Дайджест ИБ за 31 октября - 06 ноября 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:

• Лучшие посты из русскоязычных блогов по ИБ
• Лучшие посты из англоязычных блогов по ИБ
• Интересные статьи и заметки по менеджменту, коммуникациям
• Законодательство
• Стандарты, руководства, лучшие практики, исследования
• Новости
• Инциденты за неделю

Лучшие посты из русскоязычных блогов по ИБ

• Презентация Алексея Лукацкого с конференции DLP Russia 2011 "Классификация информации. Анонс нового исследования". Алексей рассматривает основные проблемы, связанные с классификацией информации, и дает практические рекомендации по организации классификации.

• Евгений Царев провел вебинар по изменениям в законе о персональных данных. С записью вебинара можно ознакомиться здесь.

• Владимир Матвийчук сделал FAQ по экзаменам ISACA (CISA, CISM, CGEIT, CRISC). Информация будет полезна для всех планирующих пройти соответствующую сертификацию.

• Алексей Чеканов перевел статью Майка Томсона "9 смертных грехов в управлении непрерывностью бизнеса". Всем, кто планирует заняться вопросами непрерывности, настоятельно рекомендуется к прочтению.

• Виктор Давыдыч разработал форму для проведения аудита на соответствие требованиям PCI DSS 2.0. За ссылку спасибо Евгению Климову.

• Алексей Лукацкий сделал список крупных мероприятий по ИБ на 2012 год.

• Перевод статьи Криса Сандерса "Извлечение USB-артефактов в Windows 7". В статье Крис рассказывает, как при проведении исследования компьютера с Windows 7 выявить факты подключения к компьютеру USB-накопителей, определить, когда и какие пользователи их использовали. Крис рассматривает два варианта выполнения этой работы - вручную и с помощью специальных утилит USBDeview и USB Storage.

Лучшие посты из англоязычных блогов по ИБ 

• Alan Wlasuk сформулировал 7 непреложных законов безопасности: 1) никто не верит, что с ним может случиться что-то плохое, пока это не произойдет; 2) безопасность работает только в том случае, если она не вызывает сложностей; 3) если вы не устанавливаете патчи своевременно, вы не сможете долго оставаться хозяином своей сети; 4) антивирус с устаревшей базой сигнатур лишь немногим лучше полного отсутствия антивируса; 5) цена безопасности - это постоянная бдительность; 6) сильная безопасность несовместима со слабыми паролями; 7) технологии - не панацея.

• Eric Musick объединил в один архив пароли из различных баз данных, утекших за последнее время. Архив содержит около 14,5 млн. уникальных записей. Его можно использовать в качестве словаря при подборе паролей, либо в качестве списка "заведомо плохих" паролей.

• Статья Ewan Palmer "Топ-10 крупнейших кибер-атак в истории". В подборку Эвана попали: "Титановый дождь" (хакерская атака на американские правительственные организации в 2003 году, в результате которой злоумышленники получили доступ к сетям Lockheed Martin, NASA, военной базы "Арсенал Редстоун", лаборатории "Сандиа" и др.), Mafiaboy (студент Майкл Кальс провел в 2000 году успешную DoS-атаку на веб-сайты крупнейших компаний - Amazon, eBay, CNN, Dell и др.), взлом Sony PlayStaion Network (в 2011 году хакеры взломали сеть Sony PSN и украли данные около 77 миллионов пользователей; Sony понесла убытки в размере $1-2 млрд.), взлом Epsilon (в 2011 году хакеры взломали сети компании Epsilon и украли имена и адреса электронной почты миллионов людей; Epsilon понесла убытки в размере $4 млрд.), червь Морриса (первый сетевой червь, парализовавший работу 6 тыс. интернет-узлов в США), Эдриан Ламо (хакер, который искал недостатки и ошибки в обеспечении безопасности сетей крупных компаний и взламывал их; среди его побед - Yahoo, Citigroup, Bank of America, Microsoft, New York Times), почтовый червь Mydoom (эпидемия Mydoom в 2004 году нанесла ущерб порядка $39 млрд.), первая логическая бомба (в 1982 году ЦРУ использовало логическую бомбу для организации взрыва на сибирском газопроводе), кибер-атака на Грузию (DDoS-атака на грузинские сайты в 2008 году), Свен Яшан (автор червя Sasser, который в 2004 году заразил десятки миллионов компьютеров по всему миру).

• Статья Tessa Parmenter "Топ нарушений безопасности в 2011 году, для которых были использованы недостатки безопасности VPN". Тесса приводит некоторые подробности крупных атак 2011 года, в рамках которых злоумышленники воспользовались недостатками VPN: 1) уволенный сетевой инженер устроил хаос в сети Gucci (воспользовался ошибками, допущенными при развертывании VPN); 2) хакеры взломали центр сертификации DigiNotar (хакеры воспользовались уязвимостями реализации SSL VPN); 3) хакеры взломали учетную запись доверенного центра регистрации Comodo (хакеры воспользовались уязвимостями реализации SSL VPN); 4) хакеры получили доступ к 360 тысячам счетов клиентов Citigroup (хакеры воспользовались ошибку в IPSec VPN). В конце статьи даны рекомендации по предотвращению нарушений безопасности VPN.

• Пост Daniel Miessler "Анализ уязвимостей и Тест на проникновение", в котором автор сравнивает два этих вида проверки безопасности, их цели, показывает различия между ними и дает рекомендации - когда что использовать. Если кратко, это зависит от уровня зрелости ИБ в компании: при низком или среднем уровне зрелости больше подходит анализ уязвимостей, а при высоком - пентест.

• Пост Rafal Los "Вызов для CISO - выход за рамки "блестящих возможностей"", в котором Рафаль призывает специалистов по ИБ меньше внимания уделять "блестящим новым продуктам" с чудесными возможностями, которые решают проблемы безопасности, о которых вы еще вчера даже не догадывались. Не стоит тратить свой бюджет на "решения", предлагаемые вендорами, которые понятия не имеют о ваших реальных проблемах.

• Статья Ken Hess "Снимаем маску с хакера-злоумышленника". Кен приводит результаты исследования психологических особенностей личности и поведения хакеров. UPD. Еще статья на эту же тему (на русском).

Интересные статьи и заметки по менеджменту, коммуникациям

• Запись вебинара Александра Орлова и Вячеслава Панкратова "Чего не хватает начинающим менеджерам: 7 наименований".

Законодательство

• Вступил в силу новый Федеральный закон №99-ФЗ от 04.05.2011 "О лицензировании отдельных видов деятельности". Вопреки ожиданиям, выданные ранее ФСБ лицензии на эксплуатацию, техническое обслуживание, распространение (и разработку) шифровальных (криптографических) средств, не становятся бессрочными автоматически, а подлежат замене на новые по истечению срока их действия, т.к. изменилось их наименование (ч.4 ст.22).

• Опубликованы проекты приказов ФСБ "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" и "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи". За ссылки спасибо Алексею Лукацкому.

• По информации от зам. руководителя Роскомнадзора Романа Шередина, РКН планирует проверять наличие у операторов ПДн лицензий ФСТЭК и ФСБ, сертификаты на СЗИ ПДн. Предусмотренный в ст.19 нового 152-ФЗ набор защитных мер РКН считает минимальным набором необходимых мер, который при необходимости может быть расширен оператором.

• Вступил в силу приказ Минкомсвязи от 03.05.2011 №92, который, в частности, обязывает оборудовать аппаратурой ГЛОНАСС все устройства беспроводной передачи данных - в том числе, домашние и офисные беспроводные маршрутизаторы Wi-Fi, ноутбуки, смартфоны и т.д. При этом обладатель такого устройства должен иметь лицензию и разрешение Роскомнадзора. За нарушение грозит штраф 1000 рублей и конфискация соответствующего оборудования. Несмотря на абсурдность этого требования, Минкомсвязи подтвердило его по запросу редакции "Фонтанки". Есть информация о первых пострадавших.

Стандарты, руководства, лучшие практики, исследования

• Компания Лета выпустила брошюру, посвященную подходу к внедрению системы обеспечения ИБ по требованиям стандарта Банка России. За ссылку спасибо Александру Бондаренко.

• NIST опубликовал проект "дорожной карты" для американский правительственных организаций по внедрению облачных технологий. Документ состоит из двух томов: 1) Приоритетные требования по переходу правительственных организаций на облачные вычисления; 2) Полезная информация по переходу на облачные вычисления. Краткий обзор документа можно посмотреть здесь (на английском).

• По данным G Data, около 6,6 млн. пользователей Интернет в России не использует какого-либо защитного ПО.

Новости

• Злоумышленники придумали новый способ рассылки троянов клиентам банков для хищения денег посредством системы Банк-Клиент. Клиентам, якобы от имени банка, были разосланы бумажные конверты, содержащие письмо "о необходимости обновления сертификатов СКЗИ АС "Клиент-Банк"", соответствующую инструкцию и CD-диск с логотипом банка, на котором собственно и была записана вредоносная программа, предназначенная для хищения криптографических ключей и формирования платежных документов от имени клиента. Вопрос в том, где злоумышленники взяли список клиентов с адресами и телефонами. Хотя вряд ли это очень большая проблема...

• Одним из популярных способов, с помощью которого злоумышленники распространяют вредоносные программы, является массовый взлом легитимных сайтов и размещение на них вредоносного кода (либо перенаправление их посетителей на вредоносные сайты). Однако недавно появилась несколько иная тенденция. Некоторые злоумышленники не гонятся за количеством взломанных сайтов, а целенаправленно взламывают популярные сайты с большим количеством посетителей. Среди пострадавших сайтов уже отметились: РЖД, Free-lance.ru, Интерфакс, Экспресс газета, Комсомольская правда, несколько сайтов МЧС и Роскомнадзора, а также некоторые другие.

• На сайте SecTools.org обновлен Топ-125 инструментов для обеспечения и проверки сетевой безопасности. 

• Появились подробности в отношении нового червя Duqu, созданного, по всей вероятности, теми же людьми, которые участвовали в разработке нашумевшего червя Stuxnet. В отличие от Stuxnet, Duqu предназначен для хищения конфиденциальной информации (хотя направлен, вероятно, также на иранскую ядерную программу). Duqu содержит эффективные механизмы для обхода антивирусов - несмотря на то, что первые атаки произошли еще в конце прошлого года, детектироваться антивирусами он начал совсем недавно и только после сообщений Crysys и Symantec. Распространяется Duqu целенаправлено - жертве направляется по электронной почте специально подготовленный файл Word, содержащий вредоносный код, который для установки в систему использует ранее неизвестную уязвимость нулевого дня, связанную с работой шрифтов TrueType. Даже командные центры, похоже, создаются индивидуально под каждую жертву. С подробностями в отношении Duqu можно ознакомиться здесь: отчет Symantec (на английском), серия постов Александра Гостева (1, 2, 3), пост F-Secure (на английском). UPD. Microsoft выпустила патч для Windows, препятствующий попаданию червя Duqu в систему.

• В Москве прошла Вторая международная конференция "Защита персональных данных". Материалы с конференции можно посмотреть здесь.

• Исследователи из компании DVLabs создали сайт PwnedList, на котором можно узнать - не была ли скомпрометирована ваша учетная запись или адрес электронной почты в результате недавних хакерских атак. Перевод обзора этого сайта от Брайана Кребса можно посмотреть здесь.

• Symantec обнародовала данные об обнаружении крупномасштабной целенаправленной атаки (Nitro), ориентированной на кражу данных у химических и оборонно-промышленных предприятий. За несколько месяцев атакующим удалось заразить более сотни промышленных компьютеров и похитить с них данные.

• Исследователям с помощью "социо-ботов" удалось получить почти 250 гигабайт информации о пользователях социальной сети Facebook.

• Вышел очередной (юбилейный) номер журнала The Hacker News (на английском).

• В Москве выданы первые Универсальные электронные карты.

Инциденты за неделю

• Атаки на центры сертификации продолжаются. Еще один центр сертификации из Нидерландов - KPN - приостановил выпуск сертификатов в связи с обнаружением факта несанкционированного доступа к своим серверам. Ведется внутреннее расследование. А Mozilla и Microsoft заблокировали сертификаты малайзийского центра сертификации Digicert, что было вызвано нарушением им требований безопасности. Всего за несколько последних месяцев было взломано, как минимум, 4 центра сертификации.

• Российский офис LG оштрафован на 3,81 млн.руб. за использование пиратского программного обеспечения Adobe и Corel. Кстати, BSA разместила на своем сайте веб-форму, на которой любой желающий может разместить сведения об использовании пиратского ПО в компании, в которой он работает (или работал), или о распространении пиратского ПО с сайта в сети Интернет, либо дистрибьютером. BSA гарантирует анонимность заявителю.

• Уязвимость в плагине TimThumb для WordPress привела к массовому заражению веб-сайтов. Атака проводилась с помощью пакета эксплойтов Black Hole Exploit Kit, недавно утекшего в свободный доступ. Некоторые подробности можно посмотреть здесь (на английском). UPD. Количество зараженных сайтов продолжает расти.