Дайджест ИБ за 26 сентября - 2 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ 

• В Челябинске прошла конференция по вопросам защиты персональных данных, на которой присутствовали представители ФСТЭК, ФСБ, РКН и прокуратуры (а также УСТМ МВД). Алексей Лукацкий и Евгений Царев поделились интересной информацией с конференции. В частности: 1) ФСТЭК подтвердил свою позицию, что лицензия на ТЗКИ должна быть у каждого оператора ПДн; 2) Под оценкой соответствия ФСТЭК понимает только сертификацию; 3) РКН считает, что "законные интересы" оператора или третьих лиц, для осуществления которых не требуется согласие субъекта ПДн, - это то же самое, что "законные основания" и ничего более. Соответственно, если такие интересы не прописаны в законе, согласие необходимо; 4) РКН активно привлекает ФСБ, ФСТЭК, УСТМ МВД при проверках - просто теперь они выступают в роли "экспертов"; 5) На вопрос, нужно ли операторам переделывать документы по ПДн, разработанные в соответствии со старой редакцией ФЗ, РКН сообщил, что не нужно, пока не выйдет новая нормативная база; 6) РКН считает, что ответственные за ПДн нужны в том числе в каждом филиале компании; 7) ПДн ближайших родственников, по мнению ПДн, можно обрабатывать только с явного согласия... Кстати, РКН теперь внепланово проверяет операторов не только по жалобам субъектов, но и при наличии "косвенных сведений о нарушении"... Ну и так далее, в том же духе :-(

• Презентация Алексея Лукацкого "Новости законодательства о ПДн" с той же конференции. Алексей рассматривает основные изменения, нововведения и неоднозначные формулировки новой редакции ФЗ-152 "О персональных данных". 

• В продолжение темы ПДн. Сергей Борисов пишет о позиции РКН в отношении биометрических ПДн. РКН считает, что фотография человека может использоваться только для идентификации человека, поэтому любые фотографии - это биометрические ПДн (в рассматриваемом Сергеем примере - ксерокопии паспортов) и должны защищаться соответствующим образом.

Лучшие посты из англоязычных блогов по ИБ 

• Пост Adriano Dias Leite "7 причин, ради которых стоит работать в ИБ". Адриано решил взглянуть на работу специалиста по ИБ с другой стороны и привел 7 преимуществ работы с сфере ИБ: 1) компании начинают серьезно относиться к ИБ; 2) хорошая зарплата; 3) множество возможных направлений работы в ИБ; 4) вы никогда не останетесь без работы; 5) вы можете взаимодействовать со всеми в компании; 6) вы можете устанавливать правила (а сами можете их нарушать ;-)); 7) быть специалистом по ИБ - здорово (по крайней мере многие люди так думают :-)).

• Статья Rob Lemos "5 вопросов безопасности мобильных устройств, которые нужно учитывать". Роб говорит о росте числа сотрудников, которые используют для работы с корпоративными данными и информационными системами собственные мобильные устройства. По данным IDC и Unisys в 2010 таких сотрудников был 31%, а в 2011 - уже 41%. В связи с этим, Роб рекомендует при обеспечении безопасного использования мобильных устройств обратить внимание на следующие 5 вопросов: 1) выбор доверенных магазинов для загрузки ПО на мобильные устройства; 2) выбор безопасных вариантов синхронизации данных с мобильным устройством; 3) изменение процесса управления патчами; 4) риски использования мобильного VPN-доступа; 5) значительно более короткий жизненный цикл мобильных устройств по сравнению с обычными компьютерами.

• Luke O'Connor опубликовал ссылку на свою подборку документов и презентаций по различным вопросам ИБ.

Интересные статьи и заметки по менеджменту, коммуникациям 

• Небольшой обучающий курс Ильи Петрова, в котором перечислены основные проблемы большинства презентаций и даны советы как это все «вылечить».

Законодательство 

• Банк России выпустил Указание №2695-У от 14.09.2011 "О требованиях к обеспечению бесперебойности осуществления перевода электронных денежных средств". Указание уже вступило в силу.

• Опубликован проект Требований к форме квалифицированного сертификата ключа проверки электронной подписи. За ссылку спасибо pushkinist.

• Президент согласовал и отправил в Госдуму по­правки в закон «О банках и банковской деятельности», расширяющие доступ к банковской тайне. В соответствии с поправками, получить конфиденциальные сведения смогут Пенсионный фонд, АСВ, Росфинмониторинг, ФСС и приставы. Они смогут сделать это по представлению следователя - решение прокурора для этого больше не понадобится.

• Опубликован проект стандарта ГОСТ Р /ISO/TR 15801:2009 - Системы электронного документооборота. Управление документацией. Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности. В настоящее время текст окончательной редакции проекта национального стандарта направлен на утверждение в Федеральное агентство по техническому регулированию и метрологии. За ссылку спасибо Андрею Колесову.

Стандарты, руководства, лучшие практики, исследования 

• Министерство внутренней безопасности США проводит Месяц повышения осведомленности граждан по вопросам кибербезопасности. В рамках этой инициативы был создан сайт StaySafeOnline.org, на котором опубликовано множество материалов по обеспечению ИБ для компаний и домашних пользователей, в которых простым и доступным языком объясняются все основные вопросы ИБ, которые нужно знать каждому, а также даны рекомендации по действиям в различных ситуациях и т.п. Собранное на сайте множество документов, статей, видеоматериалов и ссылок будет полезно использовать при подготовке собственных программ повышения осведомленности для сотрудников ваших компаний и членов семьи ;-).

• Вышла третья редакция модели зрелости BSIMM3 (The Building Security In Maturity Model). BSIMM - это набор лучших практик, позволяющих понять и спланировать работы по обеспечению безопасности разрабатываемого ПО. Краткий обзор модели можно посмотреть здесь (на английском).

• Verizon опубликовала отчет "2011 Payment Card Industry Compliance Report" по исследованию соответствия компаний требованиям PCI DSS (на английском). Согласно данным отчета, большинство компаний, принимающих оплату с банковских карт, не выполняют требования PCI DSS. Только 21% компаний в полной мере соответствует требованиям. Краткий обзор отчета на русском можно посмотреть здесь.

• CSA опубликовала документ по категориям сервисов SaaS (безопасность как сервис). В документе определены 10 категорий основных сервисов безопасности. Для каждого сервиса определены его ключевые функции, дополнительные возможности, связанные сервисы, а также нейтрализуемые угрозы. Документ направлен на обеспечение единого понимания сути этих сервисов у поставщиков и заказчиков. Краткий обзор документа можно посмотреть здесь (на английском).

• IBM X-Force выпустила "Отчет по тенденциям и рискам в первой половине 2011 года". В отчете отмечается взрывной рост количества нарушений безопасности в этом году. Причем эти нарушения примечательны не только их количеством, но и тем, что они вскрыли фундаментальные проблемы безопасности у многих пострадавших компаний. Атаки становятся все более сложными, многие из них состоят из нескольких этапов и продолжаются в течении длительного времени. Также, специалисты IBM отмечают, что безопасность традиционных систем за последнее время существенно возросла, но злоумышленники просто перешли к другим атакам (например, значительно возросло количество атак на мобильные устройства). Краткий обзор отчета можно посмотреть здесь (на английском). UPD. А здесь - краткий обзор на русском.

• Компания Cisco подготовила документ с рекомендациями по подготовке к внедрению DNSSEC (на английском).

• Опубликованы результаты глобального исследования утечек информации за период с 2005 по 2010 годы. Всего было проанализировано 3765 инцидентов, сведения о которых были опубликованы в открытых источниках. Наибольшее количество инцидентов было вызвано хищениями или потерей ноутбуков, на втором месте - утечки информации на бумажных документах. Краткий обзор исследования можно посмотреть здесь (на английском).

• Специалисты компании CSIS, занимающейся расследованием киберпреступлений, выявили, что большинство инфекций проникает на компьютеры через уязвимости всего в пяти приложениях: Java RE (37% случаев), Adobe Reader (32%), Adobe Flash Player (16%), Internet Explorer (10%) и Центр справки и поддержки Windows (3%). Своевременное обновление этих приложений минимизирует риски заражения компьютера вредоносным кодом. Более подробную информацию можно посмотреть на сайте CSIS (на английском).

• Проведенное компанией WebSense исследование показывает, что компании, разрешающие своим сотрудникам использовать на работе социальные сети вдвое повышают свои риски заражения вредоносными программами.

• Компания Confident Technologies провела исследование, результаты которого показали, что большинство пользователей смартфонов не устанавливают даже пароли и PIN-коды для своих устройств (не говоря уже о других средствах защиты), считая это излишне обременительным. При этом многие из них используют свои смартфоны для работы с банковскими и биржевыми приложениями, информационными ресурсами компаний, в которых они работают, и т.п. Похожие результаты получила и компания Trend Micro, которая попыталась определить "ценность цифровой жизни".

• Независимые исследователи проанализировали безопасность расширений для браузера Google Chrome. Из 100 выбранных расширений (были взяты 50 наиболее популярных, а еще 50 выбраны случайным образом) 27 оказались небезопасными. UPD. Здесь можно посмотреть некоторые подробности на русском.

Новости 

• В Интернете появился сайт Rusleaks.com, на котором в открытом доступе размещено 185 баз данных по российским физ.лицам и компаниям. Сайт предлагает поиск по базам МВД, ФСБ, налоговой инспекции, ГИБДД, ФАС и т.д. При поиске физ.лиц в некоторых случаях выдается довольно большой объем данных – адреса и телефоны, паспортные данные, ИНН, сведения о месте работы, выданных кредитах или отказе в кредитах, купленных железнодорожных и авиабилетах. Среди сведений о юр.лицах — данные об учредителях, уставном капитале и отчислениях в налоговые службы. На сайте размещена база банковских проводок с 1998-го по 2004 год, в которой можно найти сведения о переводах, расчетных счетах клиентов банков и сумме переводов, а также база недействительных паспортов за 2007 год, таможенные и налоговые декларации и список людей, находящихся в розыске. На сайте есть и данные из публичных источников — «ВКонтакте» и «Желтых страниц». Правоохранительные органы и РКН пока безмолвствуют. UPD. РКН таки принял меры - направил письмо регистратору домена и подал иск в суд. Непонятно, связано ли это с мерами РКН или нет, но чуть позже на сайте осталась лишь надпись: "Сайт приостановлен, так как не выполняет те функции, для которых он создавался. Спасибо всем, кто оказывает нам поддержку!".

• Обнаружена серьезная уязвимость в операционной системе FreeBSD (версии 6, 7, 8 и 9), позволяющая локальному пользователю повысить свои привилегии (запустить произвольный код с правами root). Подробности и рекомендации по решению проблемы можно посмотреть на официальном сайте FreeBSD (на английском).

• Обнаружена серьезная уязвимость в мобильных устройствах HTC на базе Android. Уязвимость позволяет злоумышленникам без особого труда получить телефонные номера, координаты GPS, SMS-сообщения, адреса электронной почты и многое другое. UPD. Подробности на русском можно посмотреть здесь. Видео-демонстрация использования уязвимости. UPD2. HTC уже работает над обновлением.

• Microsoft победила еще один крупный ботнет - Kelihos. Это уже третий (после Rustock и Waledac) уничтоженный ботнет на счету Microsoft. Активное участие в уничтожении ботнета Kelihos принимала Лаборатория Касперского.

• В Москве прошла выставка InfoSecurity 2011. Своими впечатлениями и фотографиями с выставки поделился Тарас Злонов. Похоже, выставка действительно совсем "сдулась"... Хотя в рамках выставки были и интересные вещи - например, конференция по непрерывности бизнеса, которую провел Алексей Чеканов.

• Злоумышленники начали использовать малоизвестный метод, позволяющий эффективно замаскировать вредоносные исполняемые файлы (*.exe) под сравнительно безопасные файлы, типа текстовых документов, изображений и т.п. Для этого они применяют специальный управляющий символ Unicode RLO, активирующий режим написания справа налево. Например, если в имя вредоносного файла "invoice_01.11.2011_phylcod.exe" перед буквой d вставить символ RLO, имя файла будет выглядеть вполне безобидно - "invoice_01.11.2011_phylexe.doc". 

• Появился новый троян под MacOS, который выдает себя за обновление для Adobe Flash Player. В случае установки, троян предоставляет злоумышленнику возможность удаленного доступа на инфицированный компьютер и возможность установки дополнительных вредоносных программ.

• Министерство внутренней безопасности США разработало программный инструмент CSET для оценки инфраструктуры безопасности локальных вычислительных сетей. Он сравнивает имеющуюся структуру с образцовой и устанавливает, отвечает ли проверяемая система защиты требованиям нормативно-правовых актов, регулирующих ту или иную отрасль. Инструмент доступен для бесплатной загрузки.

Инциденты за неделю

• Сайт MySQL.com снова был взломан и распространял вредоносные программы с помощью пакета эксплойтов BlackHole, а административный доступ к нему был выставлен на продажу на закрытом русскоязычном форуме всего за 3 тысячи долларов. По оценке специалистов, сайт был заражен в течении примерно семи часов. За это время его могло посетить около 120 тысяч пользователей, компьютеры которых могли быть инфицированы. Компания Armorize опубликовала видео, в котором показано, что происходило, когда сайт mysql.com открывался при помощи не обновленного и уязвимого браузера.

• Клиенты ВТБ-24 снова пострадали от скимминга. На этот раз скиммер был установлен на банкомате в военном городке подмосковного города Серпухова.

• Один из популярных веб-сервисов - LaptopVirusRepair.co.uk, выполняющих он-лайн антивирусную проверку и удаление вредоносного кода, был взломан и сам распространял вредоносные программы.

• Компания Акадо была оштрафована на 300 тысяч рублей за рекламу своих услуг по телефону без получения предварительного согласия абонента.

• Был взломан аккаунт в Twitter очередного крупного американского СМИ - газеты USA Today. Предположительно, это сделала та же хакерская группа, которая недавно взломала Twitter-аккаунт NBC. Хакеры предложили посетителям микроблога USA Today проголосовать и выбрать следующую цель для взлома.

• Microsoft выпустила некорректное обновление антивирусных баз для своих продуктов Security Essentials и Forefront, которые в результате приняли браузер Google Chrome за вредоносную программу и удалили его с компьютеров примерно 3000 пользователей.

• Были взломаны 700 тысяч сайтов, размещенных у хостинг-провайдера InMotion Hosting. Похоже были взломаны не отдельные сервера провайдера, а весь дата-центр.

• Сотрудник ОАО "Волгателеком" не согласился продать директору по безопасности ЗАО "Эр-Телеком Холдинг" (Пархомюк Н.В.) сведения о клиентах своей компании и вместо этого обратился в органы ФСБ. Суд признал Пархомюка Н.В. виновным в совершении преступления и назначил ему наказание в виде штрафа 20 тысяч рублей.