Дайджест ИБ за 5 - 11 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Продолжают появляться полезные материалы по тематике нового закона "О персональных данных". Алексей Волков делится своими соображениями по поводу "Политики оператора в отношении обработки ПДн". А Михаил Емельянников свел в один список свои посты и статьи по особенностям обработки ПДн и изменениям в 152-ФЗ.

Лучшие посты из англоязычных блогов по ИБ

• Пост Grecs "Разница между безопасностью и соответствием". Автор приводит диаграмму Венна и короткий видеоролик, очень наглядно показывающие разницу между обеспечением безопасности и обеспечением соответствия, т.е. выполнением только обязательных требований, которым должна соответствовать компания. "Безопасность" - гораздо шире "соответствия", выполнение только обязательных требований может снизить лишь часть рисков компании, к тому же "соответствие" нередко содержит требования по применению избыточных защитных мер в областях, которые не несут рисков для компании.

• Еще один пост Grecs "Как получить интересную работу", в котором автор резюмировал рекомендации по развитию карьеры специалистов по ИБ, основанные на исследовании 40 тысяч компаний-работодателей. Рекомендации довольно неожиданны - авторы исследования рекомендуют специалистам ИБ меньше углубляться в отдельные области ИБ, а сосредоточиться на получении более широких знаний и опыта. В частности: развитие практических навыков в различных технологиях, изучение не технических аспектов ИБ (политики, процедуры и т.д.), развитие коммуникационных навыков (умение писать, проводить презентации, "продавать" себя и свои идеи), умений разговаривать с бизнесом (умение влиять, говорить на языке бизнеса, переводить технические риски в бизнес-риски),  понимание структуры организации, корпоративного управления, знание законодательства, умение определить путь развития собственный карьеры, фокусирование на областях, актуальность которых растет (например, мобильные угрозы). Более подробно ознакомиться с результатами исследования можно в этом подкасте (на английском).

Интересные статьи и заметки по менеджменту, коммуникациям

• Перевод статьи Troy Marshall "Как написать повестку дня собрания". Трой обращает внимание на самые важные моменты, которые позволят сделать собрание действительно эффективным. В частности, Трой рекомендует заранее определить цели собрания, обсуждаемые вопросы и подготовить повестку, заранее определить время, место и длительность собрания, а также роли и обязанности его участников. Из обсуждения следует исключить любые вопросы, которые можно решить иным способом.  Самое важное - все участники должны иметь возможность заранее подготовиться к собранию.

Стандарты, руководства, лучшие практики, исследования

• Компания KPMG выпустила "Отчет по киберпреступности 2011. Управление рисками в условиях постоянно изменяющейся бизнес-среды и технологий" (на английском).

• Опубликован Топ-100 самых влиятельных людей в безопасности (на английском).

• Опубликованы видеозаписи с лекций факультета ВМК МГУ им.Ломоносова по информационной безопасности. Курс "Введение в ИБ" (темы: понятия и определения, криптография, программные уязвимости, модели безопасности) и курс "Практические аспекты сетевой безопасности" (темы: стек TCP/IP, авторизация и аутентификация (AAA, RADIUS), протоколы уровня приложений (DNS, SMTP, HTTP), межсетевые экраны, IDS/IPS, веб-технологии, уязвимости в веб-приложениях (SQLi, XSS), контроль нормального поведения приложений (SELinux)). Здесь можно скачать оба курса через торрент.

• Специалисты компании Godai Group провели исследование возможности утечки конфиденциальной информации вследствие ошибок и описок в наборе адреса электронной почты (например, @mailcompany.com вместо @mail.company.com). Они взяли список крупнейших компаний США, выбрали те из них, которые потенциально подвержены таким ошибкам (их оказалось порядка 30%), и зарегистрировали соответствующие домены... В результате за 6 месяцев они получили около 120 тысяч писем, содержащих более 20 ГБ информации, в т.ч. коммерческая тайна, счета, персональные данные, схемы компьютерных сетей, аутентификационные данные и т.п. Также исследователи говорят, что зафиксировали множество попыток подключения к своим доменам по служебным протоколам, что при желании также можно было использовать для получения аутентификационных данных. Здесь можно посмотреть более подробную информацию об исследовании, а здесь - сам отчет исследователей.

• Компания Symantec рассчитала, что ущерб от действий киберпреступников обходится мировому сообществу примерно в 388 млрд. долларов США в год. За последний год с действиями киберпреступников столкнулись около 431 млн. взрослых пользователей, но лишь немногие из них (21%) обратились за помощью в правоохранительные органы.

Новости

• Ресурсы одного из самых опасных современных ботнетов, ботнета TDSS, сдаются в аренду в качестве анонимных прокси. Есть сведения, что ботнет TDSS используется также для массовых операций с "мошенническими кликами", а недавно у него появился функционал для "добычи" электронной валюты Bitcoin. По данным Брайана Кребса за ботнетом TDSS может стоять житель Санкт-Петербурга.

• В интернете распространяются новые вредоносные программы-вымогатели. Одна из таких вредоносных программ атакует русскоязычных пользователей, блокируя систему и требуя от пользователя заплатить штраф якобы за хранение на компьютере видеоматериалов с детским порно. Другая вредоносная программа направлена на немецких пользователей Windows - она требует, чтобы пользователь оплатил лицензию за операционную систему, так как она не прошла проверку подлинности.

• Обнаружена новая версия многофункционального трояна Qbot, причем теперь его код подписан цифровой подписью с использованием сертификата, украденного у компании Word & Brown. На момент написания поста, его детектировали только 2 антивируса.

• Как оказалось, антивирус AVG для Windows Phone 7, кроме достаточно условной защиты от вирусов, еще и собирал сведения о пользователях и отправлял на сервер AVG. Microsoft приняла решение удалить программу из официального интернет-магазина.

• Вышел новый номер журнала ClubHACK Magazine (на английском). Номер посвящен вопросам исследования вредоносного программного обеспечения.

• Компания Adobe за 2 месяца не удосужилась закрыть XSS-уязвимости на своем сайте. Также, обнаружены еще 20 популярных сайтов, содержащих XSS-уязвимости.

• QR-коды вполне реально использовать для атак на сматрфоны. Например, можно распечатать рекламный плакат с интересным предложением, и разместить на нем QR-код, ведущий на вредоносный сайт.

Инциденты за неделю

• Взломан сайт Linux.com, вероятно были скомпрометированы адреса электронной почты, пароли, ключи SSH и иная информация. Чуть больше подробностей можно посмотреть здесь (на английском). Предположительно этот взлом связан с произошедшим чуть ранее взломом kernel.org.

• Продолжает появляться новая информация в отношении произошедшего недавно взлома центра сертификации DigiNotar и выпуска большого количества поддельных сертификатов для множества популярных сайтов, а также поддельные корневые сертификаты Thawte, VeriSign, Comodo и т.п. 
• По последним данным был выпущен 531 поддельный сертификат (здесь можно ознакомиться с полным списком). Сертификаты были выпущены в три приема - 10, 18 и 20 июля, а известно об этом стало только в начале сентября, хотя есть сведения, что DigiNotar узнала о взломе раньше, но скрывала этот факт. 
• Правительство Голландии взяло компанию DigiNotar под свой контроль, поскольку в результате взлома были скомпрометированы и сертификаты, связанные с голландскими правительственными сайтами. 
• Многие производители ПО (Microsoft, Google, Apple, Mozilla) выпустили обновления, полностью исключающие из доверенных любые сертификаты, выпущенные DigiNotar. 
• Опубликован промежуточный отчет компании Fox-IT, которая проводит проверку DigiNotar. Отчет показывает просто ужасное состояние ИБ в компании DigiNotar: слабые пароли, отсутствие антивирусной защиты и обновлений, отсутствие журналирования событий, отсутствие сегментации сети, единый домен и т.д. 
• Ответственность за взлом взял на себя иранский хакер, ранее взломавший центр сертификации Comodo. Вероятность того, что взломы DigiNotar и Comodo осуществлены одним человеком (или группой) подтверждают отдельные улики, обнаруженные при проверке Fox-IT (см. их отчет). К тому же 99% запросов для google.com с использованием поддельных сертификатов исходило именно из Ирана. 
• При этом хакер утверждает, что взломаны еще 4 крупных центра сертификации. Он назвал имя одного из них - компанию GlobalSign, которая в ответ на это заявление временно приостановила выдачу сертификатов и проводит внутреннюю проверку. UPD. Взлом действительно обнаружился, но GlobalSign заявляет, что взломан был только их сайт, который никак не связан с внутренней инфраструктурой центра сертификации.
• UPD2. DigiNotar объявила о банкротстве.

• Турецкие хакеры взломали регистраторов доменов NetNames и Ascio, в результате чего им удалось подменить записи в DNS и перенаправить трафик с восьми популярных ресурсов на свои сервера. Среди пострадавших: The Register, The Daily Telegraph, UPS, National Geographic, Vodafone и другие. При этом хакеры не стали проводить атаки на посетителей этих сайтов и распространять вредоносное ПО, ограничившись только дефейсом. В анонимном интервью Guardian хакеры сообщили, что целью атаки было просто исследование возможности взлома столь крупных ресурсов. Некоторые подробности можно посмотреть здесь и здесь (на английском).

• Произошел сбой в работе сотового оператора Билайн, в результате которого абоненты Билайн в Москве остались без связи.

• Из-за сбоя в работе DNS-серверов Microsoft миллионы европейских пользователей несколько часов не могли воспользоваться сервисами Hotmail, Office 365 и SkyDrive. Здесь можно посмотреть некоторые подробности (на английском).

• Был взломан популярный среди веб-мастеров и владельцев сайтов ресурс Web Directories, на главную страницу которого был встроен IFrame, перенаправляющий посетителей на вредоносный сайт.

• Была взломана учетная запись в Twitter крупного новостного агентства NBC News и в его микроблоге размещены поддельные сообщения о захвате и крушении самолетов в США. UPD. Опубликованы подробности взлома - пароль был украден с компьютера директора по социальным сетям Брайана Осборна с помощью трояна, а для установки трояна был использован довольно простой вариант социальной инженерии.