Дайджест ИБ за 25 - 31 июля 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Сергей Борисов выделил из требований СТО БР ИББС-1.0 перечень ролей, которые необходимо определить и персонифицировать в банке и дал рекомендации по оформлению Паспорта ролей. 

• Александр (leviathan) сделал сравнительный обзор популярных менеджеров паролей. В его обзор вошли KeePass, eWallet, LastPass, 1Password и RoboForm.

Лучшие посты из англоязычных блогов по ИБ

• Anton Chuvakin принял решение о переходе в Gartner на позицию Директора по исследованиям, в связи с чем решил поделиться с общественностью большим количеством своих документов (ссылка 1, ссылка 2) и презентаций. В основном они посвящены системам сбора и анализа журналов регистрации событий, мониторингу, реагированию на инциденты и т.п.

• Пост Jack Daniel "Непонимание бизнеса специалистами ИБ". Джек высказывает свою точку зрения на взаимоотношения ИБ с бизнесом - он считает, что руководителю ИБ нужно понимать вовсе не бизнес компании, а, в первую очередь, мотивы, которые движут руководителями компании, принимающими решения. И мотивами этими обычно являются банальные жадность и страх. Если вы хотите улучшить безопасность компании, вам нужно знать, как она работает сейчас, а не как она должна работать. Вам нужно понять, чего хотят ключевые руководители компании и чего они опасаются. Увы, это может быть совсем не связано с бизнесом компании.

• Пост Martin Luther "Жизненный цикл продуктов ИБ", в котором Мартин говорит об отличиях в ЖЦ обычных программных продуктов и продуктов по ИБ. ЖЦ почти любой ИТ-системы, определенный в NIST SP 800-64, состоит из 5 этапов: 1) определение требований; 2) разработка/закупка; 3) внедрение; 4) эксплуатация, сопровождение; 5) выведение из эксплуатации. Для продуктов ИБ, по мнению Мартина, этот цикл чаще выглядит следующим образом: 1) Отрицание - специалисты ИБ игнорируют, что продукт работает не так, как ожидалось, и надеются заставить его работать как нужно; 2) Гнев - специалисты ИБ понимают, что некоторые заявления отдела маркетинга поставщика не совсем соответствуют действительности, после развертывания системы возникают серьезные проблемы, а специалисты поставщика только произносят красивые слова, но как решить возникшие проблемы - не знают; 3) Переговоры - руководство службы ИБ договаривается с аудиторами, чтобы получить одобрение на использование не всех функций внедренного продукта, и с собственным руководством, чтобы не быть уволенным; 4) Депрессия - специалисты по ИБ с грустью понимают, что теперь им придется поддерживать и эксплуатировать то "чудо", которое они внедрили; 5) Принятие - служба ИБ смиряется со своей судьбой, несмотря на оставшиеся сложности и проблемы, потрясения предыдущих этапов проходят и работа входит в нормальное русло.

• Статья Adam Ely "Как реагировать на DoS-атаки".  Адам дает рекомендации по выявлению DoS-атаки, минимизации ее влияния и последующему анализу инцидента.

• Пост Martin Rakhmanov "Встроенные средства аудита в современных СУБД", в котором Мартин сделал краткий обзор встроенных возможностей систем аудита наиболее популярных современных СУБД: MS SQL Server 2008 R2, Oracle Database 11g R2 и Sybase ASE 15.5.

Интересные статьи и заметки по менеджменту, коммуникациям

• На сайте Stratoplan.Ru опубликовано несколько полезных видеоуроков из серии "Инструменты для работы с людьми". Рекомендую обратить внимание на урок №6 "Оценка идей и людей", в нем речь идет о том, как оценить, чьи интересы может затронуть ваша идея (или проект/задача по ИБ), по каким признакам можно разделить заинтересованных людей и как с ними работать, чтобы достичь лучшего результата.

• Краткий перевод статьи доктора Роберта Чальдини "Как люди манипулируют другими", в которой автор рассматривает, как некоторые люди используют естественные человеческие реакции в своих целях. Чальдини выдвинул несколько основных принципов, показывающих, как часто нами могут манипулировать те, кто знает, как заставить нас делать то, что нам не выгодно.

Законодательство

• Подписан Федеральный закон от 25 июля 2011 г. №261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"". Чуда не произошло, закон был подписан в том виде, в котором он был ранее принят Гос.Думой и Советом Федерации. Пора начинать разбираться, что с этим делать дальше.
• Хотя, возможно, еще не все потеряно - авторы открытого письма Президенту взаимодействуют с Минкомсвязи по вопросам реализации уже принятых поправок в закон о персональных данных.
• В блогах коллег (Алексей Волков, Алексей Лукацкий, Евгений Царев) и форуме Bankir.Ru начались (продолжились) интересные и полезные обсуждения нового закона. 
• Для удобства анализа изменений в новом законе я сделал таблицу для сравнения новой и старой редакций 152-ФЗ.
• Руслан Пермяков поделился некоторыми мыслями в отношении применимости утвержденных ранее подзаконных актов. 

• Правительство одобрило законопроект об усилении уголовной ответственности за экстремизм. В частности, в закон планируется добавить пункт "об информационно-телекоммуникационных сетях общего пользования", на основе которого экстремистов начнут усиленно ловить в социальных сетях и блогах. Интересное обсуждение законопроекта началось на сайте Habrahabr.

• Минюст РФ зарегистрировал приказы ФСФР об утверждении перечня информации, относящейся к инсайдерской информации, порядка и сроков раскрытия такой информации. Их краткий обзор можно посмотреть здесь.

Стандарты, руководства, лучшие практики, исследования

• CERT опубликовал еще несколько "шпаргалок" по реагированию на различные инциденты ИБ: Выявление вредоносной программы на смартфоне, Социальная инженерия, Утечка информации, Внутреннее нарушение. Одна из выпущенных ранее "шпаргалок" - по реагированию на DDoS-атаки - была переведена на русский.

• Компания Imperva опубликовала отчет по исследованию атак на веб-приложения (на английском). В ходе исследования было проанализировано 10 млн. инцидентов, обнаруженных с декабря по май при мониторинге веб-трафика. Было установлено, что количество атак на веб-приложения за последнее время существенно возросло и достигло порядка 27 атак в час (в среднем). Краткое резюме по отчету на русском можно посмотреть здесь.

• Результаты исследования Lieberman Software показали, что 42% ИТ-сотрудников компаний имеют (или могут получить) неограниченный доступ к любым критичным документам компании, включая личные документы ген.директора. Причем в 39% случаев руководство этих компаний не знает о таком положении вещей. 78% ИТ-сотрудников признались, что они хоть завтра могут уйти из компании, прихватив с собой критичную для нее информацию.

• Алексей Лукацкий поделился результатами PEST-анализа российского рынка ИБ. В качестве наиболее существенных негативных факторов отмечены вопросы усиления гос.регулирования ИБ, роли ФСБ, а также непрозрачность "правил игры". В качестве существенного положительного фактора отмечено только возможное вступление в ВТО.

• По оценке экспертов Лаборатории Касперского, за последние 5 лет количество различных SMS-троянцев возросло в 150 раз и продолжает расти.

• Бесплатный видеокурс по использованию Metasploit и Armitage (на английском).

Новости

• Компания ИнфоТеКС подготовила первую редакцию проектов обновлений криптографических стандартов ГОСТ Р 34.10 и ГОСТ Р 34.11. Компания собирается привлечь к обсуждению проектов стандартов всех желающих. 

• Обнаруженная XSS-уязвимость на веб-сайте ICQ.

• Произошедший в марте взлом RSA уже обошелся ее материнской компании EMC в 66 млн. долларов США.

• Вышел новый номер журнала SECUREVIEW (на английском). В номере есть интересные статьи об атаке на RSA, Stuxnet и похищенных сертификатах, использованию Apple iOS в корпоративной среде.

• Пользователей Android атакует очередной троян, который ворует деньги с их счетов, подписывая их на различные платные сервисы.

Инциденты за неделю 

• Не успел разрешиться инцидент с попаданием в индекс и кэш Яндекса SMS-сообщений, отправленных пользователями с сайтов Мегафон и prm.ru, как новости с появлением в поисковых системах приватной информации стали поступать непрерывным потоком. Произошедшими инцидентами заинтересовались ФСБ и Роскомнадзор.
• в поисковой выдаче Яндекса нашлась информация о статусе заказов клиентов интернет-магазинов (включая секс-шопы) со всеми подробностями покупок и контактными данными. Часть вины за случившееся взяла на себя компания-разработчик ПО для интернет-магазинов WebAsyst. И опубликовала рекомендации, как исправить проблему. Другую часть вины взял на себя Яндекс - утечке поспособствовала Яндекс.Метрика.
• на сайте www.avarburo.spb.ru обнаружились данные клиентов РЕСО-Гарантия со всеми контактными данными, сведениями и фотографиями с мест ДТП.
• в поисковой выдаче Google и Яндекс обнаружились служебные документы российских государственных министерств и ведомств с грифами "ДСП" и "Секретно" (еще одна ссылка). Счетная палата и ФАС оперативно опровергли информацию о секретности этих документов.
• В кэш Яндекса попали бланки электронных билетов, а также персональные данные пассажиров - номера паспортов, ФИО и другие данные. Яндекс дал подробные рекомендации веб-мастерам, как избегать в дальнейшем подобных инцидентов.

• В Facebook распространяется новая вредоносная программа, привлекающая потенциальных жертв "интересным видео на YouTube". Однако вместо видео жертва получает опасный троян, который удаляет с компьютера антивирусную программу и заменяет ее на программу-пустышку, очень точно имитирующую интерфейс удаленного антивируса.

• Сайт LiveJournal снова пострадал от DDoS-атак, которые с переменным успехом продолжались почти всю неделю. Мощность атаки достигала 6-8 Гбит/с.

• Сайт Habrahabr.ru также пострадал от DDoS-атаки. Опубликованы некоторые подробности атаки, в т.ч. ее хронология и результаты применения средств очистки трафика.

• Взломан официальный сайт Высшей квалификационной коллегии судей России. А на два сайта томских гос.учреждений хакеры "внедрили" порнографические разделы.

• Китайские хакеры (предположительно) взломали южнокорейский интернет-портал Nate, и социальную сеть Cyworld. В результате атаки злоумышленники получили личные данные 35 миллионов пользователей. 

• Хакеры из группы Anonymous взломали сайт итальянской киберполиции и сеть подрядчика правительства США ManTech. В обоих случаях было похищено множество секретных документов, часть из которых была выложена в открытый доступ. Также, в открытый доступ были выложены персональные данные и пароли более 7000 американских полицейских, украденные с сайта одной из полицейских академий.

• Австралийская торговая сеть ALDI объявила об отзыве из продажи многофункциональных внешних жестких дисков Fission External 4-in-1. Причиной отзыва стало обнаружение на нескольких жестких дисках образца вируса Conficker.