Дайджест ИБ за 6 - 12 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Видеозапись презентации Владимира Стырана с UISGv6 "Социальная инженерия для инженеров". Слайды презентации можно посмотреть здесь.

• Две презентации Алексея Лукацкого с Форума директоров по ИБ. 1) "Экономическая эффективность ИБ. Обоснование перед руководстовом", в которой Алексей рассматривает подходы к измерениям в области ИБ и приводит ряд практических примеров расчета. 2) "На что обратить внимание CISO в 2011-2012 годах? Прогнозы и тенденции", в которой Алексей касается изменений различных аспектов: бизнес-среда, ожидания сотрудников, изменение угроз, мобильность, "социальность", виртуализация, законодательство и иные требования. В конце презентации Алексей дает рекомендации руководителям подразделений ИБ по учету всех этих изменений в своей практике.

• Аудиозапись выступления Елены Волчинской на Форуме директоров по ИБ, в котором она рассказывала о текущей работе комитета ГД по безопасности. В частности, она подтвердила, что очередного переноса сроков законодательства по ПД не будет, и все поправки будут приняты в ближайшее время. В выступлении много интересной и важной информации, рекомендуется к прослушиванию. За сделанную запись спасибо Александру Бондаренко.

• Серия переведенных постов Марка Руссиновича "Анализируем вирус Stuxnet с помощью инструментов Sysinternals" (часть 1, часть 2, часть 3). Отличный мастер-класс по практическому использованию утилит Sysinternals.

• Перевод поста John Graham-Cumming, в котором автор предлагает интересный способ, позволяющий узнать о взломе вашего почтового ящика. Способ заключается в использовании специально подготовленного письма-приманки, в которой вложен PDF-файл, при открытии отправляющий уведомление хозяину. Этакий способ социальной инженерии против злоумышленников :-) За перевод спасибо Сергею Корнилову.

• Тарас Злонов подготовил рейтинг блогов рунета по тематике ИБ. А здесь можно посмотреть рейтинг англоязычных блогов по ИБ по версии Security Bloggers Network.

• Пост karkarramba "Что такое DNSSec и зачем". Автор кратко описывает основные принципы работы защищенной версии DNS - DNSSec.

• Пост Дмитрия Понкина “Как работает reCAPTCHA”. Дмитрий рассказывает о принципах работы reCAPTCHA, которая не только защищает веб-приложения от роботов, но и помогает Google оцифровывать тексты (!). Также Дмитрий опубликовал статью "В поисках идеальной CAPTCHA", в которой он рассматривает преимущества и недостатки капчи вообще и различных ее реализаций.

Лучшие посты из англоязычных блогов по ИБ

• Пост Rafal Los "Привет, CISO! Твой бюджет убивает тебя". Рафаль говорит о том, что руководители подразделений безопасности слишком много времени и усилий тратят на решение бюджетных вопросов, стараясь с каждым годом, как минимум, сохранить прошлогодний размер бюджета, а лучше - увеличить его. А потом они стараются исполнить этот бюджет и оправдать выделенные средства. Такой процесс, кроме всего прочего, недостаточно гибок, он не учитывает происходящих в компании изменений. По мнению Рафаля, хороший CISO может построить эффективную, бизнес-ориентированную безопасность, имея в бюджете только средства на оплату зарплаты своих сотрудников. Рафаль обещает в ближайшее время поделиться секретом, как это сделать :-)

• Презентация Joanna Rutkowska с конференции SSTIC "Размышления о безопасности клиентских систем", в которой Джоанна рассматривает три подхода к обеспечению безопасности систем конечных пользователей: традиционная реактивная безопасность (патчи, антивирусы, IDS и т.п.), безопасное программирование и безопасность посредством изоляции. Наиболее перспективным и практичным Джоанна считает последний подход - изоляцию. Он применяется, например, в таких продуктах, как Google Chrome, Qubes OS, XenClient. Далее Джоанна подробно рассказывает о преимуществах этого подхода и сложностях его реализации на примере операционной системы Qubes OS, разработанной ее компанией Invisible Things Lab.

• Злоумышленники начали использовать новый способ заманивания пользователей на вредоносные сайты или проведения атак - с помощью рекламных объявлений (malvertising). Злоумышленники используют рекламные сервисы, чтобы "повесить" свои рекламные объявления на популярных сайтах. Эти объявления выглядят совершенно обычно, однако содержат вредоносный код или ссылки на вредоносные сайты. Среди пострадавших уже есть ряд крупных сайтов с огромным количеством посетителей: например, сайт газеты Нью-Йорк Таймс и сайт Лондонской фондовой биржи. Lenny Zeltser опубликовал в своем блоге серию постов на эту тему: "Некоторые примеры вредоносных рекламных компаний", "Механика вредоносной рекламы", "Как размещаются вредоносные объявления", "Как обеспечивается защита вредоносных рекламных компаний", "Как бороться с вредоносной рекламой".

• Статья Brian Krebs о сервисах PPI ("платим за каждую установку") и их роли в распространении вредоносных программ. По мнению Брайана, именно такие сервисы являются основной движущей силой при распространении вредоносных программ. Здесь можно посмотреть перевод введения к этой статье.

• Пост Derek Manky "Фишинг 101", в котором Дерек кратко описывает различные виды фишинга и способы проведения фишинговых атак.

Интересные статьи и заметки по менеджменту, коммуникациям

• Видеодоклад Дмитрия Лысенко с конференции Стратоконф-1 "Качества менеджера: прошивка или драйвер". Дмитрий рассказывает о сложностях на пути становления руководителя и дает рекомендации, как сделать этот процесс осознанным, успешным и не очень болезненным. Другие доклады с этой конференции можно посмотреть здесь.

• Перевод поста Dan McCarthy "10 ошибок, которые должен допустить (и научиться на них) каждый руководитель в своей жизни". По мнению Дэна, такими ошибками являются: 1) Слишком долго тянуть с увольнением проблемного сотрудника; 2) Уделять слишком большое внимание диплому и опыту; 3) Не иметь видения; 4) Не сотрудничать с вышестоящим менеджером; 5) Слишком полагаться на уже имеющиеся способности и не уделять внимание развитию; 6) Не слушать; 7) Пытаться всем нравиться; 8) Не просить о помощи; 9) Игнорировать коллег; 10) Не искать или не быть доступным к обратной связи.

• Вышел новый номер бесплатного журнала о личной эффективности "Путь наверх". Номер посвящен эффективному планированию. В номере есть отличная статья Стива Павлины "Законченность против совершенства" - рекомендую.

Стандарты, руководства, лучшие практики, исследования

• Компания Infowatch выпустила отчет "Глобальное исследование утечек конфиденциальной информации 2010". Аналитическим центром Infowatch в 2010 году зафиксировано 794 утечки, общее количество утекших записей - около 654 млн. Соотношение случайных и намеренных утечек - примерно 60/40. Основными каналами утечки являются настольные компьютеры и серверы (25%), бумажные документы (20%), мобильные компьютеры и мобильные носители информации (19%). Обзор и презентацию отчета можно посмотреть здесь. Что касается России, то в 2010 году Infowatch зафиксировала 28 утечек конфиденциальных данных. Большая часть из них была умышленными утечками ПДн из банков и гос.структур. С этой оценкой не согласен Александр Токаренко, который привел список из 55 российских утечек за тот же период.

• Компания Leta опубликовала документ "Рекомендации по реагированию на инциденты информационной безопасности". Рекомендации весьма неоднозначные - почему-то инциденты ИБ в документе сводятся в основном к компьютерным преступлениям, а детализируются только в части инцидентов в системах дистанционного банковского обслуживания... Однако в части хищений через системы ДБО документ может быть полезен, хотя и тут есть спорные моменты, типа сбора доказательств преступления сотрудниками банка...

• По мнению аналитика Nemertes Research Джона Берка лишь 20% компаний, использующих технологии виртуализации, занимаются вопросами обеспечения их безопасности. Он считает, что основная проблема заключается в непонимании возможных недостатков безопасности виртуальных технологий ИТ-менеджерами, т.к. они "еще не сталкивались со взломом", а также в недостаточных навыках в этой области специалистов по безопасности.

• Роскомнадзор опубликовал отчет о своей деятельности в части защиты прав субъектов ПДн за 2010 год. Отмечается значительный рост собранных штрафов - 4,48 млн.руб. против 75 тыс.руб. за год до этого. Растет число обращений граждан - 1829 (годом ранее - 465) и число дел, переданных в прокуратуру - 506 (годом ранее - 86). Краткий обзор отчета подготовил Евгений Царев.

• Согласно отчета по результатам проведенного APWG исследования веб-уязвимостей (на английском), связка Linux + Apache + MySQL + PHP является наиболее опасным вариантом. Она использовалась на 76% из 270 исследованных сайтов, которые подверглись взлому за последние 18 месяцев. Краткий обзор отчета можно посмотреть здесь.

• По данным исследования Alexander Neumann и его коллег из Технического университета Ахена (на английском), сервисы укорачивания адресов (URL Shortening Services) несут в себе целый ряд угроз, среди которых перенаправление на вредоносные сайты, утечки информации, атаки на веб-сайты, обход требования "только SSL" и т.д.

• На этой неделе прошел "Всемирный день IPv6". В связи с этим событием Fortinet опубликовала несколько документов: "Сетевая безопасность в IP-сетях следующего поколения", "Практическое руководство по началу миграции на IPv6". Дополнительная информация по IPv6 размещена на специальной странице на сайте Fortinet (на английском).

• Результаты проведенного специалистами G Data анализа показывают, что браузеры и плагины для них являются сейчас основными методами заражения компьютера вредоносными программами.

• Онлайн-руководство по Metasploit - "Metasploit Unleashed" теперь доступно в формате PDF (на английском).

Новости

• В Москве прошел очередной Форум директоров по ИБ. Наиболее содержательно своими впечатлениями от мероприятия поделились Алексей Лукацкий и Евгений Царев.

• Управление "К" сообщает о росте количества случаев интернет-мошенничества. Большинство жалоб связано с непоставкой товара, заказанного и оплаченного в интернет-магазинах или социальных сетях. Управление "К" дает рекомендации, соблюдение которых позволит не попасться на крючок мошенников.

• RSA все-таки признала официально компрометацию токенов SecurID и готовится заменить все 40 миллионов проданных на данный момент токенов.

• Вышли новые номера журналов (IN)SECURE Magazine (главная тема: IPv6), The Hacker News (главная тема: взломы и утечки) и ClubHACK Magazine (главная тема: защита и взлом сетей Wi-Fi).

• Компания Cyveillance разработала первое в мире устройство SEPA (Social Engineering Protection Appliance), которое проводит интеллектуальный анализ сообщений электронной почты с целью выявления и блокировки попыток целевых фишинговых атак.

• Обнаружен еще один троян для Android, который может встраиваться в обычные приложения. Троян использует экслойт "rage against the cage", чтобы получить на устройстве права root и скрыть свое присутствие.

• Злоумышленники все чаще используют облака в своей деятельности. На этот раз облачные сервисы Amazon были использованы для распространения вредоносных программ, похищающих финансовые данные.

• Проводимое в США расследование недавних атак на Google Mail и Lockheed Martin находит все больше подтверждений "китайского следа". Однако Китай все отрицает и заявляет, что Google стал политической марионеткой, движимой желанием очернить КНР.

• Злоумышленники осваивают технологию голосового спама в системе интернет-телефонии Skype.

Инциденты за неделю

• Популярный сайт Bankir.ru подвергся очередному взлому и уже третий раз за последние 90 дней распространяет вредоносные программы.

• Через Skype в компьютеры пользователей без их разрешения автоматически было установлено приложение стороннего разработчика EasyBits. Администрация Skype говорит, что произошла ошибка...

• Система интернет-банкинга американского Citibank была взломана хакерами, скомпрометированы персональные данные и финансовая информация около 200 тысяч клиентов.

• И снова Sony. Хакеры скопировали исходные коды из сети разработчиков Sony Computer Entertainment Development Network и выложили их в открытый доступ. Взломана база данных португальского сайта Sony Music и российского сайта Sony Pictures. Итого за 3 месяца в Sony произошло уже 20 взломов... Специалисты считают, что на устранение проблем безопасности Sony потребуется не один год... Тем временем в Испании задержаны трое членов группы Anonymous, причастные к атакам на Sony Playstation Network. Также арестован один из членов хакерской группы LulzSec.

• Фишинговая атака на пользователей LinkedIn. Злоумышленники рассылают сообщение, очень похожее на настоящее пригласительное сообщение LinkedIn, но ссылки в нем ведут на вредоносный сайт, на котором размещены наборы эксплойтов.

• В Skype произошел еще один серьезный сбой. Проблемы в работе сервиса возникли во вторник и были полностью устранены только в пятницу.

• Хакеры атаковали базы данных МВФ. Последствия пока не известны, ведется внутреннее расследование.