Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Обзор рынка (выпуск 15)

Аватар пользователя cwZerro
Автор: Коржов Валерий, журнал "Connect. Мир информационных технологий"
(0)
()
Опубликовано в:

 

Регуляторы и законодательство

Принят Федеральный закон «О федеральной информационной адресной системе и о внесении изменений в Федеральный закон «Об общих принципах организации местного самоуправления в Российской Федерации», который вступает в силу с 1 июля 2014 года. Закон предполагает построение Федеральной информационной адресной системы (ФИАС), а также создание государственного адресного реестра. В законе устанавливаются обязанности органов местного самоуправления, органов государственной власти субъектов России — городов федерального значения Москвы и Санкт-Петербурга по внесению актуальных адресных данных в ФИАС. В результате, появится возможность проверять корректность адресной информации по единой базе данных, что будет удобно для проверки информации, представляемой пользователями на сайтах.

Центробанк России выпустил предупреждение о том, что различные варианты виртуальных валют, в том числе и биткоин, являются незаконными, а их обмен на реальную валюту и организация бирж приравнивается к отмыванию денег и финансированию терроризма.

Мы уже об обсуждали появление "Концепции информационной безопасности". Продолжаем собирать мнения с её обсуждением. В частности, Сергей Гордейчик и Алексей Лукацкий высказали два очень похожих мнения о дальнейшей судьбе, которое в целом можно сформулировать как "Без хозяина не взлетит".
 

Новости безопасности

Продолжается совершенствование механизмов идентификации пользователей для информационных систем. В частности, предлагается использовать для этого специальный браслет, который меняет пульс пользователя. Такой браслет можно использовать для аутентификации пользователей в информационных системах. Если же есть потребность в идентификации людей по изображению с камер наблюдения, то можно это сделать по походке. А можно использовать для этого и более сложные методы - отражённый радиосигнал.

Сноуден провёл первую пресс-конференцию через Twitter, в которой он ответил на 13 вопросов. Ответы опубликованы на сайте freesnowden.is. Однако, скорее всего, благодаря действиям Сноудена произошло и ещё одно событие - IT-компаниям разрешили публиковать статистику запросов к ним спецслужб.

В подразделении компании Fujitsu разработали метод поиска подстроки в зашифрованном с помощью несимметричного ключа сообщении. Для поиска достаточно использовать открытый ключ, но прочитать найденную подстроку всё-равно сможет только владелец закрытого ключа. Алгоритм не требует составления словаря ключевых слов и работает на скорости 16 тыс. знаков в секунду.
 

Инциденты и утечки

Сирийская электронная армия уже прославилась атаками на различные информационные агентства, однако в этом месяце она также подверглась атаке со стороны турецких хакеров. Правда, эта атака ни чему не научила сирийских хакеров - они продолжают атаковать блог Microsoft и учётные записи CNN в Twitter.

В продолжение травли биткоин задержаны высокопоставленные сотрудники биржи BitInstant, которые по мнению правоохранительных органов США занимались поставкой криптовалюты для нужд сайта Silk Road, который занимался торговлей наркотиками, оружием и другими запрещёнными товарами. Предполагается, что сам генеральный директор биржи покупал на этом ресурсе наркотики.

Продолжается расследование инцидентов с утечкой данных платежных карт из американских магазинов. В частности, есть сведения, что из магазина Neiman Marcus было украдено 1,1 млн. записей о кредитных картах. Кроме того, Кребс обнаружил данные, что внедрение хакеров в систему Target могли произойти благодаря "особенности" программного обеспечения BMC Software, которое было настроено неправильно. Кто именно допустил нарушение инструкции производителя ПО и по какой причине пока выяснить не удалось.
 

Уязвимости и вредоносы

Обнаружилось, что не вся сеть Tor одинаково анонимна. Шведские учёные вскрыли сеть узлов Tor, которые собирали данные о пользователях. В основном узлы были расположены на территории России и только один - в США. Однако почему-то именно американским спецслужбам стали доступны данные о пользователях почтовой службы Tor Mail.

Экспертами антивирусной компании Dr.Web обнаружен вредонос для платформы Android, который располагается во внутренней flash-памяти устройства и функционирует как буткит, запускаясь на ранней стадии загрузки операционной системы и скрывая своё присутствие в ней. По данным компании таким вредоносом заражено по крайней мере 350 тыс. мобильных устройств.

Зафиксирована новая схема установки вредоносного ПО на компьютеры и другие устройства пользователей - с помощью обновлений. Хакеры выкупают модули расширения для браузеров, которые производители не могут сопровождать по тем или иным причинам. Дальше они встраивают в них вредоносные компоненты и с помощью автоматической системы обновлений, устанавливают их на компьютеры пользователей. В основном речь идёт о рекламных системах. Тем не менее, подобную схему проникновения вполне можно использовать в том числе и для мобильных устройств.
 

Решения и сервисы

Компания 3M представила специальную защитную плёнку для iPad,  которая не позволяет посторонним следить за экраном планшета. Она построена по принципу микро- (или нано-) жалюзей, ограничивающих количество света, который распространяется за пределы углов обзора более 60 градусов.

Компании Geeksphone и Silent Circle совместно разработали смартфон Blackphone, который по заверениям производителей будет защищать информацию пользователей с помощью шифрования. Аппарат работает на базе PrivatOS и позволяет защищать голосовые вызовы, SMS и электронную почту от перехвата с помощью шифрования. Предполагается, что аппарат будет демонстрироваться на конференции Mobile World Congress.
 
По заверениям Microsoft система Skype будет сообщать данные о своих клиентах российским правоохранительным органам. Это было предсказано ещё тогда, когда компания купила этот один из наиболее защищённых на тот момент сервисов взаимодействия пользователей. В январе же этого года было заявлено, что сервис полностью соответствует всем требованиям СОРМ, таким как хранение в течении шести месяцев и передача российским правоохранительным органам информации о переговорах, переписке и обмене данными пользователей из РФ.
 

Аналитика и тренды

Сервис мониторинга защиты сайтов SiteSecure и проект Ruward опубликовали отчёт о защищенности сайтов, построенных на базе различных CMS-систем. Исследование проводилось в течении трёх месяцев - с октября 2013 по январь 2014. Для исследования были выбраны 30 тыс. сайтов, построенных на различных CMS-продуктах, которые были протестированы на наличие в них тех или иных уязвимостей. Данные для тестирования были предоставлены проектом iTrack.

По данным Роберта Джонстона, директора по маркетингу компании NCR, 95% банкоматов работает под управлением операционной системой Windows XP, срок поддержки которой истекает 8 апреля этого года. С этим могут быть связаны проблемы атак на сети банкоматов банков, поскольку эксперты по безопасности ожидают массовых атак на Windows XP после выпуска последнего набора обновлений. Конечно, менеджеру по маркетингу виднее, однако для встраивания в банкоматы предназначена версия Windows XP Embedded, поддержка которой сохраниться по заверениям Microsoft до 2016 года.

В рейтинге худшых паролей сменился лидер - им стал пароль 123456, который в тяжелейшей борьбе борьбе вырвал титул победителя у пароля password, который ретировался на второе место. Это стало известно благодаря исследованию компании SplashData, которая ежегодно публикует список наиболее бесценнных паролей.
 

Вокруг света

Иностранные исследователи безопасности опубликовали модель угроз Олимпийских игр в Сочи. Конечно, ни чего выдающегося - угрозы предсказуемые, но от прочтения почему-то остаётся ощущение некоторой предвзятости авторов в опасности этого мероприятия.

Компания FireEye провела исследование целевых атак против Израильских компаний. Оказалось, что в Израиле зафиксировано в среднем 1,5 целевые атаки в час. Причём в первые три месяца 2013 года число целенаправленных атак было таким же как и число других типов атак, но к концу года целенаправленных нападений всё-таки стало значительно меньше.

Американское управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) разработало проект рекомендаций как именно компании должны продвигать свою продукцию в социальных сетях. В публикации обсуждается как именно стоит организовывать продвижение своей продукции, чтобы это не было воспринято как попытка обмана покупателя. Дело в том, что спамеры активно пользуются социальными сетями для продвижения своей продукции, а FDA усиленно борется с недобросовестной рекламой медикаментов.
 

Статьи и выступления экспертов

Михаил Емельянников продолжает обсуждать в своём блоге казусы российского законодательства. В частности, он рассмотрел случай, когда контент-провайдеры и мобильные операторы вдруг становятся ответственными перед Центробанком по предоставлению информации. Причём оказывается, что Центробанк может требовать без суда даже такие данные как детализацию мобильных переговоров.

На Хабре опубликована инструкция как использовать облако Mail.ru для хранения шифрованных файлов, например, резервного копирования. По заявлению производителя облако позволяет хранить до 1 Тбайт информации бесплатно, что позволяет использовать его в том числе и для резервного копирования. Однако правила использования таковы, что Mail.ru считает загруженные в облако данные своими. Чтобы обойти этот "странный" пункт правил можно воспользоваться данной инструкцией.

В своём боге Евгений Шауро опубликовал рекомендации по правильному накоплению финансов. Хотя рекомендации достаточно простые, тем не менее могут кому-то пригодиться для минимизации расходов на сохранение денег и максимизации доходов от свободных средств.
 

Посты в блогах

Артём Агеев в своём блоге обсудил тему управления паролями. Правда, речь идёт о социальных сетях, которые сейчас ужесточают требования к паролям и тем самым как бы перекладывают ответственность за взломы учетных данных на пользователей. В то же время лучше по мнению эксперта, чтобы сами социальные сети поменяли свои правила управления паролями. С другой стороны пользователи могут воспользоваться такими инструментами как менеджеры паролей. В частности, работа с одним из них подробно обсуждена на проекте "ИТ безопасность".

О состоянии дел в отрасли информационной безопасности на Украине рассуждает украинский эксперт Владимир Безмалый. Пост опубликован в продолжении обсуждения рынка ИБ Украины, про которые мы уже писали в предыдущих обзорах. Мнение, правда, не без противоречий. С одной стороны утверждается, что СБУ занимается ненужными делами, которые может выполнять МВД, но с другой - в статье содержится упрёк, что СБУ не сняла ни одного фильма, ни одной телепередачи. А у нас в России ФСБ снимает фильмы и делает телепередачи?

Ксения Шудрова в своём блоге сравнила отрасль ИБ с медициной, классифицировав все компании по методу лечения болезней. Всего получилось пять категорий. А к какой относитесь вы?

 

Что посетить?

Февраль оказался очень банковским месяцем. В частности в начале запланировано проведение форума iFin-2014, который пройдёт 4 и 5 числа. В первый день на нём запланирован отдельный поток, посвящённый безопасности. В частности, на нем будет обсуждаться мнение разработчиков банковского ПО о том, как банкам нужно защищать свои активы.

С 11 по 14 февраля также состоится форум "Технологии безопасности", на котором обсуждаются проблемы физической безопасности и видеонаблюдения. Темы информационной безопасности на нём обсуждаются не очень широко, но некоторые стыки между ИБ и физической безопасностью всё-таки затрагиваются.

В середине месяца с 17 по 22 февраля запланирован уральский форум "Безопасность банковской информации", который состоится в Магнитогорске. На нём традиционно обсуждается мнение регуляторов о том, как банки должны защищать свою информацию.
 

Что почитать?

На Хабре опубликована статья, в которой обсуждается защита крупных порталов и использование для этого идентификаторов cookie. Статья даёт представление о том, как именно организована работа с этими идентификаторами и как ей пользоваться с помощью кодов на PHP.

Андрей Прозоров продолжает обсуждение стандарта COBIT 5, а точнее его части "COBIT 5 for Risk". Приведенные схемы и списки позволят читателю разобраться в сложном 244 страничном тексте основного стандарта, посвящённом управлению рисками на предприятии.

 

Оцените материал:
Total votes: 191
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.