среда, 7 сентября 2011 г.

Дайджест ИБ за 29 августа - 4 сентября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю
Лучшие посты из русскоязычных блогов по ИБ
  • Пост Ригеля "Враг хорошего", в котором автор в своей своеобразной манере, но на удивление просто и ясно говорит о том, зачем нужна Политика ИБ, что она должна содержать и почему максимальное участие руководства при ее написании совершенно необходимо.
  • Статья Алексея Лукацкого "Наследие государственной тайны". Алексей рассуждает о современных российских проблемах в области государственного регулирования вопросов информационной безопасности и указывает на их причины. В конце статьи Алексей дает рекомендации руководителям ИТ и ИБ по действиям в сложившейся ситуации.
  • Пост Игоря Бурцева "Новое решение по автоматизации оценки соответствия ИБ требованиям СТО БР ИББС-1.0" (часть 1 и часть 2). Автор сделал обзор программы ISM Revision: Audit Manager от компании ISM SYSTEMS, недавно появившейся на рынке, которая позволяет автоматизировать проведение оценки соответствия требованиям СТО БР ИББС-1.0. В обзоре приведено сравнение функций программы с имеющимися на рынке аналогами. UPD. Также хороший обзор нескольких инструментов оценки соответствия требованиям СТО БР ИББС-1.0 опубликовал в своем блоге Сергей Борисов (BSAT от LeetSoft, Estimate Tool от НПФ "Кристалл" и ISM Revision: Audit Manager от ISM SYSTEMS).
Лучшие посты из англоязычных блогов по ИБ
  • Пост Lenny Zeltser "Советы по выявлению взлома сайта". Ленни обращает внимание на тот факт, что взлом сайта далеко не всегда сопровождается дефейсом или иными заметными изменениями. Взломанный сайт может дни, недели и даже месяцы незаметно хранить нелегальный контент, распространять вредоносный код, являться командным центром ботсети. Ленни дает рекомендации, как выявить факт взлома сайта, и приводит примеры бесплатных утилит, которые можно использовать для этих целей. Основные рекомендации: 1) установить на веб-сервер HIPS и/или утилиту контроля целостности файлов (например, OSSEC); 2) использовать сетевую IDS для выявления аномалий потока сетевого трафика (например, Snort); 3) организовать централизованный сбор и анализ журналов регистрации событий (список бесплатных средств можно посмотреть здесь). Дополнительные рекомендации: 4) использовать утилиты для локального сканирования наличия на веб-сервере рискованных компонентов – невидимые iframe, команда eval в javascript, обфускация, команды shell_exec и passthru в php-файлах (например, утилитами ClamAV, YARA, Vscan); 5) обратить внимание на конфигурационные файлы веб-сервера (в частности, .htaccess) – нет ли в них команд (например, RewriteCond и ErrorDocument), влияющих на посетителей сайта – например, перенаправляющих их на другие сайты; 6) используйте сканеры для удаленной проверки наличия вредоносного кода на сайте (например, с помощью Sucuri Site Check или Qualys Guard Malware Detection); 7) отслеживайте возможное появление адреса вашего веб-сервера в черных списках вредоносных сайтов (URLVoid, Unmask Parasites, Malware URL и многие другие), также проверяйте наличие своего сайта в архиве XSS Archive, в котором размещаются ссылки на сайты, содержащие XSS-уязвимости; 8) отслеживайте сообщения от посетителей и пользователей сайта, которые могут содержать информацию, прямо или косвенно свидетельствующую о взломе сайта. Если вы обнаружили факт взлома сайта, вы можете воспользоваться рекомендациями CERT Societe Generale по реагированию на подобные инциденты.
  • Пост Rich Mogul "Треугольник компрометации данных". Рич провел интересную аналогию. Существует "треугольник пожара" (fire triangle), гранями которого являются тепло, топливо и кислород. Если убрать любой из этих компонентов - пожар прекратится (именно на этом основаны любые средства пожаротушения). Рич предложил использовать аналогичный треугольник - "треугольник компрометации данных", который может помочь расставить приоритеты при обеспечении защиты данных. Гранями этого треугольника являются: данные, эксплойт (комбинация уязвимости и способа ее использования) и канал утечки (способ вывода данных из компании). Внедряемые нами защитные меры также влияют на какую либо из граней этого треугольника, позволяя предотвратить компрометацию данных. Например, шифрование делает сами данные непригодными для злоумышленника, установка патчей устраняет уязвимость системы и не позволяет получить несанкционированный доступ к данным, а система DLP не позволяет вывести данные из компании. Использование этого треугольника может позволить упростить и удешевить систему безопасности - если мы нарушили хотя бы одну грань, этого уже будет достаточно для предотвращения компрометации данных.
Интересные статьи и заметки по менеджменту, коммуникациям
Стандарты, руководства, лучшие практики, исследования
  • Эксперты Лаборатории Касперского с помощью облачной системы мониторинга Kaspersky Security Network выяснили, какие поисковые запросы в Рунете являются самыми опасными и с наибольшей вероятностью ведут на вредоносные ресурсы. Такими запросами оказались запросы на поиск бесплатного и пиратского софта (26%), запросы контента "для взрослых" (17%) и контент для женской аудитории (15%).
  • Проведенное компанией G Data исследование показывает, что кибермошенники в последнее время значительно больше внимания стали уделять созданию вредоносного ПО для мобильных устройств. С начала 2011 года доля вирусов для смартфонов и планшетов увеличилась на 140% больше, по сравнению с общим ростом количества вредоносных программ. Также эксперты отмечают особую активность в части кросс-платформенных троянских программ, которые в данный момент доминируют на фоне других угроз. Здесь можно еще добавить результаты исследования McAfee, согласно которым самой привлекательной для кибермошенников мобильной платформой является Android.
Новости
  • В популярном прокси-сервере Squid обнаружена опасная уязвимость, которая позволяет выполнить атаку переполнения буфера, что приводит к отказу в обслуживании. Существует вероятность, что данную уязвимость можно использовать для выполнения на сервере произвольного кода. В настоящий момент уже выпущено соответствующее исправление.
  • Малайзийский CERT запустил бесплатный сервис DNSwatch, который осуществляет автоматическую проверку наличия на запрашиваемом сайте вредоносного кода. Для использования сервиса, достаточно в настройках сетевого подключения указать адрес 175.139.182.51.
Инциденты за неделю
  • Был взломан голландский центр сертификации DigiNotar, что позволило злоумышленникам изготовить большое количество поддельных сертификатов. В частности, были изготовлены поддельные сертификаты для сервисов Google, как минимум один из которых сразу же начал использоваться для слежки за электронными коммуникациями иранцев. Также были изготовлены поддельные сертификаты для Facebook, Microsoft, Skype, Tor, CIA, MI6, Twitter, AOL, WordPress и т.п. Взлом DigiNotar произошел еще 10 июля (а возможно и раньше), однако известно об этом стало всего несколько дней назад. На данный момент выпущены обновления браузеров и операционных систем, исключающие поддельные сертификаты из списка доверенных. Здесь можно посмотреть подробности от F-Secure и SANS (на английском).
  • Были взломаны и заражены трояном сервера kernel.org, используемые для распространения архивов с исходными кодами и обслуживания Git-репозиториев с ядром Linux. Троян был обнаружен случайно и только через 17 дней (!) после заражения. Он позволял, в частности, перехватывать имена и пароли пользователей (было скомпрометировано 448 учетных записей). Разработчики уверяют, что целостность всех файлов ядра Linux защищена с использованием надежных хэшей SHA-1 и подменить код в них невозможно, однако на всякий случай проводят проверку. Подробности можно посмотреть здесь (на английском).
  • В офис "Вконтакте" в Санкт-Петербурге проникли руферы (ребята, которые лазают по крышам). Окно в офисе было открыто, на сработавшую сигнализацию никто не пришел. Ребята погуляли по кабинетам офиса, пофотографировались, нашли кабинет основателя "Вконтакте" Павла Дурова, компьютер которого включился без запроса пароля. Для входа на его личную страницу "Вконтакте" пароль тоже не потребовался... Это позволило ребятам опубликовать несколько записей на личной странице Павла. После этого они покинули помещение.
  • В Рунете взломаны десятки тысяч сайтов, на которых злоумышленники разместили дополнительные страницы, содержащие ссылки для загрузки различных драйверов. В действительности, под видом драйверов на компьютер пользователя загружается троянская программа Trojan.Mayachok.1.

3 комментария:

Игорь Бурцев комментирует...

Еще один обзор нового решения компании ISMSYS по автоматизации оценки соответствия ИБ от Сергея Борисова - - http://sborisov.blogspot.com/2011/09/3.html

Сергей Борисов комментирует...

Мой по дате дайджеста не подходит :)

eagle комментирует...

Почему-то пропустил обзоры, опубликованные Сергеем :( Сделал апдейт.