Дайджест ИБ за 07 - 13 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Алексей Лукацкий опубликовал серию постов на тему взаимодействия ИБ и бизнеса. 
• "Как донести до руководства важность ИБ?" - для этих целей можно воспользоваться концепцией из стандарта Val IT, направленной на то, чтобы показать значение/ценность ИТ для бизнеса. Далее Алексей приводит список вопросов, интересующий топ-менеджеров и членов совета директоров, ответив на которые мы сможем понять, готовы ли мы выносить тему ИБ на уровень бизнеса.
• "Карта эмпатии на благо безопасника" - если безопаснику не удалось выйти на уровень топ-менеджмента и "продать" идею ИБ, как бизнес-процесса, он может сконцентрировать свои усилия на отдельном начальнике, помощь которого необходима для достижения поставленных целей. Для этого Алексей предлагает воспользоваться картой эмпатии, чтобы понять потребности этого человека и найти с ним общий язык.
• "ИБ как раковая опухоль" - чтобы ИБ компании не превратилась в "раковую опухоль", т.е. службу, которая обслуживает только саму себя и поддерживает только свое существование, руководитель ИБ должен понимать, для кого работает компания, кто ее клиенты, каковы их потребности и т.д.

Лучшие посты из англоязычных блогов по ИБ

• Пост Ben Tomhave "Активы, Черные лебеди и Угрозоцентризм", в котором Бен говорит о необходимости перехода от "угрозоцентризма" к "активоцентризму". Ориентация на угрозы при отсутствии информации об активах бессмысленна, так как лишена контекста. Какой смысл рассматривать угрозы абстрактным активам? К тому же при таком подходе задача обеспечения ИБ будет изначально нерешаема в принципе. По мнению Бена, ориентироваться нужно на активы и рассматривать угрозы только в контексте конкретных активов. Это сделает работу по обеспечению ИБ более осмысленной и значительно упростит ее.

• Пост Rafal Los "Нечеткая математика ROI". Рафаль считает, что мы часто используем различную статистику, метрики, результаты исследований и опросов только для того, чтобы продемонстрировать что-то, что мы не можем адекватно объяснить иначе. Например, чтобы обосновать необходимость закупки нового продукта или оправдать свое существование. Точно также мы подходим к расчету коэффициента ROI для решений по безопасности. Если руководство, которому мы показываем свои метрики и расчеты, захочет чуть глубже взглянуть на методику, скорее всего сразу всплывут цифры, основанные на необоснованных предположениях, манипуляции фактами и т.п. Проблема тут заключается в том, что мы зачастую рассматриваем безопасность с точки зрения безопасности, а не с точки зрения бизнеса. Чтобы исправить это, мы должны сначала понять, как ваше решение по безопасности повлияет на бизнес компании - возможно оно  позволит компании создать новые продукты или услуги, повысить качество или эффективность существующих, снизить себестоимость, создать дополнительную ценность для акционеров. Что действительно волнует руководство компании? Какие цели ставит компания перед собой? Если вы не знаете, какую ценность ваше решение даст акционерам (или иным заинтересованным сторонам), вероятно вы делаете что-то не то. Если знаете - у вас не будет сложностей с расчетами различных показателей и метрик.

• Пост Dejan Kosutic "Сколько времени занимает внедрение ISO 27001 / BS 25999". Дижен приводит ориентировочные сроки реализации (этапы Планирование и Выполнение) проекта по внедрению в компании требований стандартов ISO 27001 / BS 25999 (для крупной компании (от 500 сотрудников) сроки обычно составляют 12-15 месяцев) и дает рекомендации, как это время можно сократить.

• Daniel Miessler сделал подборку различных ресурсов, сервисов, документов и утилит по теме взлома и тестирования веб-приложений.

Законодательство

• Законопроект "О служебной тайне" окончательно отклонен Гос.Думой. За новость спасибо Trotsky.

Стандарты, руководства, лучшие практики, исследования

• ISO опубликовала новый документ ISO/IEC TR 27008:2011 "Руководство для аудиторов по мерам и средствам обеспечения ИБ". Документ нацелен на обеспечение доверия к мерам и средствам обеспечения ИБ, лежащих в основе СМИБ компании. Документ содержит рекомендации для аудиторов по анализу реализации и эксплуатации мер и средств ИБ, включая проверку соответствия установленным требованиям. За ссылку спасибо Наталье Храмцовской.

• Open Group выпустила руководство по интеграции подходов к безопасности и управлению рисками на уровне корпоративной архитектуры. Целью документа является помощь архитекторам в обеспечении согласованности решений по безопасности с ключевыми бизнес-целями компании при одновременном снижении затрат и повышении эффективности. С этой целью руководство описывает способы интеграции методологий TOGAF и SABSA. С кратким обзором документа можно ознакомиться здесь (на английском).

• SANS опубликовала документ "Настройки безопасности iPad и анализ рисков для iOS 4.X".

• Компания Tools4ever опубликовала документ по корпоративным решениям SSO (единый вход). В документе описаны преимущества внедрения в компании решений SSO с целью обеспечения компромисса между высоким уровнем безопасности и удобством использования ИТ-систем.

Новости

• Обнаружена критическая уязвимость в операционной системе Windows (подвержены Windows Vista, Windows Server 2008 и Windows 7). Отправка специально сформированных UDP-пакетов на закрытый порт компьютера может позволить удаленно выполнить на компьютере любой код. С бюллетенем Microsoft можно ознакомиться здесь (на английском). А здесь можно посмотреть информацию о возможности эксплуатации этой уязвимости (на английском).

• В США выдвинуты обвинения против шестерых эстонцев и россиянина, занимавшихся мошеннической деятельностью в сети Интернет. Они обвиняются в организации изощренной системы генерации «мошеннических кликов», в рамках которой было инфицировано более 4 млн. компьютеров в более чем 100 странах. Все эти компьютеры входили в один из крупнейших ботнетов DNS Changer, который был недавно ликвидирован (UPD. Появилась информация, что DNS Changer все еще жив). Прикрытием аферистам служила созданная ими в 2005 году компания Rove Digital. Ее совладельцы наплодили ряд дочерних компаний разного профиля в Европе и США, которые в основном занимались оказанием различных услуг киберкриминалу. Кстати, Rove Digital является одним из ключевых инвесторов небезызвестного процессингового центра ChronoPay, владелеца которого (Павла Врублевского) несколько месяцев назад арестовали российские правоохранительные органы по обвинению в организации DDoS-атаки на компанию Assist.

• В операционной системе iOS обнаружена серьезная уязвимость. Дело в том, что встроенный в iOS браузер в последних  версиях операционной системы обрабатывает код JavaScript на более низком системном уровне, что было сделано для повышения производительности. Но это же сняло некоторые ограничения, препятствующие выполнению на устройстве неподписанного кода. Для проверки возможности использования уязвимости, исследователь Чарли Миллер написал вполне безобидно выглядящую утилиту Instastock, которая прошла проверку Apple и была размещена в AppStore. Однако при запуске эта утилита (помимо своего основного функционала) связывалась с компьютером Чарли, который получал при этом полный доступ к устройству пользователя. 

• На этой неделе многие производители ПО выпустили пакеты обновлений для своих продуктов, устраняющие критические уязвимости.
• Microsoft выпустила пакет обновлений, в состав которого входит патч, закрывающий критическую уязвимость MS11-083, которая может позволить злоумышленнику выполнить на компьютере произвольный код, отправив на его закрытый порт специально подготовленную последовательность UDP-пакетов.
• Кроме того, Microsoft выпустила временный патч для уязвимости в AppLocker, которая позволяет недоверенному пользователю обойти средство защиты, предотвращающее запуск неразрешенных приложений.
• Adobe выпустила обновление для Shockwave Player, Flash и AIR. Кстати, Adobe решила в ближайшее время полностью отказаться от поддержки мобильной версии Flash Player.
• Mozilla выпустила новую версию браузера Firefox 8, содержащую исправление ряда критических ошибок.
• Apple выпустила обновленную версию операционной системы iOS 5.0.1, которая устраняет несколько уязвимостей, в т.ч. ту, которой воспользовался Чарли Миллер.

• Исследователи из компании Stach & Liu обнаружили, что поиск по Google Code может позволить злоумышленникам получить информацию, которой они в дальнейшем могут воспользоваться для взлома веб-сайтов, облачных сервисов и сетей. Исследователи еще раз обращают внимание компаний на необходимость использования безопасных практик разработки ПО и недопустимость включения паролей в программный код. С презентацией исследователей можно ознакомиться здесь (на английском).

• В социальной сети "ВКонтакте" есть функция поиска в публичных документах любого пользователя. Причем при размещении пользователем нового документа, он по умолчанию считается публичным, если пользователь специально не изменит настройки приватности. Это привело к тому, что в публичном доступе можно найти множество "интересных" документов - например, сканы паспортов пользователей.

• Появился специализированный троян Trojan.PWS.Dande, который угрожает фармацевтическим компаниям. Троян предназначен для кражи данных клиентских приложений семейства "Системы электронного заказа", позволяющих различным фармацевтическим предприятиям и аптекам заказывать у поставщиков медицинские препараты. Среди собираемых данных - сведения об установленных на компьютере программах, пароли учетных записей и т.д. Интерес для злоумышленников вероятно представляют данные о ценах и объемах заказа медикаментов. Вся похищенная информация передается на их сервер.

Инциденты за неделю

• Технический сбой привел к приостановке торгов на ММВБ. Еще один технический сбой вывел из строя единый портал госуслуг.

• Хакеры взломали популярный игровой веб-сервис Steam, что привело к утечке всей базы данных пользователей сервиса (35 млн.) со всеми их личными данными, включая данные банковских карт (хотя по утверждению Valve (владелец сервиса), номера банковских карт хранятся в базе данных в зашифрованном виде).

• 18-летний житель Ярославля, укравший 1,8 млн. руб. из платежной системы подмосковного «Эльдорадо», приговорен к 3,5 годам условно и штрафу в размере 12 тыс. руб. Он установил на компьютеры магазина вредоносную программу, с помощью которой он получил логины и пароли сотрудников магазина, включая идентификаторы для доступа к системе электронных платежей. Воспользовавшись украденной информацией, мошенник вывел выручку «Эльдорадо» на сторонние счета, а затем обналичил.

• На веб-сайте Тверского отделения Пенсионного фонда России был по ошибке опубликован в общем доступе файл, содержащий персональные данные клиентов фонда с указанием страховых и накопительных взносов. Доступ к файлу был закрыт примерно через час после обнаружения ошибки, однако он на тот момент уже был проиндексирован Яндексом и сохранился в его кэше.

• Произошла утечка личных данных 24 тысяч участников молодежного форума Селигер 2011. Архив содержал имена, фамилии, даты рождения, адреса электронной почты, номера телефонов и "рейтинги" про-кремлевских активистов.

• В результате сбоя в работе маршрутизаторов магистрального провайдера Level 3 Communications целый ряд европейских и североамериканских интернет-сервисов и провайдеров остались без доступа в Интернет. В числе пострадавших оказалась компания Research in Motion, в результате чего пользователи устройств BlackBerry снова столкнулись с проблемами доступа к отдельным услугам. Проблемы возникли вследствие программной ошибки маршрутизаторов Juniper серии MX: при определенном стечении обстоятельств устройства "падали" и перезагружались.

• Несколько бразильских Интернет-провайдеров и коммерческих компаний пострадали от массового "отравления" DNS. Ничего не подозревающие интернет-пользователи, использующие их сервисы, вместо легитимных ресурсов (в частности, YouTube, Gmail и Hotmail) оказывались на вредоносных страницах, которые распростаняли троян, предназначенный для хищения банковских данных. Сотрудник одного из провайдеров был арестован по обвинению в помощи злоумышленникам.

• Взломан веб-сайт компании Adidas.