Дайджест ИБ за 17 - 23 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Александр Бондаренко сделал небольшой обзор средств, предназначенных для сбора информации о веб-сайте. В обзор Александра попали: Maltego (инструмент для сбора и взаимосвязи информации из открытых источников), Google Hacking Diggity Project (поиск информации, проиндексированной поисковыми системами), FOCA (инструмент для анализа мета-полей файлов, опубликованных на веб-сайте) и NetCraft.com (сайт, на котором размещены онлайн-инструменты сбора информации о сайте).

• Презентация Алексея Лукацкого "DLP с точки зрения топ-менеджера" с конференции Zecurion DLP Conference.

• Пост Semenych "Несколько случаев "информационной опасности" с точки зрения менеджера". Автор (по специальности - менеджер проектов по разработке ПО) рассказывает о случаях из своей практики, связанных с инцидентами безопасности в ПО, в разработке которого он участвовал. 

Лучшие посты из англоязычных блогов по ИБ

• Пост Chris Kimmel "Взгляд на APT". Крис сделал хорошее введение в APT-угрозы. В своем посте он объясняет, что это такое, в чем заключаются особенности таких угроз, дает рекомендации в отношении мер, которые следует предпринять компании, чтобы повысить свои шансы в своевременном обнаружении такой атаки и правильном реагировании на нее.

• Пост Javvad Malik "Отличная отговорка безопасников?". Нередко специалисты по ИБ в случае инцидента возлагают всю вину на "бестолкового" пользователя. Иногда это полностью обосновано, но далеко не всегда. Джаввад предлагает не пытаться перекладывать ответственность и более адекватно смотреть на вещи. "Вирус попал в сеть, потому что тупой пользователь открыл вредоносное вложение в письме!". А может быть в действительности вирус попал в сеть, потому что компания внедрила электронную почту, а ее служба ИБ не обеспечила эффективную антивирусную защиту? "Клиентские данные скомпрометированы, потому что идиот-клиентщик оставил в кафе ноутбук без присмотра и он был украден!". А может быть в действительности данные скомпрометированы потому, что компания решила использовать ноутбуки для мобильных сотрудников, а ее служба ИБ не догадалась организовать на них шифрование жестких дисков? Кстати, такой подход еще и позволяет эффективно решать возникающие проблемы, а не просто искать виновных и сетовать, что пользователи неисправимы. Ведь в наших же силах улучшить антивирусную защиту и зашифровать диски на ноутбуках, не так ли?

• Chris John Riley сделал подборку англоязычных подкастов по теме ИБ.

Интересные статьи и заметки по менеджменту, коммуникациям

• Роман Исаев сделал краткое описание практического подхода к описанию бизнес-процессов в банке и поделился примером дерева бизнес-процессов банка. Кстати, 25 октября в 11 часов Роман проводит бесплатный вебинар "Презентация Комплексной типовой бизнес-модели коммерческого банка".

• Пост Ирины Толмачевой "Как решить неразрешимую задачу, или шесть думающих шляп". Ирина кратко описывает инструмент для управления собственным мышлением "Шесть думающих шляп", предложенный Эдвардом де Боно. Инструмент довольно прост в использовании. Он поможет принимать более эффективные решения благодаря отходу от привычного образа мыслей и взгляда на проблему с разных сторон, что позволяет заметить возможности, которые иначе так и остались бы не замеченными. 

Законодательство

• Наталья Храмцовская поделилась ссылкой на интересный судебный спор, в котором банк (из Топ-50) проиграл суд небольшому ООО по делу, связанному с хищением денег с помощью системы Банк-Клиент. Банк использовал достаточно популярную схему, при которой сертификат ключа подписи оформляется на бумаге и передается клиенту по акту приема-передачи только при первоначальном подключении. В дальнейшем при смене ключей клиенту направляется только сертификат в электронном виде. Однако банк, по всей видимости, решил слишком уж упростить жизнь себе и своим клиентам и поступал таким образом и в случае внеплановой смены ключей. К тому же не предусмотрел описание этой схемы в договоре с клиентом и плохо описал ее во внутренних документах. Все это привело к тому, что клиент смог доказать в суде, что вообще не получал сертификат ключа подписи, которым было подписано мошенническое платежное поручение и банку пришлось вернуть клиенту 1,6 млн.руб. Кстати, банк, пытаясь оспорить решение, дошел аж до Высшего Арбитражного Суда, но успеха не добился. С подробностями можно ознакомиться здесь.

• Банк России подготовил Письмо №05-13-2/3714 "Об использовании электронной подписи при составлении отчетности". Банк России поясняет, что передача отчетности должна осуществляться банками как и раньше (в соответствии с Указанием 1546-У от 24.01.2005) - с использованием кода аутентификации, являющегося аналогом электронной подписи (!). Что касается возможности хранения отчетности в электронном виде, то пока это не предусмотрено, хотя возможность рассматривается. За ссылку спасибо Алексею Лукацкому.

Стандарты, руководства, лучшие практики, исследования

• Peter Gutmann опубликовал в открытом доступе черновой вариант своей новой книги "Engineering Security". Некоторые из успевших ознакомиться, уже назвали книгу одной из лучших по теме ИБ.

• Michael Oberlaender опубликовал документ "Классификация данных - новый подход к безопасности, ориентированной на данные". В документе рассмотрены основные принципы классификации данных по трем критериям - доступность, целостность и конфиденциальность. Документ можно скачать здесь.

• Появился новый интернет-ресурс Incidents.Su, на котором публикуется информация об инцидентах ИБ в России и СНГ. Там же опубликован отчет "ИБ инциденты СНГ (III кв. 2011)", подготовленный А.Токаренко и А.Бодриком. В отчете проведен анализ 233 инцидентов, из которых основную часть занимают DDoS-атаки (40%), утечки (37%) и взломы (17%).

• На сайте ЕВРААС опубликованы проекты стандартов ГОСТ Р ИСО/МЭК 27000 "Системы менеджмента ИБ. Общий обзор и терминология" и ГОСТ Р ИСО/МЭК 27003 "Системы менеджмента ИБ. Руководство по реализации системы менеджмента ИБ". За ссылку спасибо Наталье Храмцовской.

• Вышел новый стандарт ISO/IEC 27035:2011 Информационные технологии - Методы обеспечения безопасности - Управление инцидентами информационной безопасности. Стандарт заменяет собой ISO/IEC 18044:2004.

• CERT Societe Generale опубликовал еще один документ по реагированию на инциденты - новый документ содержит план реагированя на инциденты, связанные с фишингом (на английском).

• Компания Imperva опубликовала отчет по исследованию содержимого крупного хакерского форума (почти 220 тысяч зарегистрированных пользователей). Форум используется для обучения начинающих хакеров, общения, вербовки, торговли крадеными данными и хакерским программным обеспечением. Динамика популярности различных тем вполне соответствует реальной активности компьютерных злоумышленников в различных областях. Краткий обзор отчета можно посмотреть здесь (на английском).

• Алексей Лукацкий сделал подборку европейских стандартов по персональным данным.

Новости

• Появилась информация, что хакерам, проникнувшим в компьютерную сеть Nasdaq полгода назад, удалось установить на некоторые компьютеры вредоносное ПО, позволившее им шпионить за руководством публичных компаний, акции которых торгуются на Nasdaq. Хакеры получили доступ к системе Directors Desk, которая используется руководителями компаний и их советами директоров для обмена документами и взаимодействия руководителей друг с другом. Пока нет точной информации, какую именно информацию смогли получить злоумышленники. Расследование продолжается. 

• Oracle выпустила критическое обновление для Java, которое исправляет по меньшей мере 20 уязвимостей, большинство из которых могут использоваться для удаленного взлома системы без участия пользователя, либо при его минимальном участии. Также выпущены еще 56 патчей для других продуктов Oracle.

• Обнаружен новый червь Duqu, который вероятно является "родственником" нашумевшего в прошлом году Stuxnet. Червь Duqu предназначен для кражи информации с промышленных объектов, причем в первую очередь информации, касающуюся их ИТ-инфраструктуры. Впервые он был обнаружен 14 октября в компьютерных системах европейских предприятий. Предположительно червь был предназначен для сбора информации в целях последующих атак. Некоторые подробности можно посмотреть здесь.

• Microsoft получила сертификаты ФСТЭК на целый ряд своих продуктов. В частности: ОС Windows 7 «Профессиональная», «Корпоративная» и «Максимальная» с SP1, Windows Server 2008 R2 Standard, Enterprise и Datacenter с SP1, BizTalk Server 2009 Standard и Enterprise, Forefront Identity Manager 2010. Теперь эти системы можно использовать при создании автоматизированных систем класса защищенности до 1Г включительно и при создании систем персональных данных до 2 класса включительно.

• Компания Google совместно с британским Бюро консультирования населения (CAB) организовала рекламную кампанию под названием "Полезно знать"  (Good to Know). Кампания проводится в транспорте, в печатных СМИ и в Интернете. Она направлена на  повышение безопасности использования Интернет, защиту персональных данных, а также ограничение доступа детей к Интернету. В рамках рекламной кампании рассказывается, как подобрать безопасный пароль, как пользоваться двухфакторной аутентификацией при входе в почту, как проверить безопасность сайта и т.д.

• Произошел интересный случай. Злоумышленники, для воровства учетных данных пользователей от их почтовых ящиков, воспользовались традиционной методикой - создали фишинговую страницу, на которой пользователи должны были вводить свои учетные данные, и организовали спам-рассылку с предупреждением, что пользователь превысил квоту на размер своего почтового ящика и ему нужно перейти по ссылке для оформления заявки на увеличение квоты. Но вот последствия были не совсем обычными. Кто-то взломал фишинговую страницу и заменил текст на ней на предупреждение пользователей, что они стали жертвой злоумышленников.

• В Apache найдена очередная уязвимость, позволяющая проводить успешную DoS-атаку. Эксплойт уже в открытом доступе.

• Вышли новые номера журналов ClubHACK Magazine и HITB Magazine.

• Обнаружен очередной троян для MacOS X. Он имеет функционал отключения встроенных в ОС антивирусных средств (XProtect).

Инциденты за неделю

• Был взломан популярный VPN-сервис proXPN.

• Был взломан канал Microsoft на YouTube.