Дайджест информационной безопасности № 110 за период с 3 по 16 апреля 2017 года

Новости ИБ

• Свежая публикация Wikileaks получила название Grasshopper, по имени инструмента, которому она посвящается. Упоминания о фреймворке для создания Windows-малвари уже встречались в бумагах, опубликованных Wikileaks ранее, но 27 новых документов описывают работу Grasshopper во всех подробностях.

• Критическая уязвимость в популярном гипервизоре Xen позволяет злоумышленникам получить доступ к памяти хост-системы, на которой запущена виртуальная машина. Подобный взлом системы безопасности гипервизора может нести угрозу, например, для дата-центров, в которых виртуальная инфраструктура разных клиентов работает на одном железе.

• Через два года в России должна появиться технология квантовой криптографии для быстрых каналов связи и необходимая для этого техника. Московская фирма «Инфотекс» и МГУ получили соответствующий грант Минобрнауки — 140 млн рублей на три года. Исполнители должны создать квантово-криптографическую систему защиты данных, передаваемых по открытым каналам связи со скоростью 10 Гбит/с.

• Казахстанские банки решили совместно бороться с кибератаками. Вскоре в стране заработает первая межбанковская база данных по операционным рискам. Обмениваться между собой информацией готовы уже несколько казахстанских банков.

• Специалисты по информационной безопасности из компании FireEye сообщили, что во всех версиях Microsoft Word обнаружена уязвимость «нулевого дня». Проблема позволяет загрузить вредоносное ПО на компьютер жертвы, говорится на сайте организации.

• Хакерская группа The Shadow Brokers опубликовала архивы эксплоитов, принадлежавших, как предполагается, хакерам Equation Group, связанным с американским агентством национальной безопасности (АНБ). Архив содержит инструменты для взлома операционных систем семейства Windows и Unix, а также якобы и доказательства того, что Equation Group имела доступ к серверам международной банковской системы SWIFT и ряда финансовых учреждений из разных стран мира.

Интересные посты русскоязычных блогов по ИБ

• Презентация Алексея Лукацкого с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго, а также планов по ним.

• Статья на bankir.ru посвящена эволюции скимминга: от взлома до перехвата «на лету». Анализируется модель поведения нарушителей, совершенствование их технологий и приводятся советы по защите от такого рода атак.

• В блоге НеоБИТ-а подробно рассматривается технология «Человека посередине», использующего отозванные сертификаты. В статье разбираются механизмы проверки статуса сертификатов, их реализация в современных браузерах и перспективы. Эта статья будет полезна тем, кому интересно разобраться в применяющихся на практике механизмах проверки статуса сертификатов.

• В блоге Михаила Емельянникова опубликована статья «Неправильная регистрация пользователей может обернуться блокировкой сайта», посвященная  проблемам сайтов в интернете с формами обратной связи, рисках и последствиях их размещения. В статье есть, в том числе, и комментарии Михаила, его соображения, что надо делать, чтобы минимизировать риски.

• Сергей Борисов в заметке «ИБ. Почему старая методика угроз не подходит для моделирования угроз ГИС?» детально рассматривает сложности, возникающие при разработке моделей угроз для ГИС с учетом последних изменений в приказе ФСТЭК № 17.

Интересные посты англоязычных блогов по ИБ

• В докладе World Economic Forum (WEF) изложены 10 основных принципов развития  киберустойчивости для советов директоров. В докладе поясняется, что устойчивость как одно из важнейших направлений стратегии включает в себя действия, которые организация принимает до, во время и после инцидента, тем самым уменьшая потенциальные угрозы.

• На tripwire опубликовано продолжение статьи по метрикам уязвимостей – финальный рубеж. Будут смотрены оперативные отчеты, которые могут помочь сконцентрировать усилия на важнейших уязвимостях для снижения риска для бизнеса. Главный вопрос статьи – как выяснить, что является более приоритетным.

• В блоге McAfee рассматриваются 10 важнейших заблуждений о кибербезопасности. Существует много мифов о кибербезопасности, но четкое понимание десяти приведенных в статье имеет решающее значение для вашего статуса в киберпространстве как личности, как бизнеса, или как государства.

• Rhand Leal пишет о проблеме обеспечения ресурсами согласно ISO 27001. Сначала может показаться, что в стандарте этой теме посвящено 2 строчки. На самом деле, потребности в ресурсном обеспечении разбросаны по всему стандарту, и эта статья показывает, куда смотреть и что делать, чтобы убедиться в наличии ресурсов для обеспечения защиты информации организации.

• Roland Cloutier пишет о трех лучших практиках для руководителей безопасности. Специалисты должны изменить представление о безопасности с оборонительной функции «защиты от плохих парней» на стратегический рычаг, который имеет решающее значение для поддержания и развития бизнеса.

Исследования и аналитика

• FICO сообщает, что рост скомпрометированных дебитовых карт в банкоматах составил 70% в 2016 году. А количество взломанных карт-ридеров в банкоматах США, ресторанах и торговых точках выросли на 30%. В статье FICO  дает советы пользователям по безопасному использованию карт и банкоматов.

• Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за март 2017 года. Первый месяц весны был отмечен приложением, которое распространялось через каталог Google Play, показывало навязчивую рекламу – и было исследовано вирусными аналитиками компании «Доктор Веб». Эту программу установили более 50 000 000 пользователей.

• «Доктор Веб» представляет обзор вирусной активности в марте 2017 года. Главные тенденции марта: Появление нового троянца для Linux, обнаружение множества мошеннических веб-сайтов и Распространение агрессивных рекламных модулей и троянцев.

• Аналитический центр компании InfoWatch представляет отчет “Глобальное исследование утечек конфиденциальной информации в 2016 году”. По данным отчета, по сравнению с 2015 годом число утечек информации в мире выросло на 3,4%, число «российских» утечек по сравнению с данными 2015 года выросло на 80%.

• Компания PwC совместно с британским оборонным концерном BAE Systems и Национальным центром кибербезопасности подготовили доклад, в котором фактически обвинили Китай в поощрении хакерских атак в промышленных масштабах. Сообщается, что с 2006 года атаки китайских хакеров совершались в отношении крупных международных интернет провайдеров и против более десятка стран, включая США, Великобританию, Францию, Швейцарию, Бразилию, Индию, Японию и Южную Корею.

• В отчете представлен топ атак и взломов за март 2017. Месяц начался с обнаружения базы с 1,4 млрд записей одного из крупнейших отправителей спама. Далее раскрытие документов ЦРУ, взлом аккаунтов твиттера и многое другое.

• SecureWorks® Counter Threat Unit™ (CTU) выпустила отчет Threat Intelligence Executive Report – Volume 2017, Number 2, в котором представлен обзор глобальных угроз и атак и тенденции киберпреступников за последние 2 месяца. За январь и февраль исследователи извлекли уроки и наблюдали за поведением атак, глобальную картину угроз и тренды информационной безопасности.

• Согласно опросу, 74% ИТ-специалистов говорят, что GDPR будет иметь достаточно негативное влияние на их организации, такое как большие потенциальные штрафы и усиленное глобальное воздействие регуляторов. Согласно отчету, треть организаций еще не осведомлены о требованиях  GDPR, и только половина выделили бюджеты и начали подготовку к проведению оценки соответствия.

• Согласно данным доклада Mandiant M-Trends, почти четверть (23%) IT-специалистов не осведомлены о том, какие меры предпринимают их компании для противодействия угрозам, скрытым в зашифрованном трафике. Только 19% компаний расшифровывают и анализируют весь зашифрованный трафик.

• Исследование «Лаборатории Касперского» показало, что одной из наиболее серьезных угроз для бизнеса сегодня становится потеря данных. Согласно результатам опроса, 42% российских компаний хотя бы один раз за последний год теряли важную информацию из-за взломов или утечек. Треть компаний сообщила, что это происходило неоднократно.

• Согласно докладу «Global DDoS Threat Landscape, Q4 2016» компании Imperva, создание огромных ботнетов Интернета вещей и наличие дешевых сервисов DDoS-как-услуга создают все условия для роста DDoS-атак. В 4 квартале 2016 года можно было наблюдать мощную атаку, вызванную Mirai, а также самую долгую атаку, которая длилась целых 29 дней.

• Колледж Управления Университета штата Северная Каролина выпустила «2017 The State of Risk Oversight», который предлагает обзор методов управления рисками в средних и крупных организациях, преимущественно в области финансов, страхования, недвижимости, производства и услуг. Ключевые аспекты исследования показывают, насколько задача управления рисками стала труднее в данных отраслях промышленности.

Громкие инциденты ИБ

• Хакеры взломали новостную смс-рассылку крупной египетской газеты “Аль-Ватан”. Они разместили информацию о военном перевороте в стране. Сообщение появилось во время поездки президента Абдель Фаттаха ас-Сиси в США.

• Неизвестные хакеры замаскировали вирус-вымогатель для устройств на основе ОС Android под мобильное приложение «Одноклассники». Сначала вирус имитирует работу «Одноклассников», но через три-четыре часа после установки начинает запрашивать у владельца гаджета права администратора, блокирует гаджет  и требует выкуп.

• Хакерами КНДР была взломана внутренняя сеть министерства национальной обороны РК. Хакеры получили доступ к секретному плану 5027, описывающему совместные действия Республики Корея (РК) и США в случае начала полномасштабной войны с КНДР.

• Хакеры используют якобы эмулятор Nintendo Switch для взлома персональных компьютеров. Представители Synantec рассказали, что сейчас эмуляторов Nintendo Switch нет, а любой ресурс, предлагающий скачать подобную программу, хочет только обмануть пользователей и продать информацию о них.

• Международная ассоциация легкоатлетических федераций (ИААФ) стала жертвой атаки хакеров из Fancy Bears, что поставило под угрозу данные терапевтических исключений для спортсменов (TUE), которые хранятся на серверах организации.

• «Лаборатория Касперского» в течение года изучала деятельность хакерской группировки Lazarus, которая подозревается в многочисленных кибератаках на финансовые институты по всему миру, в том числе краже $81 млн со счетов ЦБ Бангладеш в феврале 2016 года. Доклад приводит доказательства того, что за кражей денежных средств со счетов Центров банка Бангладеш стоит КНДР.

• По воле неизвестного хакера, взломавшего систему городских сирен оповещения, жители Далласа в американском штате Техас провели беспокойную ночь под рев сигналов тревоги. С 23:00 пятницы все 156 городских тревожных устройств, призванных предупреждать о стихийных бедствиях и техногенных катастрофах, поочередно ревели до часа ночи субботы. Хакер включал каждую из сирен по 60 раз.

• Хакеры из группировки The Shadow Brokers выложили в свободный доступ новые секретные документы Агентства национальной безопасности в знак протеста против политики Дональда Трампа, обвинив его в предательстве тех, кто за него голосовал.

Обзор событий предстоящих недель 17.04-28.04

Посетить

• 17 апреля, Москва –  CISO FORUM 2017

• 18 апреля, Санкт-Петербург – Ежегодная практическая конференция по информационной безопасности «DLP  будущего»

• 19 апреля, Москва – Blockchain & Bitcoin Conference Russia

• 20 апреля, Екатеринбург – Ежегодная практическая конференция по информационной безопасности «DLP  будущего»

• 20 апреля, Минск – Конференция «Код информационной безопасности»

• 21-22 апреля, Пенза – Конференция «Secon 2017»

• 21 апреля, Москва – Хакер, вендор, клиент: безопасность без купюр

• 25 апреля, Казань – Ежегодная практическая конференция по информационной безопасности «DLP  будущего»

• 27 апреля, Астана – SOC–Forum Astana 2017

• 27 апреля, Санкт-Петербург – Конференция «Код информационной безопасности»

• 25-28 апреля 2017, Санкт-Петербург – Международная научно-техническая конференция и выставка «Релейная защита и автоматика энергосистем 2017»

Послушать

• 20 апреля, 11:00 – Вебинар компании «Код безопасности»: Опыт внедрения «Континент TLS VPN»

• 25 апреля, 11:00 – Вебинар компании «Код безопасности»: Повышение производительности АПКШ «Континент» 3.7

• 27 апреля, 11:00 – Вебинар компании «Код безопасности»: Как «безболезненно» перейти с SSEP + Secret Net на Secret Net Studio?