Обзор рынка ИБ (выпуск 10)

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

Регуляторы. Законодательство.

Как и было известно заранее 7 ноября была опубликована третья версия стандарта PCI DSS, который определяет правила защиты клиентских данных при их обработке в платежных системах. Новая версия вступит в силу 1 января 2015 года. То есть время до вступления стандарта в силу есть, но не очень много - всего год.

В декабре ожидается увеличение активности Государственной Думы в работе над законами по информационной безопасности. В частности, предполагается активная работа по законопроекту Руслана Гаттарова по совершенствованию закона "О персональных данных", поправки к которому планируется внести не позднее декабря. Также в первом зимнем месяце планируется обсудить концепцию информационной безопасности детей в Интернет.  

Новости безопасности

Компании Microsoft, Facebook и Google создали единый фонд Internet Bug Bounty, из которого будут финансировать различные программы покупки сведений об уязвимостях. Исследователи могут получить за найденную проблему от 300 до 5 тыс. долл. - разные технологии оцениваются по разному.

Разработчики услуг защищенной почты Lavabit и Silent Circle объявили о создании защищенного протокола электронной почты, который позволил бы сохранить содержание и адресатов письма в тайне даже при условии тотальной прослушки каналов связи. Этот протокол призван противостоять деятельности АНБ по перехвату трафика почтовых сообщений. Для создания и развития этого протокола был образован Dark Mail Alliance, куда пока вошли разработчики, но, вполне возможно, к нему будут присоединяться и другие заинтересованные участники.

Агентство по стратегическим инициативам DARPA объявило конкурс на разработку систем автоматического поиска и исправления уязвимостей. В рамках конкурса планируется уже в 2016 году вручить премию в 2 млн. долл. за лучшую разработку подобной системы.

Инциденты и утечки

Одной из важных тем начала ноября стало опубликование информации по неизвестно до этого уязвимости в библиотеках Microsoft при обработке TIFF-изображений, которая была обнаружена компанией. Уязвимость оказалась настолько сложной, что специалисты компании не смогли выпустить исправления для неё в ноябрьском наборе обновлений, поэтому опасность её эксплуатации по прежнему остаётся. 

Ограблен виртуальный банк виртуальной валюты bitcoin под названием inputs.io, который предлагал услуги электронного сейфа для хранения криптовалюты. Стоимость украденных bitcoin составляет 1,2 млн. долл.

Обнаружен один из наиболее загадочных троянцев, который назван BadBIOS. Он позволяет преодолевать для организации утечки данных воздушный зазор между компьютерами, что ранее считалось невозможным. Даже если сама история является очень хорошей мистификацией, сама возможность реализации подобного сценария может изменить отношения к правилам организации защиты наиболее серьёзных секретов.

Аналитика и тенденции

Антивирусные компании подводят итоги октября. Компания Eset отмечает активность троянской программы ZeroAccess. В "Лаборатории Касперского" озабочены опасностью Java. А эксперты Dr. Web в который раз рассказывают о повышении активности шифровальщиков.

Специалисты университета Карнеги-Меллона провели исследование собственной базы паролей и поделились его результатами. Парольная политика университета достаточно жёсткая - поскольку по паролям организовывался доступ к ценным данным, то были установлены ограничения на длину и сложность пароля. В исследовании обсуждается насколько сложные пароли придумывают собственные студенты и преподаватели, что выгодно отличает его от изучения утёкших парольных баз, где очень много мусора.

Вокруг света

Компания Trend Micro также провела исследование вредоносов, которые занимаются блокировкой компьютеров или шифрованием данных пользователей и требуют выкуп за восстановление доступа к данным. Вредоносы такого типа становятся всё более популярны, поэтому компания решила опубликовать исследование и обсудить некоторые методы защиты от подобных угроз.

Компания Avast опубликовала свои рекомендации для владельцев небольших сайтов по их защите от взлома и вставки в них вредоносных фрагментов. Сейчас злоумышленники освоили методы массового взлома подобных небольших сайтов, вставляя в них вредоносные фрагменты для заражения их посетителей. В результате даже небольшие сайты с малым потоком посетителей оказались под угрозой, так как их злоумышленники могут использовать для самых различных целей. Поэтому владельцам даже таких сайтов стоит позаботиться о безопасности эксплуатируемых систем.

Статьи и выступления экспертов

Михаил Емельянников поделился в своём блоге мнением о прошедшем круглом столе на конференции «Информационной безопасности России 2013», где он вместе с Филом Циммерманом, Сергеем Рябко и Вячеславом Смирновым обсудили проблемы приватности в цифровом мире. Тема активно обсуждается в связи со скандалом секретных материалов Эдвардом Сноуденом.

Алексей Комаров обсудил в публикации проблемы скорости прохождения аутентификации. Одна из проблем безопасности - она мешает работе, ухудшая эффективность. Поэтому при разработке систем безопасности стоит помнить и об их эффективности и удобстве. Именно эта проблема и обсуждается в статье.

Посты в блогах

Алексей Лукацкий поднял тему крупных игроков в отрасли кибербезопасности. Он приводит отчёт Global Cyber Security Market 2013-2023, в котором в качестве лидеров указываются крупные транснациональные корпорации, такие как Boeing, Harris и Lockheed Martin. Видимо, в отчёте под термином кибербезопасность подразумевается физическая защита - понятно, что продавать системы видеонаблюдения выгоднее, чем антивирусы.

Николай Федотов в своём блоге привёл хороший пример, как можно организовать проверку на уязвимости в сообществе разработчиков с открытыми кодами. Сейчас сообществу ставится в вину, что у них нет аналога SDL, который стоит достаточно дорого. Механизмы крауфандинга могут помочь в решении этой проблемы.

Что посетить?

Началась регистрация на шестнадцатую конференцию "РусКрипто", на которой традиционно обсуждаются вопросы прикладной криптографии. Она состоится с 26 по 29 марта 2014 года в подмосковном отеле «Солнечный Park Hotel & SPA». 
Также уже открыта регистрации на конференцию шестой уральский форум «Информационная безопасность банков», который пройдёт в Магнитогорске. На нём традиционно обсуждаются аспекты банковской информационной безопасности.

Что почитать?

Сейчас межсетевые экраны традиционно совмещают с VPN-продуктами, что удобно для использования и администрирования. Однако с точки зрения сертификации это создаёт проблемы, поскольку функциональность межсетевого экрана нужно сертифицировать во ФСТЭК, а VPN - в ФСБ. Поэтому продуктов, которые имеют и тот, и другой сертификаты не так и много - всего семь. Подробнее тему обсудил Алексей Комаров в своём блоге.

Опубликована статья на Хабре о том, как перехватывать GSM. Не смотря на то, что GSM уже существует достаточно давно, кажется, что вмешаться в его работу по прежнему сложно. Тем не менее оборудование для этого уже есть, и хакеры уже активно обсуждают возможности вмешиваться в каналы мобильной связи. Стоимость такого оборудования уже 30 долл., и все необходимые для его работы программы уже разработаны открытым братсвом программистов.

 

Оцените материал:
Total votes: 151
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.