Дайджест ИБ за 19 - 25 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Александр Бондаренко поделился интересной информацией с прошедшей недавно конференции АИЖК. На конференции представитель ФСТЭК Куц А.В. рассказал о планах подготовки подзаконных актов к новой версии закона "О персональных данных". Постановления Правительства в отношении уровней защищенности и требований по защите ПДн можно ожидать только во 2 квартале 2012 года (!), а документы ФСТЭК, детализирующие требования этих постановлений, появятся не раньше конца 2012 года. Причем главным во всей этой работе будет ФСБ. На вопрос как быть сейчас, Куц А.В. предложил исполнять существующие постановления и методические документы, несмотря на то, что они противоречат действующему федеральному закону... Зато в ноябре должна выйти обновленная версия Стандарта СТО БР ИББС.

• Пост Алексея Лукацкого "Немного о политике ИБ". Алексей добавил несколько важных моментов к вопросам разработки Политики ИБ, затронутых недавно Ригелем и Русланом Пермяковым. 1) Политика должна отвечать на вопрос пользователя: "Почему это так важно для меня?"; 2) Политика должна учитывать способы взаимодействия (не обязательно формализованные) внутри компании и за ее пределами; 3) Необходимо регулярно пересматривать Политику для учета в ней происходящих изменений; 4) Используйте авторитетных лиц в компании - пусть они участвуют в продвижении Политики в массы; 5) Применяйте маркетинговые приемы для распространения и внедрения нужных вам идей.

• Пост Дмитрия Евтеева "Безопасность внешних веб-приложений". Дмитрий рассказывает о проблемах безопасности современных веб-приложений, делится своим опытом в части проведения тестов на проникновение и дает рекомендации по защите веб-приложений.

• Статья Юрия Гольцева “Облачные вычисления на службе у пентестера”. Юрий рассказывает о возможностях использования сервиса IaaS для выполнения таких задач, как обман IPS при удаленном сканировании портов, распределенный перебор паролей, DoS-атака, сканирование сетевого периметра, автоматизированный поиск уязвимостей. Облачные технологии предоставили доступ к огромным вычислительным возможностям не только законопослушным пользователям, но и злоумышленникам. И панацеи от этого не существует. Однако, зная возможные векторы “облачных” атак, можно защитить свои информационные ресурсы от возможных инцидентов.

Лучшие посты из англоязычных блогов по ИБ

• Пост Ben Tomhave "Потеря баланса", в котором Бен размышляет о балансе между правилами безопасности и потребностями человека в свободе принятия решений (или иллюзии свободы). С одной стороны люди хотят чувствовать себя в безопасности. Они хотят сосредоточиться на своей жизни и своей работе, не беспокоясь и не думая о безопасности. Ради этого они готовы следовать некоторым простым правилам, но до определенного предела и только пока им это не мешает. Как только правил становится слишком много и они начинают мешать людям, ограничивая их свободу выбора, люди начинают активно сопротивляться таким правилам. По мнению Бена, для обеспечения безопасности крайне важно найти нужный баланс между правилами и свободой выбора для людей. Кстати, выводы Бена отчасти подтверждаются результатами недавнего исследования компании Webroot.

• Пост Greg Hoglund "APT - суровая правда". Грег рассказывает об эволюции киберугроз в период с 2000 по 2011 годы. Он выделяет три основных типа киберугроз: организованная киберпреступность, хулиганы и кибертеррористы, шпионаж и APT. Эти угрозы появились еще в начале 2000-х, но сейчас они значительно усилились и переплелись. Современные киберпреступники в большинстве случаев имеют финансовые или политические мотивы, доходы от организованной киберпреступности уже превышают доходы от торговли наркотиками...

• Lenny Zeltser опубликовал свой топ англоязычных блоггеров по ИБ и подборку статей за 2010-2011 годы.

• Пост Dr. Luke O'Connor, в котором автор приводит две ссылки на интересные презентации по вопросам управления криптографическими ключами. Автор первой презентации - Anthony Stieber - рассказывает о современных проблемах управления ключами в компаниях. А автор второй презентации - Chris Kostick - приводит модель зрелости корпоративного управления ключами и описывает жизненный цикл управления ключами.

Интересные статьи и заметки по менеджменту, коммуникациям

• Елена Ребец привела интересную выдержку из статьи Роберта Дж. Штернберга (профессор Йельского университета) - "Самые живучие мифы менеджмента": Миф 1: Мы владеем ситуацией; Миф 2: Мы знаем, куда идем; Миф 3: Мы знаем, что нужно делать. Ради здоровья бизнеса следует поддерживать три названных мифа. Сказать акционерам, что менеджмент не владеет ситуацией, не знает, куда идет и что нужно делать, - никому на пользу не пойдет. Люди предпочитают чувствовать себя в безопасности. Реальная же опасность возникает, когда менеджмент сам начинает верить в собственные мифы. На мой взгляд, очень актуально для менеджмента ИБ ;-)

• Пост Олега Кулагина "Еще раз о целях". Олег кратко описывает две взаимодополняющих методики постановки целей: SMART (цели должны быть: конкретными, измеримыми, согласованными, реалистичными, ограниченными по времени) и VIP (цели должны соответствовать ценностям и видению компании, они должны быть вдохновляющими, а также должны быть согласованы с оперативными и стратегическими планами компании). Будет совсем не лишним использовать эти методики при подготовке проектов по ИБ.

• Пост Романа Цованяна "Анализ заинтересованных сторон". В любом серьезном проекте есть заинтересованные стороны - это подразделения, люди или целые организации, интересы которых затрагиваются выполнением, либо результатами проекта. Для проектов по ИБ это очень актуально ;-). В своем посте Роман дает рекомендации по идентификации заинтересованных сторон, определению степени их важности и влияния, выбору стратегии и тактики для взаимодействия с каждой из них.

• Пост Никиты Галкина "Как просто объяснить сложное". Тоже очень актуальная тема для многих специалистов по ИБ. Никита привел несколько основных моментов, которые позволят донести до собеседника нужную информацию: используйте образы, проводите аналогии, говорите на понятном собеседнику языке, рисуйте, задавайте уточняющие вопросы.

Законодательство

• Опубликован проект ФЗ о внесении изменений в Гражданский кодекс и другие законодательные акты. В частности, вносятся интересные изменения в ФЗ №98 от 29.07.2004 "О коммерческой тайне", касающиеся возмещения убытков в случае разглашения информации, составляющей коммерческую тайну.

• Опубликован проект документа о внесении изменений в административный регламент ФСТЭК по исполнению государственной функции по лицензированию деятельности по ТЗКИ. За ссылку спасибо Алексею Лукацкому.

• Опубликован документ "Перечень образовательных учреждений, реализующих дополнительные профессиональные образовательные программы в области ИБ, согласованные с ФСТЭК". За ссылку спасибо Сергею Ерохину.

Стандарты, руководства, лучшие практики, исследования

• NIST опубликовал проект обновленной версии документа SP800-30 Rev.1 "Руководство по проведению оценки рисков" (на английском). Документ был существенно расширен, в него добавлен ряд приложений, содержащих классификации таких факторов, как источники угроз, угрозы, уязвимости, воздействие, вероятность реализации и т.д.

• PCI SSC выпустил новый документ "Шифрование точка-точка" (на английском). Документ содержит требования к организациям, которые применяют шифрование "точка-точка" для выполнения требований PCI DSS. Краткий обзор документа на русском можно посмотреть здесь.

• Компания Imperva опубликовала результаты исследования "Анатомия атак с использованием SQL-инъекций" (на английском). SQL-инъекции являются самой разрушительной уязвимостью в истории компьютеров. С 2005 по 2011 годы - 83% успешных хакерских атак были произведены с использованием SQL-инъекций. В результате проведенного исследования специалисты Imperva обнаружили, в частности, что за последнее время хакеры научились эффективно обходить простые защитные механизмы, основанные на сигнатурах; для атак они используют доступные автоматизированные хакерские инструменты, что позволяет им проводить сложные атаки, не обладая специальными знаниями и навыками; скомпрометированные машины хакеры часто включают в свои ботсети, которые затем используют при следующих атаках. И еще один очень интересный вывод: оказывается 41% атак с использованием SQL-инъекций исходил всего с 10 хостов (!). Обзор отчета можно посмотреть здесь (на английском).

• SANS подготовила документ с рекомендациями по безопасному внедрению мобильных устройств на базе Android (на английском).

• Еще одно исследование на тему слабости используемых паролей. Автор собрал вместе и перевел на русский язык несколько различных статей по этой теме.

• Компания ICSA Labs опубликовала рекомендации по защите от современных угроз безопасности для пользователей коммуникаторов и планшетов (на английском): 1) покупайте приложения только в известных вам магазинах; 2) дважды подумайте, прежде чем дать затребованные приложением "разрешения"; 3) следите за расходом денег со своего счета; 4) соблюдайте требования политики безопасности компании при использовании корпоративного мобильного устройства; 5) соблюдайте требования политики безопасности компании при работе с корпоративными ресурсами на собственном мобильном устройстве; 6) применяйте меры защиты, аналогичные защитным мерам для персональных компьютеров; 7) защитите свой телефон и голосовую почту PIN-кодом.

Новости

• Два исследователя обнаружили серьезную уязвимость в реализации работы протоколов SSL 3.0 / TLS 1.0 и разработали инструмент (BEAST), который позволяет практически “на лету” расшифровывать передаваемые данные между веб-сервером и браузером пользователя и получать доступ к критичной информации. На демонстрации была показана расшифровка куки для доступа к аккаунту PayPal. На данный момент уязвимости подвержены большинство интернет-сайтов, т.к. протоколы TLS 1.1 и TLS 1.2 (в которых нет этой уязвимости) используются крайне редко, да и перейти на них быстро не получится.. Описание реализации и рабочий пример BEAST можно посмотреть здесь. А здесь еще некоторые подробности и рекомендации по временному решению проблемы. Кстати, в Google Chrome проблема уже решена. UPD. Tor и Firefox атаке не подвержены. UPD2. Подробное описание работающего механизма атаки можно посмотреть здесь.

• Российская компания Safe Tech разработала устройство SafeTouch, которое представляет собой карт-ридер для смарт-карт с экраном. Устройство может использоваться для обеспечения безопасности систем ДБО, создавая внутри себя доверенную среду. В него через USB-подключение автоматически загружается подписываемый платежный документ, его реквизиты отображаются на экране, после чего пользователь может проверить и подписать его непосредственно в самом устройстве. У устройства есть несколько недостатков, зато цена составляет всего 50$, что почти вдвое дешевле похожей разработки Актива - RuToken PINPad. В настоящее время уже ведется работа по интеграции SafeTouch в наиболее популярные в России системы ДБО.

• Компания Adobe выпустила экстренный патч для Flash Player. Патч закрывает ошибку, которая уже активно эксплуатируется злоумышленниками для привлечения пользователей на вредоносные сайты, ссылки на которые распространяются в сообщениях электронной почты.

• Международный совет по электронной торговле (EC-Council) анонсировал новую сертификацию для руководителей служб ИБ - C|CISO. Чтобы получить сертификат C|CISO, кандидат должен подтвердить свой десятилетний опыт в ИБ, а также ответить на 250 вопросов из 5 областей знаний: 1) стратегическое управление ИБ (аналог - CGEIT); 2) Управление ИБ и аудитом (аналоги - CISM, CISA); 3) Управление проектами и функционированием ИБ (аналоги - PMP, ITIL); 4) Основы ИБ (аналоги - CISSP, LPT, E|IDR, CIPP, MBCP); 5) Стратегическое планирование и финансы (нет аналогов).

• Вышел новый номер журнала (IN)SECURE Magazine (на английском).

• Обнаружен новый троян для Android, который позволяет собирать злоумышленникам подробную информацию о коммуникаторах жертв, перечне установленного ПО, а также получать SMS-сообщения жертвы, логи телефонных звонков, рассылать сообщения с инфицированного коммуникатора и (при определенных условиях) устанавливать на коммуникатор любое ПО. Подробности можно посмотреть в блоге Trend Micro (на английском).

• Обнаружен новый троян для MacOS, который скрывается внутри PDF-файла. UPD. Apple добавила его в базы встроенного в MacOS антивируса Xprotect. UPD2. Брайан Кребс опубликовал подробности по работе этого трояна.

• Специалисты Trend Micro обнаружили сложную кибершпионскую сеть, направленную на атаки различных ИТ-систем в России и соседних странах.

• Злоумышленники начали использовать тактику угроз, чтобы заставить пользователя выполнить определенные действия или заплатить деньги. В одном случае они рассылали сообщения от имени известных компаний, угрожающих подать на пользователя в суд за рассылку спама. В сообщения был вложен вредоносный zip-архив. В другом случае сообщения рассылались от имени WebSense с информацией о том, что компьютер заражен вирусом и для его "лечения" нужно перейти по ссылке в письме. Ссылка вела на вредоносный сайт. В третьем случае злоумышленники использовали Skype для передачи голосовых сообщений с аналогичными инструкциями. Также интересен еще один случай, который произошел с индийской компанией Comantra, представители которой, прикрываясь реальным статусом золотого партнера Microsoft, заявляли пользователю, что его компьютер заражен вирусом и вымогали деньги за его "лечение". 

• В продаже появился бот-конструктор Aldi Bot по цене всего 10 Евро. Части создаваемого им вредоносного кода очень напоминают фрагменты ZeuS, который еще недавно продавался за тысячи долларов. С помощью ботов Aldi Bot можно проводить DDoS-атаки, воровать пароли, удаленно запускать любые файлы. Для начинающих хакеров автор проводит специальный "курс молодого бойца".

• Глава швейцарского банка UBS подал в отставку после произошедшего недавно инцидента с трейдером банка, нанесшим своими несанкционированными действиями ущерб в размере 2,3 млрд. долларов США.

Инциденты за неделю

• Одна из крупнейших японских компаний Mitsubishi Heavy Industries подверглась масштабной хакерской атаке, затронувшей заводы и сборочные цеха, где ведется производство компонентов для атомных станций, подводных лодок и ракет. Хакерам удалось похитить некую закрытую производственную и коммерческую информацию компании, но масштабы утечки пока неизвестны. Ведется расследование.

• Клиенты ВТБ-24 пострадали от скимминга. По всей видимости, скиммер был установлен на банкомате около м.Таганская. С карт некоторых клиентов произведены несанкционированные списания средств, часть карт была заблокирована.

• Хакеры взломали сайт INSA (Intelligence and National Security Alliance) и украли личные данные американских секретных агентов. Имена и адреса электронной почты сотен сотрудников американской разведки, включая некоторых высокопоставленных чиновников из администрации президента США, были опубликованы в свободном доступе.

• Взломан сайт крупной ИБ-компании Core Security Technologies, занимающейся тестированием и оценкой безопасности.

• Злоумышленники взломали Twitter-аккаунт Банка Мельбурна, и использовали его для отправки фишинговых ссылок читателям микроблога.

• Взломан крупный спортивный сайт FOX Sport (ежедневная аудитория - несколько миллионов посетителей). База данных сайта и хэши административных паролей опубликованы в открытом доступе.