Дайджест ИБ за 30 мая - 5 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Интервью Евгения Климова еженедельнику PC Week/RE об опыте организации защиты информации в крупных российских компаниях.

• Два поста Владимира Безмалого по теме хранимых паролей "Хранимые пароли увеличивают риски мобильных устройств" и "Вы храните пароли в кэше браузера? Тогда мы идем к вам!".

• Александр Андрейко опубликовал весьма интересный пример фишинга "Вконтакте". А здесь можно посмотреть примеры фишинга в Facebook, еще Facebook, PayPal, Twitter и LinkedIn (на английском). Современные злоумышленники работают очень профессионально. Даже специалисты по ИБ не всегда могут отличить "подделку"...

Лучшие посты из англоязычных блогов по ИБ

• Пост Rafal Los "Проблемы безопасности, безрадостные перспективы и надежда", в которой Рафаль говорит о странностях отрасли ИБ. Специалисты по ИБ уже более десятилетия работают, не покладая рук, для защиты различных информационных активов. И что в результате? Много ли вещей стали реально лучше за это время (учитывая уровни угроз тогда и сейчас)? Производители решений по ИБ, консультанты, проекты по ИБ... А может ли кто-нибудь хотя бы просто оценить истинный уровень безопасности компании? По мнению Рафаля, ситуация с ИБ во многом напоминает "холодную" войну, в которой не может быть победителя, и выигрывают от которой только производители различных средств нападения и защиты. ИБ движется по нисходящей спирали: бизнес не видит реальной ценности ИБ, поэтому не расходует больших средств на персонал и проекты по ИБ, не уделяет достаточного внимания управлению рисками ИБ; рано или поздно происходит существенный инцидент безопасности, на устранение которого компания тратит огромные средства; бизнес спрашивает - почему же ИБ компании не смогла этого предотвратить?! это еще больше снижает ценность ИБ в глазах бизнеса... и начинается следующий виток этой спирали. Однако Рафаль считает, что надежда еще есть. Чтобы выйти из этой спирали, специалисты по ИБ должны пересмотреть свои взгляды и защищать компанию не от отдельных (в основном технических) недостатков ИБ, которые специалисты по ИБ считают важными, а вместе с бизнесом стоить защиту бизнес-целей и корпоративных активов компании.

• Пост "Брайан Сноу об информационной безопасности во враждебной среде", автор рассматривает три подхода к обеспечению безопасности: 1) традиционный подход на основе вероятностной оценки рисков, который хорошо работает в невраждебной среде при наличии большого объема статистической информации; 2) проектирование с учетом безопасности, при котором система создается с таким расчетом, чтобы злоумышленникам было невыгодно атаковать ее; 3) практическая безопасность - наличие собственной команды, которая будет производить атаки на систему, начиная с этапа ее проектирования, а выявленные недостатки будут сразу устраняться. Автор указывает на недостатки и преимущества каждого из подходов.

• Пост Brian Krebs "Объявление: требуются программисты для разработки вредоносных программ!". Брайан длительное время провел на различных хакерских форумах и собрал немало информации о работе компьютерных злоумышленников. Компьютерная преступность вышла на уровень проведения исследований, инвестирования средств в проекты, постоянного трудоустройства высококвалифицированных программистов. В частности, Брайан нашел массу объявлений о приеме на работу программистов (что примечательно - все объявления на русском языке).

• Пост "Правильный показатель уровня риска", в котором автор касается проблемы завышенной оценки уровня рисков. Очень сложно обрабатывать результаты оценки рисков, если большинство выявленных рисков имеют "критический" или "высокий" уровень. Автор дает рекомендации по классификации уровня рисков, которая позволит получить более адекватные результаты.

• Статья Deb Shinder "Реальное расследование компьютерного преступления. Совсем не так, как показывают по телевизору", в которой Деб рассматривает основные этапы расследования компьютерного преступления. На похожую тему - интересный пост Chief Monkey (часть 1 и часть 2), в котором автор рассматривает пример APT-атаки - как она была обнаружена, как проводилось расследование и какие выводы были сделаны.

• Пост Jarrod Loidl "Карьера руководителя или технического специалиста?". Джеррод говорит о том, что многие люди стремятся занять руководящие должности, хотя очень немногие из них являются настоящими лидерами и умеют управлять людьми. 

• Презентация Dr. Stefan Frei "Исправление фундаментальных проблем безопасности конечных точек: управление уязвимостями, когда защита периметра скомпрометирована".

• Пост Mila Parkour "6 вариантов попадания критичных данных компании в личные ящики электронной почты ее сотрудников". Сотрудники, чтобы упростить себе жизнь и поработать с документами компании вне офиса или с мобильного устройства, нередко пересылают документы из корпоративного почтового ящика в свой личный. В своем посте Мила указывает 6 наиболее распространенных ситуаций.

Интересные статьи и заметки по менеджменту, коммуникациям

• 8 способов гарантировано завалить проект: не общаться с заказчиком по мере выполнения работ; не фиксировать требования вначале проекта; планировать проект в одиночку (вдвоем, втроем); не отслеживать своевременность выполнения работ; работать с рисками в одиночку или вообще их не учитывать; пренебрегать конфликтами или жестко их пресекать; проводить сдачу работ «методом большого взрыва»; делать работу «по уму», забив на контракт без согласования с заказчиком.

Законодательство

• Появились некоторые новости по теме персональных данных. Президент дал указание ускорить приведение законодательства по ПДн Евроконвенции и устранить необоснованные обременения операторов. Срок - 1 августа 2011 г. При этом срок вступления в полную силу 152-ФЗ переносить, по всей видимости, не предполагается, этот срок остается прежним - 1 июля 2011 г. За новость спасибо Евгению Цареву.

Стандарты, руководства, лучшие практики, исследования

• Вышел новый номер журнала Hakin9 (на английском), посвященный проблемам управления доступом. К сожалению, начиная с прошлого номера журнал является платным, но есть сокращенная бесплатная версия.

• Лаборатория Касперского опубликовала отчет о развитии информационных угроз в 1 квартале 2011 года. Здесь можно посмотреть аналогичный отчет от McAfee (на английском).

• Опубликован OWASP Топ-10 мобильных рисков для iOS.

• Вадим Стеркин провел сравнительное тестирование браузеров на предмет блокировки загрузки вредоносных программ. С большим отрывом победил браузер Microsoft Internet Explorer 9, использующий технологию SmartScreen.

• Компания Sophos опубликовала краткое руководство по обеспечению безопасности учетной записи Google Mail (на английском).

• В честь "Дня защиты детей" Panda и Eset опубликовали рекомендации по защите детей от интернет-угроз.

Новости

• Взломан протокол Skype. Ефиму Бушманову удалось выполнить "обратный инжиниринг" протокола Skype. Он выложил в общий доступ результаты своих исследований.

• Похоже для MacOS вредоносный код становится серьезной и вполне реальной угрозой. Злоумышленники выпускают новые вредоносные программы уже через несколько часов после выпуска Apple патчей, удаляющих предыдущие. Почти все антивирусные компании выпустили свои антивирусные решения для Mac (Kaspersky, Dr.Web, Symantec, McAfee, Sophos, BitDefender, Panda, F-Secure, Avast).

• Выпущена утилита FaceNiff для устройств Android, которая прослушивает сеть Wi-Fi (даже если в ней применяются технологии WEP, WPA или WPA2) и перехватывает передаваемые сеансовые куки, когда кто-то в той же сети подключается к Twitter, Facebook, YouTube или Nasza-Klasa. Перехваченный куки может использоваться для доступа к сервису от имени пользователя. Здесь можно посмотреть видео-пример использования этой утилиты.

• Adobe выпустила обновление для закрытия критической уязвимости в Flash Player.

• Лаборатория Касперского запустила промо-компанию, которая предлагает всем получить 3 месяца бесплатного использования Kaspersky Internet Security 2011.

• Оказывается, что 95% транзакций по оплате спам-рассылок осуществляется всего через 3 банка.

Инциденты за неделю

• Ошибочная классификация документа в компании Allied Telesis привела к тому, что в публичный доступ попал документ, в котором описано, как активировать учетную запись бэкдора в выпущенных компанией коммутаторах.

• Ряд пользователей Google Mail, среди которых высокопоставленные чиновники и политические активисты, подверглись целевой фишинговой атаке. Атака была направлена на получение личных сведений и почтовых сообщений. По данным Google источник атаки был в Китае, хотя власти Китая заявляют о своей непричастности. Некоторые подробности атаки можно посмотреть в посте Брайана Кребса. У компании Trend Micro есть информация, что такой же атаке подверглись пользователи Yahoo Mail и Hotmail.

• И снова взломы Sony... На этот раз хакеры взломали серверы Sony Pictures и похитили персональные данные миллиона пользователей. Задефейсили бразильский сайт Sony Music. Взломали базу данных магазина приложений Sony Europe. Sony и Epsilon (которую тоже взломали ранее) были вызваны для объяснений в Конгресс. Здесь можно посмотреть хронологию взломов Sony.

• Произошел ряд взломов в других крупных компаниях, почти везде были похищены большие объемы персональных данных клиентов. Были взломаны: Acer, Honda, Nintendo, PBS. 

• Пострадал также ряд правительственных организаций. FDIC (Федеральная корпорация страхования банковских вкладов (США)) стала жертвой фишинга. Из двух канадских правительственных агентств похищена классифицированная информация.

• Продолжились взломы американских компаний - крупнейших поставщиков американских военных ведомств. После взлома сети Lockheed Martin, хакеры взломали сети L-3 Communications и Northrop Grumman Corp. По всей видимости, хакерам удалось клонировать токены SecurID, используя информацию, полученную в результате недавнего взлома RSA. Официальные лица пока отказываются от комментариев, но заявляют, что хакеры не смогли получить доступ ни к какой важной информации. Вашингтон может объявить это военными действиями, что может привести к силовому ответу. В атаках подозревают Китай.

• На Google Android Market снова обнаружены вредоносные программы, которые воровали пользовательские данные. Приложения успели скачать около 120 тыс. пользователей.