Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Обзор рынка ИБ конец февраля

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

Регуляторы и законодательство

 
Во ФСТЭК утвержден методологический документ под названием «Меры защиты информации в государственных информационных системах», который является уточнением прошлогоднего Приказа ФСТЭК №17 по защите государственных информационных систем. ФСТЭК проделала большую работу по согласованию этого документа со всеми заинтересованными лицами, в том числе и из экспертов по информационной безопасности.

 
Изменения в требованиях регуляторов также обсуждались на прошедшем в конце февраля Уральском банковском форуме по информационной безопасности. В частности, Алексей Лукацкий в своём блоге перечислил все законодательные инициативы, которые обсуждались на конференции - готовящиеся ГОСТы, отмена "Приказа трёх", готовящиеся к лету документы по защите критических информационных инфраструктур. Впрочем, аналогичное перечисление действий регуляторов опубликовано и в блоге Андрея Прозорова.

 
Собственно, проект руководящего документа по АСУТП обсуждает в своём блоге Михаил Хромов. Он показывает, что проект документа ФСТЭК фактически является продолжением стратегии ведомства, выработанной во время подготовки приказов №17 по защите государственных информационных систем, и №21 по защите персональных данных. Хотя пока ведомство предлагает обсуждать детали этого документа, но приниматься будут, скорее всего, косметические правки, связанные с особенностью промышленных систем, но в целом документ войдёт в обойму уже принятых документов. В то же время по заверениям Александра Бодрика новый путь, указанный в Приказе №21, сильно меняет подходы к проведению аудита информационной безопасности по сравнению со сложившейся до этого практикой.

 
Новости безопасности

 
Исследователи безопасности совершенствуют методы аутентификации, придумывая различные механизмы замены секретным словам. В частности, исследователь Зияд Аль-Саллум, научный сотрудник компании ZSS-Research из Объединенных Арабских Эмиратов, предложил использовать для составления пароля географические названия мест, памятные для пользователя. Якобы подобрать скрытую в таких паролях информацию будет сложнее, чем стандартный символьный пароль. Впрочем, российские специалисты вообще рекомендуют отказаться от проверки логина и пароля при доступе пользователей с мобильных устройств. В этом случае посетителя можно достаточно надёжно идентифицировать по имени и IP-адресу, сверяя их с данными о его местоположении, полученными от оператора. Разработки подобного метода аутентификации проводятся в компании Digital Zone.

 
Финансовые же институты стараются решить проблемы аутентификации за счёт использования чиповых пластиковых карт. В частности с апреля 2014 года компания Visa перестаёт принимать оплату с платёжных терминалов, подключенных к мобильному телефону, которые имеют только считыватель магнитной полосы. Теперь все подобные терминалы должны обрабатывать в том числе и чиповые карты. А Центробанк с 2015 года вообще запрещает выпуск карт без встроенного микропроцессора. Кроме того, в Москве планируется внедрить в социальные "Карты москвича" технологию бесконтактных платежей MasterCard PayPass. Причём "Банк Москвы" будет вводить бесплатное SMS-информирование для пенсионеров о состоянии их счёта на социальной карте.

 
Разработчики нового стандарта HTTP 2.0 рабочая группа HTTPBis Working Group предложила стандарт Explicit Trusted Proxy, который позволяет провайдерам и любым промежуточным узлам расшифровывать трафик пользователей для целей его кеширования. Это позволит ускорить работу по шифрованному соединению, однако сильно снижает конфиденциальность передаваемых данных. Впрочем, пользователи могут соглашаться, а могут и не соглашаться на подобное кеширование на промежуточных доверенных узлах.

 
Инциденты и утечки

 
Хакеры сейчас активно участвуют в общественной жизни, и редкое масштабное событие обходится без их участия. Так и во время противостояния на Украине также произошло несколько атак. В частности, 20 февраля был атакован сайт телеканала Lifenews, который в прямом эфире транслировал события из Киева. Также 27 февраля был атакован сайт Президента России, который некоторое время был недоступен. В то же время хакеры из группировки Anonymous Ukraine сообщили о взломе нескольких экаунтов украинских политиков, опубликовав некоторые письма. Правда, насколько эти письма реальные - определить не представляется возможным. Таким образом, хакеры активно участвуют с обоих сторон противостояния.

 
Есть сведения, что на чёрный рынок поступил огромный объём данных о учётных данных пользователей - 360 млн. записей. Какой именно сервис при этом был атакован - не совсем понятно. Предполагается, что несколько с помощью целевых атак. Среди продаваемой информации есть логины и пароли к таким сервисам AOL, Google, Microsoft и Yahoo, с помощью которых злоумышленники могут получить доступ и к более критичным сервисам, которые привязаны к электронной почте.

 
В четверг 20 февраля произошла одна из крупных DDoS-атак на одного из регистраторов доменных имён компанию Namecheap. Было атаковано 300 DNS-серверов. Мощностью атаки в пике достигала 100 Гбит/с.

 
Уязвимости и вредоносы

 
Зафиксирован массовый взлом домашних маршрутизаторов Asus - сообщается о взломе 13 тыс. устройств. Как именно произошёл взлом и заражение этих маршрутизаторов не совсем понятно - вполне возможно, что злоумышленники воспользовались какой-то известной или неизвестной уязвимостью, однако, вполне возможно, что доступ к устройствам был получен с помощью перебора паролей. В частности, о уязвимостях в маршрутизаторе AVM Fritz!Box появилась достаточно подробная публикация на Хабре, где показаны основные методы атаки на подобные шлюзовые устройства.

 
За отчетный период было обнаружено две критических уязвимости. Одна - в Adobe Flash,  которую уже использовали хакеры для нападения на пользователей компьютеров. А вторая - а реализации криптобиблиотеки GnuTLS, которая была вначале исправлена компанией Apple, а потом и в других продуктах, использующих эту библиотеку. В этом случае злоумышленник мог подделать SSL-сертификат, и заманить пользователя на фальшивый сайт.

 
Эксплойт для уязвимости годичной давности может поразить до 73% устройств, работающих под управлением Android. К такому выводу пришли хакеры из компании Rapid7. Причём по заявлениям экспертов эксплойт может сработать даже на очках Google Glass.

 
Решения и сервисы

 
В Барселоне на MWC-2014 антивирусные компании представили новые версии своих мобильных решений. Так "Лаборатория Касперского" показала мобильное решение для защиты корпоративных пользователей планшетов и смартфонов - компания поддержала платформу Windows Phone и технологию SAFE от Samsung. Также "Лаборатория Касперского" продемонстрировала в Барселоне свой новый продукт Kaspersky Fraud Prevention, который обеспечивает безопасность платежей на всех этапах совершения транзакций. Компания же Eset там же представила бета-версию NOD32 Mobile Security 3.0, которая бесплатно будет доступна до 1 июля.

 
Впрочем, сама Samsung представила вторую версию своей корпоративной платформы защиты мобильных приложений Knox 2.0, которая позволяет создать в мобильных устройствах компании специальное защищённое хранилище для корпоративных данных.

 
Компания Agiliance анонсировала новую версию платформы для управления рисками RiskVision 7. Она используется для корреляции событий по информационной безопасности и выявления операционных рисков в области ИТ, в том числе и при использовании мобильных технологий.

 
Аналитика и тенденции

 
Компания Zecurion оценила объёмы потерь, которые понесли компании из-за деятельности хакеров и инсайдеров. Компания определила общий ущерб в 25 млрд. долл., что на 25% больше, чем год назад. При этом подсчёт компании Microsoft оказался более оптимистичен - пользователи Интернет потеряли за 2013 года 5 млрд. долл. Правда, в первом случае речь идёт о ущербе компаний, в то время как Microsoft считала убытки индивидуальных пользователей.

 
Компания Tripwire проанализировала уровень защищённости домовых маршрутизаторов, и оказалось, что 80% продаваемых на Amazon наиболее популярных моделей маршрутизаторов уязвимы к различным атакам. Причём для 34% из них даже опубликован код эксплойтов. При этом маршрутизаторы представляют наиболее интересную мишень для хакера, поскольку полностью контролируют трафик индивидуальных пользователей.

 
Компания FortiGuard в очередной раз зафиксировала очевидное - больше всего вредоносов для мобильных устройств было написано в 2013 году для платформы Android - 96,5%. В частности, компания обнаружила за год более 1800 различных семейств вредоносных кодов, и отметила, что их количество будет только увеличиваться.  Менее очевидно, что на второе место вырвалась платформа Symbian с показателем в 3,45%, при полной импотенции вредоносов для всех остальных платформ вместе взятых - менее 1%. Это говорит только о популярности Android, и отсутствии экономического интереса в разработке вредоносов под другие платформы.

 
Вокруг света

 
Организация Net-Security.org опубликовала статью, в которой проанализировала возможности различных средств защиты для использования их в составе облаков. 

 
Компания Securosis опубликовала материал, содержащий представление экспертов компании о дальнейшем развитии индустрии информационной безопасности.

 
Статьи и выступления экспертов

 
Эксперты компании Avecto проанализировали уязвимости в различных продуктах Microsoft и пришли к выводу, что больших последствий от уязвимостей можно было бы избежать простым отключением прав локального администратора. Вывод логичный и не новый, но почему-то до сих пор пользователи предпочитают работать, в том числе и для сёрфинга в Интернет, с правами локального администратора. Похоже, что Windows просто провоцирует пользователей на завышение полномочий.

 
На Хабре опубликована статья, в которой эксперт по безопасности сравнивает реакцию различных российских компаний на обнаруженные им уязвимости. В основном, служба безопасности уже реагирует положительно и исправляет ошибки, однако для экспертов важно также признание проделанной работы, а в этом вопросе редкие компании даже просто благодарят экспертов. А ведь есть же компании, которые платят за обнаруженные в их веб-проектах ошибок.

 
Ещё одна экспертная публикация на Хабре посвящена настройкам домашних маршрутизаторов, о тотальной уязвимости которых было сказано выше. Обсуждаются различные настройки, которые в некоторых случаях могут защитить от атак на эти достаточно уязвимые устройства.

 
Посты в блогах

 
В блогах было очень много публикаций по прошедшему в Магнитогорске форуму уральскому банковскому форуму. В частности, Андрей Прозоров опубликовал в своём блоге итоговое выступление Алексея Лукацкого, который подвёл краткий итог мероприятию. Также Андрей Прозоров собрал ссылки на презентации, прочитанные в рамках Форума и опубликованные в сети. Алексей Лукацкий в своём блоге подробно обсуждает как инициативы Центробанка, создание "Банковского CERT" и прочая. А Александр Бондаренко в своём посте обсудил даже тему правильной организации подобных выездных мероприятий по теме информационной безопасности.

 
Компания "Лаборатория Касперского" провела студенческую конференцию CyberSecurity for the Next Generation, на которой обсуждались перспективные технологии в области информационной безопасности. В частности, среди них есть такие как "тест на человечность" по жестам рук, использование кодов исправления ошибок для защиты системы и шифрования данных в социлаьных сетях. Призёры поличили денежные вознаграждения на продолжение исследований в указанной области.

 
Что посетить?

 

"Академия Информационных Систем" приглашает на авторский курс по безопасности АСУ ТП, который проведёт в апреле Алексей Лукацкий. Курс посвящён нормативным требованиям в этой области и предназначен для CISO, которые занимаются обеспечением безопасности промышленных информационных систем.

 

Компания Positive Technologies раскрывает подробности о готовящемся на конец марта мероприятии PHD IV, в котором примет участие множество уважаемых людей и пройдут интересные мероприятия.

 
Что почитать?

На сайте SecurityLab опубликован разбор одного из наиболее известных эксплойтов для уязвимости в Adobe Reader, которая была недавно исправлена Adobe уже после выпуска эксплойта. Автор анализирует использованый в нём метод исполнения вредоносного кода.

На сайте проекта "ИТ-Защита" опбликован материал по анонимизаторам, которые можно использовать при доступе в сети Интернет. Они полезны в том числе и для обхода различных блокировок.

Оцените материал:
Total votes: 344
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.