Дайджест ИБ за 10 - 16 октября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Сергей Борисов сделал отличную подборку по бесплатным вебинарам по ИБ, которые сейчас начали проводить на русском языке многие компании: Код безопасности, Aladdin, Softline, IBM, Symantec, Cisco Expo Learning Club, Positive Tehnologies, Микротест.

• Александр Бондаренко опубликовал ссылки на бесплатные вебинары по CISSP (1 и 2) (на английском). Чтобы закончить тему вебинаров, добавлю еще две ссылки от себя: 1) Imperva 26 октября будет проводить бесплатный вебинар по SQL-инъекциям, основанный на результатах проведенного ими недавно исследования. Скачать прошедшие вебинары Imperva можно здесь (на английском). 2) Огромная подборка отборных бесплатных видеоматериалов по ИБ от CyberWarzone - есть материалы почти по всем направлениям ИБ, различным системам, направленные на различный уровень подготовки слушателей (но все на английском).

• Алексей Лукацкий опубликовал ссылки на два отличных видеоролика от TechWise TV по теме PCI DSS. В одном кратко и очень наглядно рассматриваются основные моменты PCI, а в другом - требования по защите точек доступа (на английском).

• Перевод поста Марка Руссиновича "Дело о загадочных перезагрузках". Марк рассказывает об использовании утилит из набора Sysinternals для выявления и удаления вредоносных программ с зараженного компьютера.

• Перевод поста Брайана Кребса про организацию работы преступных групп по получению наличных денег по краденным реквизитам банковских карт. Преступники покупают на краденые карты дорогостоящие товары в интернет-магазинах США и Европы, дропы, живущие в этих странах, получают товары и пересылают их злоумышленникам, а те продают эти товары и получают наличные. Кстати, недавно в США прекратили деятельность преступной группы, занимающейся подобным "бизнесом". Арестовано 111 человек. UPD. Еще один пост от Брайана Кребса по этой теме - "Как превратить краденые карточки в краденый товар".

• Алексей Краснов поделился ответом из ФСТЭК по вопросу необходимости наличия у организации лицензии на ТЗКИ в случае, если деятельность по защите конфиденциальной информации выполняется для собственных нужд (ПДн, например). Ответ ФСТЭК однозначен - нужна. Ссылаются на отсутствие в 99-ФЗ исключений по этому поводу.

Лучшие посты из англоязычных блогов по ИБ

• Dave Piscitello и Lance Spitzner объясняют, почему традиционные программы повышения осведомленности пользователей по ИБ в большинстве случаев остаются пустым звуком и практически не меняют поведение людей. Чтобы изменить поведение людей, нужно кардинально изменить свой подход к проведению таких мероприятий. Мы должны признать, что хотя мы отлично знаем вопросы ИБ, мы понятия не имеем, как нужно донести эту информацию до людей. Мы знаем технологии, угрозы, атаки и даже риски, мы тщательно изучаем поведение злоумышленников и их средства. Мы хорошо знаем нашего врага, но мы совершенно не знаем того, кто с нами по одну сторону "баррикад" - обычного законопослушного человека, которого мы пытаемся учить. Мы ошибочно предполагаем, что люди заинтересованы в безопасности также, как и мы сами. Это не так. Наши рекомендации действуют на пользователей примерно также, как сообщение (абсолютно правильное!), что если вы будете потреблять меньше калорий, вы будете худеть. Подобные сообщения предназначены для профессионалов, а не для обычных людей, поэтом обычно они на людей не действуют. К счастью, существуют психологи и социологи, которые как раз изучают обычных людей. Нам нужно обращаться к ним за помощью или, хотя бы, изучать успешный опыт в других областях повышения осведомленности. Например, действительно эффективная программа снижения веса включает в себя обучение, наставничество, консультирование, но в ней используется минимальное количество компонентов, которые направлены на активное влияние на поведение - различных требований, указаний, призывов, которые реально ведут только к внутреннему протесту. Нужно приводить людям наглядные примеры (имеющие отношение лично к ним), использовать методы, схожие с социальной инженерией. Только в таком случае вы сможете на практике изменить поведение людей, а не просто поставить еще одну галочку для соответствия требованиям.

• Дополнительными рекомендациями по теме повышения осведомленности делится Dominic Vogel, который обращает внимание еще на несколько важных аспектов, мешающих успешности нашей задачи. Для достижения успеха, необходимо отбросить ярлык "пользователь" и любое негативное мышление. Если вы противопоставляете себя пользователям, считаете их врагами или просто идиотами, ваша программа повышения осведомленности обречена на провал. Говорите о конкретных вещах, которые должны привести к конкретным результатам. Точно знайте, какие конкретно риски вы собираетесь снизить и стройте программу повышения осведомленности в соответствии с этим.

• Пост Patrick Murray "APT-угрозы: от страшилок к фактам". Патрик справедливо замечает, что APT-угрозы не являются основной проблемой для большинства компаний - вряд ли их будут атаковать хакеры, спонсируемые китайским или северокорейским правительством. Однако Патрик отмечает одну вещь - многие методы, которые используются такими хакерами, быстро перенимаются обычными хакерами и используются для более распространенных атак, например, кражи денег или персональных данных, а также целевых атак. Он приводит пример с APT-атакой на Google в 2009 году (Аврора). Всего через 2 дня после публичного сообщения об атаке, использованный в ней экслойт нулевого дня появился в открытом доступе, а патч был выпущен только через 9 дней. Не нужно привязываться к терминологии - хотя APT-угрозы действительно  не актуальны для большинства компаний, для них вполне могут быть актуальны обычные целевые атаки, в которых будут применяться похожие на APT методы и средства.

• Пост Dejan Kosutic "ISO 27002 - что принесет новая редакция". По информации Дижена, через год - полтора должно выйти обновление стандарта ISO 27002:2005. На основании заявлений экспертов и обсуждений на форуме ISO 27k Forum, Дижен сделал список того, что с большой вероятностью появится в новом стандарте: подотчетность и ее связь с управлением персоналом; бОльшая проработка вопросов аутентификации, управления учетными записями; облачные вычисления; безопасность баз данных; вопросы этики и доверия; вопросы, связанные с мошенничеством, фишингом, хакингом, социальной инженерией; стратегическое управление информацией; ИТ-аудит; персональные данные; отказоустойчивость; тестирование безопасности, приложений, оценка уязвимостей, пентесты.

• Пост Branden Williams "Жизнь в состоянии взлома". В настоящее время сети стали слишком большими и сложными, их периметр сильно "размыт" или вообще не существует, объемы информации растут, сама информация хранится в множестве различных мест (часто, в том числе, и за пределами сети компании), злоумышленники стали очень активными, упорными и обладают эффективными средствами для нападений. Вряд ли в таких условиях вы можете всерьез рассчитывать на то, что злоумышленники не смогут попасть в вашу сеть. Поэтому Брендан рекомендует изменить свою точку зрения и строить безопасность исходя из того, что злоумышленник уже находится в вашей сети. Для этого, во-первых, нужно по максимуму отказаться от такого элемента, как "доверие" - гарантировано доверенных объектов больше нет. Во-вторых, нужно обеспечить прочное "ядро" безопасности - минимум полномочий, многоуровневая защита, ориентация на информацию (централизация и защита действительно ценных информационных активов).

• Пост Lenny Zeltser "Поиск зараженных систем, как часть оценки безопасности". Большинство оценок безопасности ограничивается поиском внутренних недостатков и уязвимостей в инфраструктуре компании. Чтобы повысить ценность таких оценок, Ленни предлагает дополнительно проводить анализ наличия в проверяемой среде зараженных компьютеров или иных признаков взлома, тем более, что сделать это не очень сложно: 1) выделите системы, подверженные наибольшему риску (например, не управляемые централизовано, без установленных патчей и средств защиты и т.д.); 2) проанализируйте настройки автозапуска на них, обращайте особое внимание на программы, которых нет на других компьютерах; 3) проанализируйте исходящий трафик для выявления попыток соединения с известными плохими или подозрительными адресами; 4) просканируйте файлы для выявления подозрительного содержимого. 

• Серия постов Rob Rachwald об инсайдерских угрозах (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12). Роб подробно анализирует типы инсайдерских угроз, самих инсайдеров, их мотивацию навыки. Приводит конкретные примеры из реальной жизни. Дает рекомендации, как можно выявить инсайдерскую деятельность.

• Пост Davi Ottenheimer "По вине аудитора HIPAA произошла компрометация данных". Когда компанию проверяют аудиторы, не редко им передается (или дается доступ) очень критичная для компании информация. Увы, нередко происходят ситуации, когда аудиторы и консультанты сами не выполняют свои же рекомендации по безопасности. Кроме того, многие аудиторские компании (даже крупнейшие) склонны нанимать молодых неопытных сотрудников, которые сами по себе представляют большую угрозу безопасности компании. Дэви приводит в качестве примера произошедший недавно случай, когда один из аудиторов компании KPMG, проводившей аудит крупной компании на соответствие HIPAA по контракту на 9,2 млн. долларов, потерял незашифрованную флешку, на которую были скопированы персональные данные клиентов и сотрудников компании.

• Пост Robert Abela с небольшим видео-руководством по реализации XSS-атак (межсайтовое выполнение сценариев). Роберт кратко рассказывает о механизмах XSS-атак и демонстрирует, к чему они могут привести.

• Пост Black "Список файерволлов прикладного уровня (WAF) с открытым кодом". Автор приводит список и краткий обзор 9 бесплатных WAF с открытым кодом: Naxsi, Vulture WebSSO, http://guardian.jumperz.net/index.html?i=003, IronBee, WebCastellum, ModSecurity, OWASP ESAPI WAF, OpenWAF и AQTRONIX WebKnight.

Стандарты, руководства, лучшие практики, исследования

• Интересная инфографика от журнала Scientific American - показана динамика компьютерных инцидентов за 2001 - 2011 годы. Все инциденты разделены по типам. Выделены самые крупные из известных утечек данных.

• Исследователи из Университета Ньюкасла разработали методологию, позволяющую эффективно распознавать символы в наиболее популярных вариантах CAPTCHA, в частности используемую Google и reCaptcha.

• Компания Badware опубликовала Лучшие практики по уведомлению о вредоносных адресах URL. В документе даны рекомендации - кого следует уведомлять о вредоносных адресах, где брать контактную информацию, какие сведения включать в уведомление. Краткий обзор документа можно посмотреть здесь (на английском).

Новости 

• Компания Microsoft выпустила аналитический отчет по безопасности за первую половину 2011 года (на английском). Отчет содержит много полезной информации в отношении уязвимостей ПО и угроз вредоносного кода. Вот некоторые из выводов отчета. 1) Распространение вредоносного кода в большинстве случаев (44,8%) происходит с непосредственным участием пользователя, на втором месте - распространение с помощью автозапуска с USB-устройств (26%), лишь около 6% случаев распространения вредоносного кода связано с эксплуатацией уязвимостей, причем использование уязвимостей нулевого дня не дотянуло даже до 0,1% (Microsoft считает, что опасность угроз нулевого дня сильно преувеличены). 2) Количество обнаруженных уязвимостей высокого и среднего уровня понемногу снижается. 3) Снижается удельное количество уязвимостей продуктов Microsoft (6,9%) среди всех обнаруженных уязвимостей. 4) Чаще всего злоумышленники пользуются уязвимостями в Java, однако существенно выросло использование уязвимостей ОС (за счет уязвимости CVE-2010-2568) и очень активно растет использование уязвимостей Adobe Flash. 5) При использовании уязвимостей документов, у злоумышленников лидируют приложения Adobe Reader и Acrobat. 6) Самой часто заражаемой ОС (среди поддерживаемых ОС Microsoft) является Windows XP SP3, самой редко заражаемой - Windows 7 x64 (разница почти в 10 раз, хотя "семерка" уже сравнилась по популярности с XP). Резюме по отчету на русском можно посмотреть здесь. А здесь Вадим Стеркин проанализировал отдельные аспекты отчета.

• Вышел специальный выпуск журнала Hakin9 - лучшие статьи за 2010 год.

• Вышел очередной пакет патчей для продуктов Microsoft. В его составе есть патч, закрывающий 8 критических уязвимостей Internet Explorer, а также патч для критической уязвимости в Silverlight. Бюллетень безопасности можно посмотреть здесь (на английском). Также, большое количество обновлений выпустила для своих продуктов компания Apple.

• Банковские трояны ZeuS и SpyEye живут и активно развиваются. Появилась сборка ZeuS, которая создает децентрализованнй P2P-ботнет, что значительно осложняет работу исследователей, пытающихся обнаружить и обезвредить его центры управления. А в SpyEye появился функционал, который методами социальной инженерии заставляет пользователя самостоятельно сменить номер своего телефона, на который от банка приходят одноразовые SMS-пароли для подтверждения транзакций, на номер телефона злоумышленника. 

• Злоумышленники придумывают все новые изощренные способы распространения вредоносных программ и кражи паролей. Вот несколько примеров. Сотрудникам компаний приходят письма с внутренних адресов электронной почты, в которых ИТ-отдел сообщает, что компьютер заражен вирусом и пользователю нужно срочно скачать и запустить "антивирусную программу" по ссылке. В Twitter распространяются сообщения, типа "появился блог с плохой информацией о тебе... еще не видел?" и укороченная ссылка на поддельный сайт со страницей входа в Twitter. Американцам рассылают от имени полицейского управления квитанции на оплату штрафов со вложенным вредоносным файлом.

Инциденты за неделю

• Наблюдается очередная волна массового взлома веб-сайтов и заражения их вредоносным кодом. Для взлома сайта используются уязвимости в ASP и ASP.NET. После взлома сайта, в его код добавляется вызов скрипта, представляющего собой загрузчик вредоносного кода, который эксплуатирует уязвимости Adobe Flash и Java. На данный момент обнаружены уже сотни тысяч взломанных сайтов, в том числе около тысячи сайтов Рунета (к счастью, пока среди них нет популярных сайтов). 

• Клиенты как минимум трех российских хостинг-провайдеров (Петерхост, SpaceWeb, FirstVDS) подверглись фишинговой атаке. Им рассылались по электронной почте от имени провайдера сообщения о якобы превышенном лимите нагрузки для текущего тарифного плана, которые содержали ссылку на фишинговый сайт, почти неотличимый от настоящего. Вводимые на поддельном сайте реквизиты доступа перехватывались злоумышленниками. Вот пример для FirstVDS.

• Взломана база данных учетных записей проекта Wine, похищены логины и пароли пользователей. Подробнее можно посмотреть здесь (на английском).

• Произошел крупный сбой в работе британского ЦОДа компании RIM (Research in Motion), в результате которого миллионы владельцев смартфонов BlackBerry в ряде регионов (в т.ч. в Европе и России) столкнулись с длительной неработоспособностью электронной почты, доступа к веб-сайтам, системы обмена мгновенными сообщениями.

• Sony пострадала от очередной волны хакерских атак, в результате которых личные данные 93 тысяч пользователей онлайн-сервисов компании (в т.ч. Sony Playstation Network) могли быть скомпрометированы. Некоторые подробности можно посмотреть здесь (на английском).

• Появились сообщения об атаках мошенников на пользователей системы "Сбербанк Онлайн". На зараженных трояном компьютерах реальный сайт Сбербанка подменяется его имитацией, в результате вся вводимая информация передается мошенникам. А чтобы подтвердить свою транзакцию с помощью SMS-пароля, мошенники звонят клиенту и убеждают его самого подтвердить эту транзакцию.

• Был взломан и выставлен на продажу домен co.cc.

• Хакеры атаковали британского оборонного подрядчика Raytheon UK. Хотя атака оказалась неуспешной для злоумышленников, она интересна тем, что для ее реализации использовались облачные сервисы.