. Частично это упущение восполняет лента российских инцидентов ИБ на LinkedIn.

• Компания Comodo запустила сервис по анализу безопасности веб-сайтов Comodo SSL Analyzer. Сервис выдает информацию по программному обеспечению и SSL-сертификату сайта, автоматически выделяет все обнаруженные недостатки.

• Две хакерских группировки LulzSec и Anonymous объединили свои усилия и анонсировали операцию Antisec, направленную на хищение конфиденциальной информации банков и правительственных учреждений. Однако чуть позже появилась информация, что группа LulzSec решила самораспуститься после 50 дней своей активности (их заявление можно посмотреть здесь). Интересное предположение о причинах этого опубликовано на сайте The Hacker News: принципы деятельности LulzSec основаны на анонимности, однако ее членам не хватило навыков, чтобы сохранить ее. Почти все они уже идентифицированы. Подробности можно посмотреть в той же заметке.

Инциденты за неделю

• На этой неделе произошел настоящий коллапс с электронной валютой Bitcoin.
• В начале недели появились сообщения о троянской программе, направленной на кражу электронного "бумажника", в котором хранятся монеты bitcoin у пользователей. Сразу начала появляться информация о постадавших: у одного пользователя украли "бумажник", в котором было 25 тысяч монет (около 430 тыс. долларов США по курсу на момент кражи), есть сведения о еще, как минимум, 10 пострадавших.
• Позже появилась информация о взломе одной из крупнейших bitcoin-бирж Mt.Gox (оборот около 130 млн. долларов США в день), позволяющая обменивать bitcoin на реальные деньги. В руки злоумышленников попали логины, хэши паролей и адреса электронной почты пользователей (подробности можно посмотреть на официальном форуме поддержки). Работа биржи была остановлена.
• Появились сведения, что инцидент мог произойти по вине аудитора, проводившего финансовую проверку биржи. На его компьютере была вредоносная программа, с помощью которой и была украдена база данных.
• В результате инцидента на бирже Mt.Gox были потеряны (или украдены) 500 тысяч монет (примерно 8,75 млн. долларов США). Это около 7,5% от общего количества существующих монет bitcoin (!). 
• Украденная база данных была размещена в открытом доступе. Пароли в ней были захэшированы с помощью алгоритма MD5, причем не для всех паролей использовалась "соль".
• Все это привело к резкому падению курса bitcoin c 17,5 долларов за монету, до 0,01 доллара.
• Администрация биржи приняла решение "откатить" все операции с bitcoin, произошедшие после взлома, и восстановить прежний курс монет.

• В открытом доступе появились материалы уголовного дела на хакера (доп.материалы: ссылка 1, ссылка 2, ссылка 3), проводившего DDoS-атаку на систему электронных платежей "Assist". В своем чистосердечном признании (1, 2, 3) хакер назвал имя заказчика DDoS-атаки - президента другой российской платежной системы ChronoPay Врублевского П.О. Есть сведения, что Врублевский уже арестован.

• Обнаружена троянская программа, копирующая внешний вид сертифицированного персонального межсетевого экрана "ФПСУ-IP/Клиент". Этот межсетевой экран используется, в частности, в составе системы ДБО "Клиент-Сбербанк".

• Взломан один из серверов крупного хостинг-провайдера JustHost, возникла угроза для более тысячи сайтов. Чуть ранее была произведена хакерская атака на другого хостинг-провайдера Distribute.IT, которая привела к безвозвратному уничтожению тысячи сайтов - злоумышленники не только стерли информаю с серверов, но и удалили хранившиеся на них (!) резервные копии данных и снапшоты.

• Неизвестные злоумышленники загрузили на WordPress.org несколько "обновленных" версий популярных плагинов, в которые был добавлен вредоносный код. Пока сведений о пострадавших пользователях нет, тем не менее администрация WordPress организовала срочную принудительную смену паролей всех пользователей.

• Хакеры все чаще охотятся за цифровыми сертификатами. На этот раз от взлома пострадал центр сертификации StartSSL, но хакерам не удалось достичь своей цели. Чуть ранее был взломан компьютер производителя ПО Blackbaud, что позволило злоумышленникам получить закрытые ключи, которые использовались для подписи ПО. Уже была обнаружена вредоносная программа, подписанная ключом Blackbaud.

• Взломана база данных клиентов компании Sega. Скомпрометированы данные 1,29 млн. клиентов: адреса электронной почты, даты рождения, хэши паролей.

• После небольшого перерыва продолжились взломы Sony. На этот раз был взломан французский сайт Sony Pictures.

• Облачный сервис Dropbox устроил день открытых дверей. В течение 4 часов любой мог получить доступ к файлам любого пользователя Dropbox. Для этого нужно было знать только логин (адрес электронной почты) пользователя, а в качестве пароля можно было указать любые символы. 

• Турецкие власти собираются привлекать к ответственности пользователей, зараженные компьютеры которых участвовали в DDoS-атаках на турецкие сайты. Меры наказания владельцев компьютеров пока не уточняются.