Дайджест ИБ за 12 - 18 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Статья toxa "Четвертая проблема пентестеров". Антон рассказывает о проблемах заказчиков и исполнителей, связанных с проведением тестов на проникновение, а также рассматривает вопросы разработки качественного отчета по результатам теста.

• Пост Алексея Лукацкого "Тема DLP вновь на подъеме?! Но готовы ли вы к ней?". Основной частью поста Алексея является перевод поста Стефана Марчевитца "9 причин, по которым вы не готовы к внедрению DLP", в котором приведены 9 вопросов, на которые нужно ответить себе перед планированием внедрения DLP: 1) вы провели оценку рисков (реальную)? 2) знаете ли вы все нормативные требования, которые относятся к вам? 3) знаете ли вы где хранятся данные компании? 4) каков масштаб проекта? 5) есть ли у вас план реагирования на утечки? 6) ваши политики, руководства, планы готовы к DLP? 7) вы классифицировали ваши данные? 8) ваш бюджет учитывает все затраты на внедрение и последующую эксплуатацию DLP? 9) вы готовы управлять программой DLP в рамках цикла PDCA? Внедрение DLP - сложный проект, и если вы не готовы к нему, лучше потратить деньги на что-то еще.

Лучшие посты из англоязычных блогов по ИБ

• Пост Dejan Kosutic "Как подготовиться к сертификационному аудиту по ISO 27001". Вы ошибаетесь, если думаете, что для получения сертификата по ISO 27001 достаточно написать гору документов по ИБ. Во-первых, ваша документация должна соответствовать ISO 27001. Во-вторых, она должна быть реально внедрена в работу и все ваши действия должны выполняться в соответствии с этими документами и ISO 27001. Но и это еще не все. После разработки и внедрения документов, вам нужно организовать внутренний аудит, анализ СМИБ руководством, а также выполнение корректирующих действий (для устранения выявленных аудитом и руководством недостатков) и превентивных мер (чтобы предотвращать проблемы до того, как они возникнут). Хотя эти шаги выглядят сложными и дорогостоящими, поверьте - они принесут реальную пользу и вы сможете значительно повысить уровень ИБ компании.

• Пост Douglas Davidson "В современном мире информационные активы компании находятся во многих местах... Все ли вы их знаете?". Дуглас говорит о том, что деятельность по обеспечению ИБ в компаниях часто направлена на защиту данных в сети компании, а также в принадлежащих компании ноутбуках и смартфонах. Но в современном мире этого становится недостаточно. Сотрудники компании могут использовать собственные мобильные устройства для работы с данными компании (кстати, согласно результатам исследования DELL Kace, это уже происходит в подавляющем большинстве американских компаний), отправлять рабочие документы на собственные адреса электронной почты, брать с собой бумажные документы для работы дома, сотрудники могут использовать облачные сервисы для хранения и синхронизации информации (типа Dropbox). Кроме того, информация компании "оседает" у ее партнеров и контрагентов...

• Пост Idan Aharoni "Мошенники используют сайты банков против них же самих", в котором автор рассказывает о новом методе, используемом злоумышленниками для проверки краденых данных банковских карт, перед их использованием. Метод очень прост и эффективен. Некоторые онлайн-сервисы на банковских сайтах для аутентификации пользователя требуют ввода полного номера карты (а иногда и иных данных карты). Злоумышленники разрабатывают специальные скрипты, которые проходят по имеющейся у них базе данных краденых карт и определяют, какие из карт являются действительными. При правильной организации, эта методика позволяет проверять большое количество карт без риска "засветить" их раньше времени.

Интересные статьи и заметки по менеджменту, коммуникациям

• Статья Никиты Непряхина "Как правильно реагировать на вопросы из зала во время бизнес-презентации", в которой автор рассказывает о правилах, которые позволят грамотно ответить на любые вопросы из зала.

• Статья Ириды Тюнник "Как заставить сотрудника хотеть работать". Интересная статья на тему нематериальной мотивации подчиненных сотрудников.

Законодательство

• Опубликован проект приказа Минкомсвязи "Об аккредитации удостоверяющих центров", который утверждает правила аккредитации УЦ и порядок проверки соблюдения аккредитованными УЦ требований, на соответствие которым они были аккредитованы. За ссылку спасибо Александру Токаренко.

Стандарты, руководства, лучшие практики, исследования

• SANS опубликовал документ "DoS-атаки и технологии снижения их воздействия, которые можно быстро внедрить" (на английском). В документе рассмотрены различные виды DoS-атак, методики их выявления и оценки с помощью различных инструментов, а также способы быстрого снижения их воздействия подручными средствами. 

• SANS выпустил очередной бюллетень Ouch! для повышения осведомленности пользователей по вопросам ИБ. Новый бюллетень посвящен вопросам безопасности при использовании социальных сетей (на английском).

• Опубликовано интересное исследование разницы в уровне терпимости к риску в разных странах и культурах (на английском). Оказывается, уровень терпимости к риску достаточно высок в странах с низким уровнем доходов (т.е. и в России тоже). Высокий уровень означает нетерпимость и желание снизить риски или переложить их на кого-то. В странах с высоким уровнем доходов, в странах с преимущественно индивидуалистичным стилем жизни, в странах, в которых граждане живут в определенной гармонии с собой и окружащим миром уровень терпимости низкий, а значит граждане более доверчивы, чем, собственно, и пользуются многие мошенники. За краткий перевод результатов исследования спасибо Алексею Лукацкому.

• Данные глобального исследования Cisco показывают, что киберпреступники переходят от количества к качеству: от массовых рассылок спама - к более целенаправленным атакам, которые ведут к гораздо большему ущербу.

• Компания Microsoft опубликовала подробную информацию о черве Morto (на английском) - симптомы заражения, технические подробности в части распространения и установки в систему, а также рекомендации по предотвращению заражения и восстановлению системы.

Новости

• Взломанный недавно голландский центр сертификации DigiNotar лишен аккредитации для выпуска "квалифицированных" сертификатов, которые используются для создания цифровых подписей.

• Похоже США подумывает о возможности воспользоваться передовым российским опытом в области защиты персональных данных ;-). После многочисленных утечек, произошедших в этом году, в результате которых были скомпрометированы данные сотен миллионов людей, сенатор Ричард Блюменталь представил новый законопроект, направленный на защиту от утечек ПДн. Законопроект устанавливает обязательные требования для компаний, нарушение которых ведет к значительным штрафам. По всей видимости, одних только санкций за утечки информации уже становится недостаточно...

• Обнаружена уязвимость, которой подвержены все версии Microsoft Windows. При открытии пользователем файла в формате TXT, RTF, DOC из сетевой папки, на его системе с его правами может быть выполнен произвольный код из DLL-библиотеки, размещенной в той же папке. Более подробно об уязвимости можно посмотреть здесь. Соответствующий патч уже готов.

• Oracle опубликовала информацию об опасной уязвимости в Apache HTTPD, на базе которого работают продукты Oracle HTTP Server. Уязвимость позволяет нарушить доступность системы. Соответствующий патч уже готов.

• Обнаружены две уязвимости в phpMyAdmin, которые позволяют выполнить произвольный скрипт. Уже выпущено соответствующее обновление.

• Microsoft и Adobe выпустили пакеты обновлений для своих продуктов. С более детальной информацией можно ознакомиться здесь: Microsoft, Adobe).

• Специалисты Acunetix обнаружили XSS-уязвимости на 20 популярных веб-сайтах, в т.ч. сайтах Гарварда, The Telegraph, McDonalds и т.д.

• Компания Leo Impact Security разработала многоядерный облачный антивирус Balaji Plus Cloud Antivirus, который для работы использует 32 антивирусных "движка" практически всех основных производителей антивирусного ПО. Антивирус распространяется бесплатно. Кроме того, доступен онлайн-сканер.

• Компания McAfee совместно с Intel разработала технологию DeepSAFE, которая позволяет обеспечить низкоуровневую защиту от вредоносного программного обеспечения (в т.ч. руткитов). Механизмы защиты работают ниже уровня операционной системы, что позволяет им независимо контролировать процессы, содержимое памяти и т.п. Готовый продукт на базе новой технологии ожидается уже в этом году. Однако злоумышленники не отстают - китайский производитель антивирусного ПО обнаружил новый троян, который внедряется в BIOS.

• Растет количество угроз для мобильных устройств на базе Android. Недавно появилась новая версия банковского трояна SpyEye специально для Android. Растут Android-ботнеты.

Инциденты за неделю

• Злоумышленники взломали сайты BitTorrent и µTorrent и заменили дистрибутивы популярных торрент-клиентов на фальшивый антивирус Security Shield.

• Взломаны сотни сайтов, размещенных на серверах GoDaddy. Во всех случаях злоумышленниками был изменен файл .htaccess, в который были добавлены команды для переадресации посетителей на вредоносный сайт. Некоторые подробности можно посмотреть здесь.

• Крупнейший швейцарский банк UBS понес ущерб в размере 2,3 млрд. долларов США из-за несанкционированных действий своего трейдера. Это привело к падению акций UBS на 11%. Подробности инцидента пока не известны, но компания Imperva полагает, что он стал следствием излишних прав доступа у сотрудников UBS и отсутствием надлежащего контроля за их действиями. UPD. Глава банка ушел в отставку.

• Существует вероятность, что хакерам удалось получить несанкционированный доступ к базам данных процессинговой компании Samsung Card Co., в результате чего были скомпрометированы данные 800 тысяч южнокорейских держателей карт.

• Злоумышленники "отравили" кэш поисковых систем Bing и Yahoo!, в результате чего результаты их выдачи по запросам на загрузку популярных утилит (Firefox, Skype, uTorrent, Adobe Player) вели на вредоносные страницы. UPD. Продолжение. UPD2. И еще.