Дайджест ИБ за 11 - 24 июля 2011 года

На прошлой неделе устроил себе небольшой отпуск, поэтому не успел подготовить дайджест, извиняюсь ;-). В качестве компенсации, на этой неделе получился просто мегадайджест - за 2 недели появилось много интересных постов, документов, новостей!

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Второй выпуск подкаста Владимира Стырана Securit13. В этом подкасте Владимир затронул темы вредоносного кода, паролей, недавних патчей, а также некоторые новости.

• Пост Михаила Емельянникова "По дороге с облаками?". Михаил говорит о возросшей популярности облачных сервисов и обращает внимание на возникающие сложности, которые могут возникнуть при их использовании - например, потеря доступа в Интернет, нарушение со стороны провайдера, потеря данных. В подтверждение своих опасений, Михаил приводит ряд примеров реализации подобных угроз за последние 2 года. Основная проблема - при передаче своих данных или сервисов в облако, компания (или пользователь) теряет над ними контроль.

• Пост Алексея Лукацкого "Как идентифицировать активы?", в котором Алексей рассматривает вопросы идентификации и классификации информационных активов, приводит ссылки на документы, которые могут (или должны) быть использованы в этих процессах.

Лучшие посты из англоязычных блогов по ИБ

• Интересная статья Stephen Dubner (один из соавторов "Фрикономики") "Почему последнее время происходит так много взломов? Или об этом просто больше пишут? Кворум Фрикономики". Стивен организовал кворум, на который были приглашены эксперты по ИБ, и задал им этот вопрос. Мнения экспертов сильно разошлись, но каждого была довольно интересная точка зрения. Кстати, если принять во внимание статистику сайта datalossdb.org, то количество взломов в этом году действительно резко возросло - за полгода 2011 года уже произошло больше взломов, чем за весь прошлый год.

• Статья J.Oquendo "Я сертифицирован - вы защищены". Автор говорит о том, что сами сертификаты, такие как CISSP, CISA, CISM и т.п., не имеют ничего общего с реальной работой - вопросы в них рассмотрены либо слишком широко, либо, наоборот, слишком узко. Получение этих сертификатов не позволит провести тест на проникновение, настроить межсетевой экран или IPS. Для получения сертификата достаточно прочитать книгу, запомнить ее содержание и сдать тест (разумеется, само по себе это далеко не просто). Но это не заменит практического опыта. При этом существует большое количество опытных и грамотных специалистов, у которых нет никаких сертификатов. Однако, большинству компаний нужна вовсе не безопасность, им нужна уверенность, что они все делают правильно. А самый простой способ достичь этой уверенности - привлечь сертифицированного специалиста, полагая, что раз он сертифицирован, он все сделает правильно. Похожего мнения придерживается и Craig Wright.

• Пост Lenny Zeltser "3 причины, почему люди могут проигнорировать рекомендации по безопасности". С своем предыдущем посте Ленни указал на возможные причины игнорирования рекомендаций по безопасности, вызванные неправильной подачей самих рекомендаций. В этом посте он затронул возможные психологические причины: 1) это может потребовать от человека изменить свои убеждения (типичный пример - "я уверен, что моя сеть хорошо защищена", либо "вряд ли мой компьютер заинтересует хакеров"); 2) это может потребовать выполнения нежелательных (неприятных) действий (увеличение бюджета, пересмотр планов, обучение персонала); 3) это может вызвать неприятные эмоции, поставить человека в сложную ситуацию (например, "я не знаю, как защитить информацию", "я буду плохо выглядеть в глазах коллег", "нужно будет просить у руководства увеличить бюджет").

• Пост Michael Sartarcangelo "Отказ от ярлыка "пользователи" повышает эффективность безопасности". Майкл затрагивает вопрос отношения многих специалистов ИБ к остальным сотрудникам компании, которых они презрительно называют "пользователями", относясь к ним, как к идиотам. Это совсем не идет на пользу обеспечению ИБ, а, наоборот, создает ненужные проблемы, трения и непонимание. Ведь негативное отношение в большинстве случаев взаимно. Чтобы улучшить взаимодействие с сотрудниками компании и повысить эффективность безопасности нужно отказаться от этого ярлыка и относиться к ним, как к коллегам.

• Статья Christian Navarette "Неэтичный хакинг - Атаки без правил", в которой Кристиан говорит о различиях между проведением тестирования на проникновение и атакой реального злоумышленника. Нужно хорошо понимать эти различия, чтобы избежать ложного чувства безопасности.

• Пост Warren Axelrod «Хакеры стали слишком умными». Уоррен говорит об участившихся в последнее время взломах систем и крупных утечках информации и обращает внимание на смещение акцента в оправданиях компаний – обычным явлением стало, когда компания говорит, что нарушение произошло не из-за того, что у компании были определенные недостатки в обеспечении безопасности, а из-за того, что хакеры оказались слишком умными и целеустремленными. Компании заявляют, что они не ожидали такой атаки, поэтому не могли ее предотвратить. По мнению автора, проблема заключается вовсе не в возросших умениях хакеров, а в том, что за последнее время баланс между безопасностью и удобством использования слишком сильно сместился в сторону удобства.

Интересные статьи и заметки по менеджменту, коммуникациям

• Очень интересный видеодоклад Владимира Железняка на тему "Работа с чужими эмоциями. Как перестать тормозить и начать разгон?" с прошедшей недавно конференции для ИТ-менеджеров Стратоплан. С остальными докладами с конференции можно ознакомиться здесь.

 Законодательство

• Проект закона о внесении поправок в 152-ФЗ "О персональных данных" был одобрен Советом Федерации. Последнее слово за Президентом, который обязан сказать его в течение ближайших двух недель. О серьезнейших недостатках законопроекта уже высказалось большинство экспертов (Юрий Травкин, Михаил Емельянников, Алексей Лукацкий) и авторитетных изданий (Эксперт, Финмаркет). Хотя были и исключения. Позже подтянулись АРБ (справка), РСПП. Тем не менее все идет к тому, что закон будет подписан в нынешнем виде...

• Правительством утвержден план подготовки правовых актов в целях реализации ФЗ "Об электронной подписи". В соответствии с планом, в частности, до 31.08.2011 должны быть разработаны требования к квалифицированным сертификатам, требования к средствам ЭП, требования к средствам УЦ, порядок аккредитации УЦ. Более подробный обзор плана можно посмотреть в блоге Натальи Храмцовской.

• Подписан Федеральный закон №200-ФЗ от 11.07.2011 ""О внесении изменений в отдельные законодательные акты РФ в связи с принятием ФЗ "Об информации, информационных технологиях и о защите информации"". В отдельных законодательных актах уточнена (унифицирована) терминология, применяемая в отношении современных информационных технологий. Небольшой обзор изменений сделал Алексей Лукацкий.

Стандарты, руководства, лучшие практики, исследования

• Австралийское Управление радиотехнической обороны (DSD) опубликовало интересный документ - "Стратегии противодействия целевым компьютерным атакам" (на английском). В документе приведен топ-35 защитных мер, позволяющих компаниям успешно противостоять целевым атакам. Для каждой защитной меры указаны, в частности, затраты на реализацию и поддержку, уровень сопротивления пользователей. Примечательно, что самыми эффективными были признаны: установка патчей для операционных систем и приложений (в первую очередь MS Office, веб-браузеры, программы чтения PDF, Java, Flash Player), минимизация числа пользователей с административными привилегиями, использование "белых списков" программ. Также опубликован документ, более детально описывающий каждую из 35 защитных мер.

• Также DSD выпустило обновленное "Руководство по информационной безопасности" (на английском).

• SANS выпустил документ "Реагирование на угрозы нулевого дня" (на английском). В документе даются рекомендации по обеспечению готовности к угрозам нулевого дня, выявлению их реализации, проведению анализа и противодействию. В приложениях приведены практические примеры.

• Компания M86 Security опубликовала рекомендации по разработке эффективной Политики допустимого использования (AUP - Acceptable Use Policy) (на английском). 

• Troy Hunt провел исследование паролей, утекших за последнее время и опубликованных в открытых источниках. В результате он пришел к выводу, что подавляющее большинство паролей формируется на основе тех или иных шаблонов, схемы их "усложнения" довольно просты и предсказуемы, действительно случайные пароли используются крайне редко - менее 1% из выборки. По мнению Троя, единственным вариантом для обеспечения использования пользователями надежных паролей является автоматический запрет установки слабых паролей - то, что недавно сделал Hotmail.

• На SecurityTube опубликован бесплатный видеокурс по обеспечению безопасности и взлому беспроводных сетей (на английском). В курсе 48 тем, общая продолжительность - более 12 часов. Скачать его можно здесь (4,2GB).

• Исследование Symantec показало, что люди часто игнорируют интернет-угрозы, даже зная о них. Например, 80% респондентов знали, как определить, защищено ли их соединение с помощью SSL, но только 55% из них отказались от проведения операции, увидев, что соединение не защищено.

• Компания Avast провела исследование, в результате которого было выявлено, что 60% пользователей Adobe Reader используют устаревшие уязвимые версии программы. Следует отметить, что Adobe Reader является довольно популярной мишенью для хакеров. 

• Проведенное порталом Superjob исследование показало, что большинство (78% опрошенных) российских работников готовы уйти конкурентам. Это к вопросу защиты от утечек информации... 

• В результате проведенного исследования, компания NSS Labs сделала вывод, что самым безопасным браузером (с точки зрения защиты пользователя от посещения вредоносных сайтов) в настоящее время является MS Internet Explorer 9. Некоторые подробности можно посмотреть в блоге Владимира Безмалого.

Новости

• Александр Бондаренко подготовил перечень конференций по ИБ на осень 2011 года. 

• В АРСИБ начал работу Центр мониторинга актуальных угроз (CSIRT-RU). За ссылку спасибо Александру Бодрику.

• Обнаружен новый вариант социальной инженерии, направленный на хищение денег у пользователей онлайн-банкинга (на английском). После того, как клиент регистрируется в системе онлайн-банкинга, работающий на его компьютере троян показывает ему сообщение, якобы от банка, что на его счет была ошибочно зачислена некая сумма, поэтому его счет заблокирован и для разблокировки клиент должен перевести эту сумму "правильному" получателю. Далее клиенту отображается подделанная трояном страница его счета, на которой остаток увеличен на "ошибочную" сумму, после чего клиент, ничего не подозревая, самостоятельно переводит деньги злоумышленнику, вводя все необходимые для этого коды, пароли, ключи... 

• Осталось менее 1000 дней до официальной даты окончания поддержки ОС Windows XP. В апреле 2014 года будет полностью прекращена поддержка этой ОС, включая выпуск обновлений безопасности. При этом Windows XP по-прежнему остается самой популярной ОС - в настоящее время она установлена на каждом втором компьютере в мире. В корпоративном секторе ее популярность еще выше - она установлена на двух компьютерах из трех. Пора думать об апгрейде ;-) Кстати, выпуск обновлений для ОС Windows Vista SP1 уже прекращен.

• Microsoft выпустила обновления, устраняющие 22 уязвимости, среди которых критическая уязвимость в реализации Bluetooth. Компания Oracle также выпустила большой пакет обновлений для своих продуктов - в общей сложности он устраняет 78 уязвимостей.

• Google в поисковой выдаче начал предупреждать пользователей, если их компьютеры заражены вирусами. На данный момент предупреждены уже сотни тысяч пользователей.

• Число угроз для платформы Google Android растет устрашающими темпами. Исследователями были проанализированы 10 тысяч приложений для Android - оказалось, что 800 из них выполняли нежелательные для пользователя действия. Интересную заметку об изменении ландшафта мобильных угроз написал Ленни Зельцер (на английском). Недавно была обнаружена версия трояна ZeuS для Android. Троян предназначен для кражи одноразовых паролей, присылаемых пользователю посредством SMS-сообщений.

• Министерство внутренней безопасности США озаботилось угрозой внедрения программных и аппаратных "закладок" в поставляемые в США из других стран аппаратные компоненты, устройства и программное обеспечение. Эти "закладки" могут использоваться в дальнейшем для очень опасных кибератак и диверсий.

• Обнаружена XSS-уязвимость в Skype, которая позволяет несанкционированно изменить пароль пользователя. Также обнаружены критические уязвимости в Facebook и Google Picasa. Еще одна интересная уязвимость обнаружена в... аккумуляторах ноутбуков Apple - оказывается чип аккумулятора этих ноутбуков защищен от перепрошивки стандартными паролями, зная которые можно заменить прошивку на вредоносный код или вывести аккумулятор из строя (даже, вероятно, вызвать его взрыв).

• Под видом обновления для Java распространяется опасный троян, предназначенный для проведения DDoS-атак. 

• Вышел второй номер журнала Banking Security Magazine (на английском). Номер посвящен защите банковских онлайн-сервисов, мошенничеству в системах интернет-банкинга.

• Вышел новый номер журнала Club Hack Magazine (на английском). Номер посвящен Metasploit. 

• SANS выпустил очередной бюллетень Ouch! для повышения осведомленности пользователей по вопросам ИБ. Новый бюллетень посвящен вопросам шифрования (на английском).

• Компания Positive Technologies организует серию вебинаров в рамках образовательной программы "Практическая безопасность". Участие в вебинарах бесплатное.

Инциденты за 2 недели

• Произошла утечка исходных кодов поисковых механизмов Яндекс. Возбуждено уголовное дело.

• SMS-сообщения, которые абоненты Мегафон отправляли с официального сайта компании, попали в открытый доступ. Появилось несколько версий произошедшего, Мегафон и Яндекс обвиняют друг друга. Одна из версий - отсутствие robots.txt на сайте Мегафона в момент индексации (потенциальным подтверждением этого может быть сообщение о технических проблемах с сайтом Мегафона). Другая - использование пользователями Мегафона плагина Яндекс.Бар (спасибо за исследование Дмитрию Евтееву). Третья - использование на сайте Мегафона Яндекс.Метрики. Четвертая - что все вообще подстроено специально. Но самый главный вопрос - почему вообще эти сообщения хранились на сайте Мегафона, а не были сразу же удалены после отправки или подтверждения доставки?! Утечка получила достаточно большой резонанс. Объяснений от Мегафона потребовал Роскомнадзор. Обстоятельствами утечки заинтересовался Следственный комитет. А Союз потребителей подал судебный иск против Мегафона. Алексей Волков в своем блоге опубликовал анализ последствий инцидента с точки зрения законодательства. Кстати, примерно в то же время произошла утечка SMS-сообщений с пермского сайта бесплатной отправки сообщений prm.ru. Что интересно, похоже проиндексировал их опять только Яндекс.

• Хакеры обратили внимание на российские интернет-лотереи. Используя вредоносное программное обеспечение, они получили учетные данные тысяч пользователей интернет-лотерей, которые использовали для покупки большого количества лотерейных билетов. Полученные от выигрышей средства выводились через электронные платежные системы. Инцидент был своевременно обнаружен, а пострадавшим возвращены украденные средства.

• Из компании ESET утекла и была выложена в открытый доступ последняя версия интерактивного дизассемблера IDA Pro Advanced 6.1.

• Стажер московской фирмы Ingate, занимающейся продвижением сайтов, попался на попытке продажи коммерческой тайны конкурентам.

• Пентагон признал, что в марте этого года он пострадал от атаки хакеров, в результате которой были похищены около 24 000 файлов, связанных с национальной безопасностью США (здесь можно посмотреть некоторые подробности инцидента). А совсем недавно хакеры взломали сервер подрядчика Пентагона и украли адреса электронной почты более 90 тысяч американских военных.Также от действий хакеров пострадали и сервера НАТО, с которых был украден гигабайт секретных данных.

• Бразильский филиал банка Santander пострадал от действий злоумышленников, которым удалось "отравить" кэш DNS-сервера и перенаправить пользователей на поддельный сайт банка, внешне не отличимый от настоящего. Атака была направлена на хищение учетных данных клиентов банка.

• Выявлено 20 интернет-ресурсов, с которых распространялся "слегка доработанный" популярный бесплатный видеоплеер VLC - в него был добавлен код, показывающий рекламу и шпионящий за действиями пользователя.

• Были взломаны словенский сайт компании F-Secure, сайт Toshiba (украдены адреса электронной почты и и пароли пользователей), сайт EC-Council Academy, а также сайт издания The Sun (для взлома был использован старый сервер, уязвимый для XSS-атак, на котором работала старая версия газеты).