Обзор рынка ИБ начало марта

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

Регуляторы и законодательство

Международный институт по разработке стандартов приступил к согласованию двух стандартов в области информационной безопасности: ISO/IEC DIS 27040 «Информационные технологии – Меры безопасности - Безопасность хранения данных» (Information technology - Security techniques - Storage security) и ISO/IEC DIS 27018 «Информационные технологии – Меры безопасности - Свод практики по мерам защиты персональных данных при оказании публичных облачных услуг в качестве обработчиков персональных данных, действующих по поручению оператора» (Information technology - Security techniques - Code of practice for PII protection in public cloud acting as PII processors), которые со временем могут быть приняты в качестве международных. В частности, Россия признаёт некоторые стандарты из серии ISO 27000, поэтому, вполне возможно, они также повлияют и на российских регуляторов в будущем. Обсуждение обоих документов с точки зрения документалистов можно найти в блоге Натальи Храмцовской, однако вопросы безопасности, обсуждаемые в них, пока в российском сообществе ИБ не обсуждались.

 

Альянс производителей HD-камер для видеонаблюдения HDcctv Alliance выпустил стандарт для приёма сигнала с этих камер и передачи на них управляющих сигналов по коаксиальному кабелю по протоколу HD-SDI. Стандарт предназначен для того, чтобы исключить IP-камеры и инфраструктуру передачи данных в системах видеонаблюдения. Стандарт предлагает вернуться к классической системе видеонаблюдения с разделением на пассивные камеры и видеомагнитофоны но уже с высоким разрешением, исключив тем самым риски, существующие в сетях передачи данных.

Евгений Родыгин сравнил в своём блоге два подхода к сертификации средств защиты - по техническим условиям и по руководящим документам ФСТЭК. В том и в другом случае есть свои преимущества и недостатки, поэтому перед прохождением процедуры сертификации производителям средств защиты стоит оценить оба подхода.

Новости безопасности

Выпущена новая версия SIEM-системы с открытыми исходными кодами Open Source Security Information Management (OSSIM) 4.5 и соответствующая ей коммерческая версия AlienVault Unified Security Management (USM) 4.5, которые разработаны компанией AlienVault. При этом открытая версия предназначена для защиты, а коммерческая - для соблюдения требований регуляторов, в частности PCI DSS 3.0.

Компании RSA и Pivotal выпустили типовую архитектуру для использования технологий Больших Данных для решения проблем безопасности под названием Big Data for Security Analytics. Архитектура предназначена для создания систем корреляции событий и SIEM, которую к тому же можно будет сделать распределенной.

Инциденты и утечки

Хакеры активно участвуют в информационной войне между Россией и Украиной, атакуя информационные ресурсы друг друга. Так в начале марта Anonymous атаковали сайт телеканала RT, сделав его дефейс. Чуть раньше были зафиксированы DDoS-атаки на польские веб-ресурсы, которые взяла на себя группировка Anonymous Ukraine. Затем 3 марта был атакован веб-сайт украинского агентства УНИАН, а 6 марта аналогичной атаке подвергся сайт совета национальной безопасности и обороны Украины. В ответ 7 марта предположительно украинскими хакерами из группы "Киберсотня" был атакован сайт "Российской газеты", а 10 марта атака была направлена уже против портала Life News. Ну и, конечно, атаке подвергся сайт референдума по статусу Крыма referendum2014.org.ua, которая прошла в ночь на 11 марта. В результате сайт досрочно пришлось перенести в российскую доменную зону. Были также зафиксированы атаки на сайты Первого канала, Центробанка, Кремля, "Ленты.ру", Верховного совета Крыма, МИД России, РИА "Новости", Межпарламентской Ассамблеи СНГ. Ну и, конечно, апофеозом этих атак стала атака на российские спутники, которая была организована с территории Западной Украины. Впрочем, и противники не остались в долгу - группировкой "КиберБеркут" были атакованы сайты NATO.

Параллельно DDoS-атакам были произведены также взломы нескольких почтовых систем. В частности, были взломаны системы электронной почты посольства Индии в Москве, а также почтовый ящик в компании SearchInform. Однако как минимум опубликованная переписка SearchInform частично является фальшивкой, сфабрикованной самими хакерами по открытым источникам. Также появились сообщения от имени Anonymous Ukraine о якобы взломе почты подполковника армии США Джейсона Греша (Jason P. Gresh), находящегося сейчас в Киеве, который якобы переписывался с высокопоставленным чиновником из украинского Генштаба Игорем Проциком. Проверить достоверность этой переписки вообще не представляется возможным. Все эти сообщения о взломах вполне могут быть сфабрикованы и являться частью информационной войны. Своё отношение по крайней мере к атаке на SearchInform высказал Алексей Лукацкий, хотя его можно отнести и ко всем остальным взломам из этой серии.

Также продолжается активность хакеров по атакам на биржи bitcoin. Две из них были атакованы за отчётный период - Flexcoin и Poloniex. Уязвимость была обнаружена в организации транзакций, которая и позволила хакерам ограбить указанные ресурсы. Кроме того, хакеры начали активно исследовать проблемы, возникшие у обанкротившейся биржи MtGox, взломав почтовую переписку её руководителя. Собственно, утёкшие данные, в том числе и исходные тексты биржи, обсуждаются в посте на Хабре. Похоже, что у bitcoin как у криптовалюты наступили чёрные времена - стоит присмотреться к аналогам (Ethereum), но не форкам (litcoin).

Уязвимости и вредоносы

Социальная сеть Facebook достаточно хорошо защищена, однако её всё-равно можно использовать для нападения для распространения ссылок. В частности, Panda Security обнаружила способ привлечения пользователей на фальшивый сайт Google Play для загрузки приложений. Кроме того, хакеры используют в качестве приманки видео, для просмотра которого якобы нужно скачать новую версию Flash-плеера. Таких атак было даже две: с "голыми друзьями" и пропавшим самолётом. Впрочем, есть сведения о том, что на социальную сеть можно провести MITM-атаку. Собственно, ранее уже были опубликованы сведения о перехвате трафика Facebook со стороны АНБ, которая как раз и была выполнена по этой схеме.

Компания G Data обнаружила российский троянец Uroburos, который по их мнению использовался для шпионажа. Эта история всплыла очень своевременно, чтобы показать возможность России проводить в том числе и высокотехнологические атаки. Symantec заявила о 1000 заражённых сетей и связях с более ранними шпионскими операциями, такими как Red October и траянец Agent.BTZ.

Решения и сервисы

Компания "Инфотекс" объявила о разработке ViPNet-клиента для российского смартфона YotaPhone. Теперь прямо на заводе в память смартфона будет встроен VPN-клиент для подключения к шлюзам компании - его достаточно просто активировать. Впрочем, насколько данный клиент совместим с другими российскими VPN-продуктами пока не понятно, хотя стандарт для этого есть. В общем, Apple продолжает напрягаться.

"Лаборатория Касперского" запатентовала метод организации вычислительного кластера, который автоматически занимается перераспределением ресурсов в случае выхода из строя одного из узлов. При этом система является децентрализованной и может работать до тех пор, пока останется один единственный узел. Основана работа такого кластера на специальном счётчике системного времени, который должны обновлять все узлы. Если хотя бы один из узлов не отметился, то он считается вышедшим из строя.

Департамент образования города Москва объявил о выпуске социальной карты нового правления, которая является чиповой платёжной картой с поддержкой технологии NFC. С помощью новой карты можно получать не только скидки, но и финансовые услуги бесконтактной оплаты. Кроме того, на карту можно будет записывать билеты "Тройка".

Аналитика и тенденции

Компани Eset опубликовала результаты опроса пользователей социальных сетей - насколько часто они меняют пароли, как часто настраивают видимость информации в социальных сетях, ограничивают ли доступ к персональным данным. По России результаты являются не сильно хуже других стран.

Компания InfoWatch обнародлвала данные за 2013 год по публичным утечкам, которых было зафиксировано несколько больше, чем в прошлом году. Основными действующими лицами в утечках являются сотрудники как работающие на предприятиях, так и уволенные. Часто утечки допускают подрядчики.

Вокруг света

Компания Securosis опубликовала рекомендации по защите от DDoS-атак. Собственно, это первая публикация серии про защиту от DDoS, в которой обсуждается защита от атак на уровне сети.

Компания Fortinet начала публикации о алгоритме действия червя Sality, который до сих пор распространяется в сетях. В первой части обсуждаются различные алгоритмы шифрования и сокрытия кода червя, который позволяет ему так долго существовать незамеченным в операционной системе. Во второй части планируется обсуждать вредоносные функции данного червя.

Статьи и выступления экспертов

На Хабре опубликована заметка о том, как проводятся тесты на проникновение для операторов. Даже когда служба безопасности хорошо защищает основные сайты может обнаружится лазейка в тестовых проектах. Поэтому службе безопасности не стоит забывать о контроле в том числе и тех проектов, которые находятся в разработке.

Там же на Хабре опубликована статья с инструкциями по удалению скрытых ссылок в среде Phpshop Enterprise 3.6. Троянские ссылки вставляют злоумышленники для отвлечения посетителей электронного магазина на свои, возможно, вредоносные ресурсы. Найти и удалить такие ссылки оказывается непросто - в статье разбирается процедуры для этого процесса. На ту же тему лечения сайтов от вредоносных вставок можно также прочитать и другую статью Хабра, где подробно разбираются методы встраивания подобных вставок в контексте сайта.

Евгений Родыгин обсуждает в своём блоге очень актуальную проблему - источники угроз для информационных систем критически важных объектов. В связи с противостоянием России со странами, где разрабатывались наиболее современные решения для управления производственными системами, тема выявления закладок в таком ПО стала очень популярна. Самостоятельно разработать подобные системы России вряд ли удастся быстро, а вот блокировать или иным образом компенсировать потенциальные проблемы, заложенные в ПО, вполне возможно.

Посты в блогах

Ксения Шудрова обсуждает в своём блоге современное состояние дел с обезличиванием персональных данных. В то же время Алексей Лукацкий вообще утверждает, что обезличивание персональных данных для государственных и муниципальных систем является обязательной - так по крайней мере считают представители РКН и прокуратуры.

Игорь Агурьянов обсуждает в своём блоге использование документов в качестве "бумажного щита" от регуляторов. В качестве документогенератора используется сервис "Б-152", который позволяет по заполненным анкетам сгенерировать набор документов для регуляторов. В статье обсуждается кейс о том, как именно можно использовать этот сервис во время проверки. Следует отметить, что к ИБ данный пост не относится, но часто руководители предприятий перекладывают эту работу на сотрудников ИБ.

Евгений Касперский опубликовал в своём блоге фотографии с "Цебит", где у его компании был стенд. Боюсь, что в дальнейшем таких фотографий сделать уже не получится.

Что посетить?

Приглашаю поучаствовать в конкурсе Internet of Things Security Grand Challenge, который проводит Cisco. Призовой фонд составляет 300 тыс. долл., которые будут разделены между пятью или шестью проектами. В основном организаторов интересуют проекты в области безопасности устройств, используемых в производстве, здравоохранении, нефтяной и газовой промышленности.

Свой конкурс проводит и компания "Инфотекс". На этот раз речь идёт о "Профессиональном аналитике", который предполагает разработку кода для представления отчетов на основе информации из базы данных. Заявки на конкурс принимаются до 15 июля. Максимальное вознаграждение составляет 350 тыс. руб.

Что почитать?

На Хабре опубликована статья, в которой собраны примеры однострочных ошибок, которые допускали разработчики различных продуктов, и которые, в результате, приводили к серьёзным последствиям для безопасности продуктов.

Забавная история о том, как можно использовать уязвимость в Google Maps для спамерских объявлений в наиболее популярных местах. По идее автор хотел привлечь внимание к проблеме, и использовал для этого ФБР.

Оцените материал:
Total votes: 230
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.