Дайджест ИБ за 22 - 28 августа 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Два поста Михаила Емельянникова на тему нового закона "О персональных данных". Первый пост посвящен анализу изменений терминов и определений нового закона, а также вопросов рекомендуемого или обязательного выполнения отдельных пунктов закона. Второй пост посвящен позиции, которая начала складываться у операторов ПДн по вопросу технической защиты ПДн - если правовые и организационные вопросы воспринимаются операторами с пониманием и готовностью к решению, то вопросы технической защиты скорее полностью отвергаются.

• Пост Дениса Батранкова "11 основных задач КАЖДОЙ организации по повышению безопасности в 2011-2012 годах". Денис перевел рекомендации из Глобального отчета по безопасности Trustware: 1) оценить, снизить и отслеживать возможные атаки на клиентские приложения; 2) обучать персонал безопасному использованию социальных сетей; 3) разработать программу безопасности мобильных устройств; 4) внедрить многофакторную аутентификацию; 5) исключить передачу данных по сети в открытом виде; 6) обеспечивать дополнительную защиту веб-приложений до исправления найденных в них уязвимостей; 7) усовершенствовать работу групп реагирования на инциденты; 8) требовать ответственного отношения к безопасности от сторонних компаний; 9) внедрить контроль доступа к сети; 10) анализировать все события; 11) организовать корпоративную программу повышения осведомленности по безопасности для персонала компании. Кстати, сам отчет Trustware (на английском) достаточно интересен и заслуживает отдельного прочтения.

• Пост Алексея Лукацкого "Печенье и информационная безопасность". Алексей рассказывает о концепции DIKW (данные, информация, знания, мудрость) и на простом примере показывает разницу между элементами этой концепции. Концепция DIKW, в частности, хорошо объясняет те проблемы, с которыми многие сталкиваются при классификации информационных активов - в большинстве случаев мы оперируем понятием "данные", а классификации подлежит только "информация" и выше.

• Яндекс опубликовал статью "Распространение вредоносного кода через блоки партнерских программ". В ней специалисты Яндекса рассказывают о способах распространения вредоносного кода посредством рекламных баннеров и бирж трафика. Приводят соответствующую статистику и конкретные примеры.

• Антон Мальцев опубликовал статью "Основы биометрии", которая является продолжением ранее опубликованной статьи по биометрическим методам идентификации. В статье Антон рассказывает про основы построения любой биометрической системы. Акцент сделан на принципы работы и области действия биометрических систем.

Лучшие посты из англоязычных блогов по ИБ

• Пост Lenny Zeltser "Как разобраться в вопросах компьютерной криминалистики или реагирования на инциденты безопасности". Ленни обращает внимание на то, что многие работодатели принимают на работу только опытных специалистов в этой области и не готовы инвестировать в развитие навыков начинающих специалистов. Но что делать тем, кто пока не имеет необходимого опыта, но хочет работать в области компьютерной криминалистики или реагирования на инциденты безопасности? Ленни дает несколько советов по самостоятельному развитию навыков: 1) если вы работаете системным администратором, изучите шаги и инструменты, которые применяются при расследовании компьютерных инцидентов, применяйте их в своей практике; 2) если вы работаете сетевым администратором, изучите вопросы выявления сетевых вторжений, анализа трафика; 3) если вы работаете программистом, изучите ассемблер, инструменты дизассемблирования и отладки, используйте их для анализа программ; 4) если вы уже занимаетесь вопросами компьютерных расследований, расширьте диапазон используемых инструментов, проводите более глубокий анализ собранной информации.

• Пост Ben Tomhave "Минимальный набор требований ИБ, которые должны выполнять сотрудники". Бен приводит список требований ИБ, являющийся тем минимумом, который  в обязательном порядке должны выполнять все сотрудники компании. В список Бена вошли следующие требования: 1) использовать достаточно длинный пароль; 2) соблюдать разумную осторожность при использовании компьютера и сети Интернет; 3) никому не передавать конфиденциальную информацию (например, пароли, коммерческую тайну); 4) защищать физические устройства (такие как телефоны, ноутбуки); 5) сообщать об инцидентах, подозрительных действиях.

• Пост Alfonso Borreiro "4 этапа управления патчами", в котором Альфонсо дает рекомендации по организации в компании процесса управления обновлениями. Он разделяет его на 4 этапа: 1) Предварительный анализ - изучите аппаратные и программные активы компании и их роли, проанализируйте текущую организацию процесса установки патчей, проверьте, какие патчи уже установлены. 2) Оценка - определите источник информации о выходе новых патчей; после выхода патча изучите всю информацию о нем (в т.ч. о возможных проблемах), оцените его критичность и приоритетность установки; 3) Разрешение и тестирование - получите разрешение на развертывание патча (например, в рамках организованного в компании процесса управления изменениями) и организуйте его тестирование в специальной тестовой среде или на небольшой группе некритичных систем; 4) Развертывание - уведомите об установке патча пользователей и администраторам, предоставьте администраторам всю необходимую информацию; после развертывания патча контролируйте возможное возникновение проблем.

• Интересная презентация на тему "выгорания" специалистов по информационной безопасности. Авторы опросили 400 респондентов, большинство из которых уже многие годы работает в сфере ИБ. Вот некоторые из результатов опроса. 34% респондентов отметили, что работа в ИБ - это очень большой стресс, не испытывают стресса только 6%. Основными источниками стресса были названы - неудовлетворенность работой (55%), финансовые сложности (43%) и проблемы в семье (33%). При этом для подавляющего большинства респондентов работа в сфере ИБ имеет большую значимость, однако почти четверть из них подумывают о смене сферы деятельности. В качестве основных мотиваторов для работы именно в сфере ИБ были отмечены, в частности: возможности для решения проблем, возможность сделать мир более безопасным, хорошая оплата, интересная работа, постоянное обучение, инновации. В качестве основных демотиваторов: отношение руководства, эгоизм, снобизм, "звезды" среди сотрудников, небезопасные бизнес-решения.

Интересные статьи и заметки по менеджменту, коммуникациям

• На сайте Стратоплан.Ру опубликован бесплатный видеокурс Ивана Селиховкина "Практический PMBok за 5 дней". В качестве бонуса к курсу приложены шаблоны проектных документов.

Законодательство

• Роскомнадзор выпустил новый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Непонятно, зачем Роскомнадзор поторопился выпускать этот Приказ до выхода постановлений Правительства к новому 152-ФЗ. К тому же отдельные пункты Рекомендаций явно противоречат не только действующему законодательству, но и здравому смыслу. Свои комментарии на эту тему опубликовали Алексей Волков и Алексей Лукацкий.

• Опубликован проект административного регламента ФСБ по контролю за выполнением требований по защите персональных данных. Несмотря на то, что действующая редакция 152-ФЗ предусматривает контроль со стороны ФСБ только за гос.органами (п.8, ст.19), проект регламента предусматривает контроль в том числе и юр.лиц и индивидуальных предпринимателей. Краткий обзор документа подготовил Алексей Лукацкий.

• Опубликован проект закона, который вносит, в частности, дополнения в 149-ФЗ "Об информации, информационных технологиях и защите информации". В закон предлагается ввести понятия "юридически значимый документ" и "правовой режим электронного документа". Комментарии Натальи Храмцовской можно посмотреть здесь.

Стандарты, руководства, лучшие практики, исследования

• Перевел еще один документ CERT Societe Generale по обработке инцидентов, связанных с утечкой информации. В документе приведены рекомендации по выявлению фактов утечек информации, проведению расследования, а также по действиям, которые нужно предпринять для минимизации воздействия произошедшей утечки информации на компанию.

• Согласно докладу McAfee по угрозам за 2 квартал 2011 года, главными тенденциями в области ИБ являются: хактивизм, эволюция мобильных атак и совершенствование вредоносных программ.

• Ученые Национального университета Сингапура провели исследование, в результате которого было установлено, что посещение сайтов, не связанных с профессиональной деятельностью, во время перерывов на работе помогает сотрудникам восстанавливать силы и улучшает эффективность их труда. Поэтому они не рекомендуют закрывать популярные сайты на рабочих местах сотрудников.

Новости

• Обнаружена серьезная уязвимость Apache (+ дополнение), использование которой может позволить провести успешную DoS-атаку на веб-сервер даже с одного компьютера, без использования ботсети. Уязвимости подвержены версии 1.3 и 2.x. Скрипт, реализующий атаку, можно найти в свободном доступе. Разработчики активно работают над исправлением. UPD. Уязвимость устранена в версии 2.2.20. UPD2. Выпущена обновленная версия 2.2.21, в которой исправлено и дополнено предыдущее обновление.

• Последствия недавней утечки исходных кодов ZeuS не заставили себя долго ждать. Начали появляться первые модификации вредоносных программ, доработанные с использованием функционала ZeuS. Уже зафиксированы новые версии очень плодовитого червя Ramnit, снабженные функциями подмены содержимого веб-страниц в браузере пользователя. Появился новый троян IceIX, основанный на ZeuS, который создает управляемую по протоколу HTTP ботсеть. Возможно код ZeuS применялся и при создании нового банковского трояна для системы iBank 2 компании Бифит.

• Компания F-Secure опубликовала подробности о вредоносном файле, с которого началась недавняя атака на компанию RSA, и действиях внедренного в него вредоносного кода.

• Взломщика сайта футбольного клуба "Зенит" приговорили к штрафу в размере 100 тыс.руб.

• Обнаружен червь Morto, который проникает на компьютеры жертв через терминальные серверы. Он сканирует диапазоны адресов, отыскивая работающие порты RDP, подбирает пароль для входа, а затем копирует себя на подключенные к этому серверу компьютеры через расшаренные диски. UPD. Здесь можно посмотреть подробности об этом черве (на английском). UPD. Еще один анализ червя от Imperva (на английском).

• Обнаружены XSS-уязвимости на сайтах Яндекс и Bing.

• Зафиксированы случаи рассылки злоумышленниками сообщений электронной почты, содержащих вредоносный код, под видом автоматически отправляемых сообщений с отсканированными документами с копировального аппарата Xerox WorkCenter Pro.

Инциденты за неделю

• Был произведен взлом и дефейс сайта Следственного комитета по Ульяновской области. Вместе с ним были взломаны 8 других сайтов, находящихся на том же сервере.

• Также был произведен взлом и дефейс одного из поддоменов сайта Apple.

• Взломан французский сайт мобильного оператора и интернет-провайдера Orange. Украден исходный код сайта и база данных, которые были опубликованы в свободном доступе.