Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Обзор рынка ИБ (выпуск 13)

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

Регуляторы. Законодательство.

ФСТЭК опубликовала документ по методике обезличивания базы персональных данных. Этот процесс может быть использован для защиты данных от утечек, в том смысле, что утёкшие из такой базы данные становятся бесполезны и не представляют коммерческой ценности. Однако введение в заблуждение преступников, своровавших обезличенную (читай перепутанную) базу, например, зарегистрированных автомобилей, может всё-таки привести к неприятным последствиям в том числе и для владельцев ПД. Своими замечаниями и рекомендациями по этому документу уже успели поделиться Андрей Прозоров, Артема Агеев и Алексей Лукацкий.

Правительством в начале декабря принято постановление за номером 1135, в котором уточняются правила использования простой электронной подписи. Основное изменение затрагивает процедуру генерирования ключа ПЭП - теперь его можно генерировать только с помощью поверенного в ФСБ средства криптографической защиты информации. Видимо, сделано это в ответ на разоблачения Эдварда Сноудена и других исследователей, которые показывают, что АНБ может контролировать генераторы случайных чисел для средств шифрования. Впрочем, по мнению Натальи Храмцовской другой причиной может быть контроль за рынком средств шифрования в том числе и для ПЭП.

В Государственную Думу внесен законопроект №416052-6 "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях". Это результат работы рабочей группы при Совете Федерации по следующему раунду модернизации ФЗ-152 "Персональных данных". В нём предусмотрено дальнейшее ужесточение штрафов, принятие мер за не сообщение об инцидентах об утечках и в идеале - гармонизация с новой версией Евроконвенции по защите персональных данных. Подробнее о законопроекте можно почитать в блогах Сергея Борисова и Алексея Лукацкого.

Новости безопасности

Для Linux была предложена система оповещения о попытках взлома ядра ОС. Основана она на том, что хакеры для взлома пытаются использовать несколько эксплойтов, в том числе и тех, которые не эффективны для данной версии ядра и программного обеспечения. Система выявляет такие попытки и делает запись об этом в системный журнал. Для эффективной работы этого механизмы достаточно иметь сведения о уязвимостях за последние пять лет.

Минобрнауки планирует внедрить к лету 2014 года систему видеонаблюдения за проведением единого государственного экзамена. Теперь независимые наблюдатели и родители смогут самостоятельно контролировать процесс проведения ЕГЭ через систему веб-наблюдения, аналогичную созданной для выборов. Впрочем, как для выборов, так и для ЕГЭ важно не только фиксировать сам процесс написания экзамена, но и подведение результатов, а в этом вопросе камеры могут и не сработать - всё зависит от правильно выстроенной процедуры обработки результатов.

Компания IBM разработала и запатентовала метод полностью гомофобного шифрования, который позволяет обрабатывать зашифрованные данные. При использовании этого метода шифрования, например, в базе данных будет эффективно работать механизмы индексирования и хеширования, что позволит не расшифровывать данные для их сортировки или разделения на реплики.

 
Инциденты и утечки

Зафиксирована утечка базы данных паролей из веб-сервиса игры в покер sealswithclubs.eu. Хотя пароли были зашифрованы алгоритмом SHA1 и солью, хакерам удалось расшифровать 60% из них, поскольку их качество было не очень хорошим. Основная цель взлома - получить доступ к счетам пользователей сервиса, который в качестве основной валюты использует bitcoin.

Одной из крупнейших утечек, сведения о которых были опубликованы в начале декабря, стала атака на американского ретейлера Target, в результате которой могли утечь сведения до 40 млн. банковских карт. Собственно, это сведения о клиентах, которые совершали покупки в течении 19 дней, когда хакеры получили доступ к оборудованию компании. Следствие распологает данными, что налёт совершили из-за пределов США - данные всплыли на хакерском форуме, контролируемом жителем Украины.

Разборки в Украине перекинулись в киберпространство - появились сведения, что Первый заместитель Председателя Верховной Рады Украины и бывший председатель ГТСУ Игорь Калетник обратился к хакерам и заказал им доступ к электронной переписке официальных почтовых ящиков в различных областях Украины. И хотя хакеры - не самый надёжный источник, но информацию об учетных записях в базах данных и электронной почте они опубликовали, объявив, что им все-равно не заплатили.

 
Уязвимости и вредоносы

 
Павел Дуров организовал конкурс для исследователей, в котором предложил расшифровать собственную переписку по протоколу MTProto для своего мобильного мессенджера Telegram. Тут же было обнаружено несколько уязвимостей, которые связаны с возможностью сайта организовать MITM-атаку на сеанс связи между пользователями, авторизоваться по известному номеру телефона, а также передавать вырожденный секретный ключ. Однако расшифровать трафик пока ни кому не удалось, так что 200 тыс. долл. пока остаются в кассе разработчиков Telegram.

 
Компания FireEye обнаружила в Южной Корее новую мобильную зомби-сеть, которая собирает текстовые сообщения пользователей. Зомби-агент проникает в Android под видом инструмента административной настройки операционной системы Google Vx, который сам пользователь должен установить на устройство. Собранные сообщения вредонос отправляет владельцу на электронной почте - для этого используется около 450 адресов, доступ к которым выполнялся с IP-адресов в Китае и Корее.

 
Решения и сервисы

 
Компания Softline заключила партнёрское соглашение с компанией "Код Безопасности". Магазин Softline становится первым авторизованным центром онлайн-продаж продуктов российского разработчика. Для заказа и покупки через Сеть будет доступна вся линейка продуктов российского производителя.

 
Вышла новая версия пакета GNUnet, который предназначен для создания одноранговых защищённых сетей. В версии 0.10 разработчики отказались от алгоритма RSA 2048 в пользу Curve25519. В новой версии также появилось много дополнительных функциональных возможностей - в том числе возможность передачи голоса поверх построенной с её помощью одноранговой сети.

 
Аналитика и тенденции

 
Ещё одной компанией, которая публикует статистику обращения к ней спецслужб, стала Verizon. Компания будет обнародовать сведения об общем количестве запросов, касающихся пользовательских данных, а также о ведомствах и организациях их направивших. Ранее подобную статистику уже публиковали Twitter, Google, Facebook и Yahoo!, хотя американские спецслужбы делать этого не рекомендовали.

 
Исследователь из компании Dell и его независимый собрат опубликовали статистику по черному рынку информации. Их интересовали сколько стоит информация с банковских карт, персональные сведения, учётная информация для удалённого доступа к ДБО. Также в исследование попали расценки на услуги по взлому и организации. DDoS-атак.

Вокруг света

В "Шпигеле" опубликована статья, посвящённая тому подразделению АНБ, которое занимается криптоанализом и разработкой инструментов для получения доступа к данным пользователей. В частности, именно это подразделение занималось эксплуатацией системы QUANTUM.

Компания Eset, являющаяся разработчиком антивирусного продукта Nod32, опубликовала отчёт, в котором проанализировала тенденции в развитии рынка информационной безопасности. В качестве основной проблемы в этом отчёте указывается сохранение частной жизни в условиях Интернет. И, соответственно, основной темой отчёта являются возможные методы сохранения данных в тайне в том числе и от правоохранительных органов.

Недавно были опубликованы рекомендации по защите облачных вычислений, подготовленных альянсом «За безопасность облачных вычислений» CSA и форумом «За совершенствование программного кода» SAFECode. В основном этот документ по сути является лучшими практиками в разработке безопасных облачных приложений, однако предложенные в нём правила могут также относиться и в целом к построению безопасных облачных инфраструктур.

Статьи и выступления экспертов

Сергей Борисов в своём блоге поделился материалами по защите SAP. Сейчас об угрозах этой корпоративной платформе очень много говорят на предмет её уязвимости для атак, однако не очень много публикаций по методам защиты - считается, что общего подхода вполне достаточно. Борисов в своём блоге приводит как раз применение этого общего подхода, предписанного регуляторами, для организации защиты информационных систем, построенных на платформе SAP.

Рекомендации по подключению к защищенной сети i2p при помощи арендованной виртуальной машины и удаленного подключения к ней. На клиента не нужно ставить ни какого дополнительного ПО. Процедура описана для Linux Debian, хотя по заверениям автора аналогичный клиент можно создать и на Windows. Конфигурация рассчитана не на безопасность и приватность, но просто для подключения.

Отчёт о конференции ZeroNights'2013, хотя она прошла в начале ноября. Но лучше поздно, чем никогда.

Посты в блогах

В конце декабря состоялся публичный обмен мнениями о полезности и опасности отчётов по уязвимостям. Началось с того, что компания Positive Technologies выпустила отчёт о защищенности российских компания. На что Михаил Хромов спросил, а является ли этичным публикация отчёта коммерческой компанией, которая предлагает услуги пентестов, а потом в отчёте публикует хотя и обезличенные, но результаты проделанной её сотрудниками работы. Вполне возможно, что это может подвигнуть хакеров на атаки, на которые они без этого отчёта могли и не решиться. Сергей Гордейчик в своём блоге ответил на претензию, правда Илье Медведовскому на обсуждение в Facebook. Так вот безопасники и вырабатывают общее мнение о том, что этично, а что - нет.

В прошлом отчёте упоминалась запись Виктора Давидича о проблемах на украинском рынке информационной безопасности с кадрами. В этот раз Александр Бодрик ответил своему коллеге записью "7 причин работать в ИБ". Правда, речь идёт не про Украину, а про Россию, где как раз вполне понимают перспективность ИБ и оплачивают эту работу вполне адекватно.

Николай Федотов в своём блоге призывает совместить два подхода в составлении требований по защите: исходя из потребностей бизнеса защищать самое ценное или исходя из потребностей чёрного рынка защищать самое востребованное. Оба подхода имеют своих приверженцев и сторонников, а также руководящие документы, однако по отдельности они достаточно сложны в реализации. Вполне возможно, что совмещением этих методик можно добиться большего.

Что посетить?

Полным ходом идёт подготовка к шестому международному салону «Комплексная безопасность», который состоится с 20 по 23 мая. Основной целью мероприятия является обеспечение эффективного взаимодействия между органами власти, основными потребителями и разработчиками продукции в сфере безопасности. Естественно, что при таком взаимодействии невозможно обойтись без информационной безопасности.

Начата работа по подготовке выставки «Интерполитех-2014», которая состоится 21-24 октября 2014 года. Она традиционно посвящена средствам обеспечения безопасности государства, но а на ней в том числе затрагиваются и некоторые аспекты информационной безопасности. Сейчас сформирована её деллвая программа, поэтому ещё есть возможность принять в выставке самое непосредственное участие.

Что почитать?

На Хабре перевели достаточно старую статью Брюса Шнаера, посвященную конкурсам по взлому средств защиты. Хотя она была написана в 1998 году, актуальность она не потеряла. Во всяком случае основной вывод - правильно подобрать условия конкурса так, чтобы взломать было сложно, а рекламироваться легко. Переводчики, видимо, имели в виду уже описанный выше конкурс по взлому Telegram.

Алексей Комаров в своем блоге опубликовал обзорную статью про эволюцию носителей электронных ключей шифрования. В статье анализируются различные накопители, которые могут быть использованы для хранения закрытых ключей алгоритма Диффи-Хелмана. Таких инструментов за долгие годы было разработано достаточно много. 

Оцените материал:
Total votes: 219
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.