Дайджест информационной безопасности №165 за период с 1 по 12 июля 2019 года

Новости законодательства

• Правительство РФ одобрило законопроект об особенностях обработки персональных данных человека, полученных из его генетического материала. Согласно документу, данные, характеризующие генетические особенности человека, должны приравниваться к персональным и защищаться соответствующим образом.

Новости ИБ

• Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) разрабатывает минимальный набор правил безопасности, которым должны соответствовать все современные браузеры. Документ включает правила, касаемые базовых настроек браузера. В их числе поддержка версии TLS 1.2 и выше, использование HSTS должно быть активировано для всех web-сайтов и пр.
• Администрация президента США Дональда Трампа провела встречу, на которой обсудила возможность на законодательном уровне запретить технологическим компаниям использовать сквозное шифрование. Запрет использования сквозного шифрования существенно облегчит работу правоохранительных органов, однако поставит под угрозу безопасность данных десятков миллионов пользователей.
• Аналитики китайской компании Qihoo 360 обнаружили написанного на Lua вредоноса Godlua. Это первая известная специалистам угроза, которая злоупотребляет функциональностью протокола DNS over HTTPS (DoH).
• Исследователи обнаружили более 1000 Android-приложений, которые способны обойти ограничения, наложенные операционной системой, и получить точную геолокацию пользователя, идентификаторы мобильного устройства и другие важные данные. В Google заявили, что эта проблема будет устранена не раньше выхода Android Q.
• В Иране разработали собственную систему связи для передачи голосовой информации и иных данных. По словам генерала, новая система, получившая название «Сепер – 110», позволит повысить мобильность систем управления и противодействовать цифровым атакам. Система является неуязвимой ко взлому, прослушиванию, радио- и электромагнитным помехам.
• Власти хотят обязать использовать отечественный софт в объектах критической информационной инфраструктуры. Это позволит достичь «технологической независимости и безопасности» банков, операторов связи, ТЭКа и других компаний.
• Роскомнадзор совместно с операторами связи внедряет технологию, позволяющую ускорить блокировку запрещенного контента. Она позволяет в пять раз увеличить скорость реагирования операторов на требование об ограничении доступа к новым ресурсам.
• Специалисты выявили несколько уязвимостей в системе управления умным домом Zipato. Они обнаружили, что все контроллеры Zipamicro, используемые Zipato, имеют одинаковый SSH-ключ, хранящийся на карте памяти каждого устройства. Узнав его, можно получить доступ к зашифрованным паролям всех контроллеров и управлять любым умным домом, в том числе открывать и закрывать двери.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий поделился некоторыми выводами (тезисно) и своими комментариями к последней главе классического труда Росса Андерсона “Security Engineering”, посвященной информационной экономике. По мнению автора, все, что происходит в ИБ, подчиняется вполне определенным законам и их стоит знать.
• Еще одна статья Алексея Лукацкого посвящена мотивации бизнеса заниматься информационной безопасностью. Недавний инцидент со штрафами British Airways показал, что компания может быть оштрафованной на огромную сумму за то, что ее взломали хакеры, а гарантии от взлома нет ни у кого. В таком случае роль ИБ становится очень сомнительной, и встает огромный вопрос с мотивацией ИБ-специалистов и бизнеса.
• В блоге компании NIX Solutions на Хабре автор привел несколько вероятных векторов атак на типичную систему машинного обучения в типичной организации. Автор также предложил ориентировочные решения для защиты и рассмотрел некоторые общие проблемы и наиболее перспективные практики.
• Сергей Борисов прокомментировал недавний документ “Методические рекомендации по категорированию объектов КИИ, принадлежащих субъектам КИИ, функционирующим в сфере связи“. Весь анализ и сложную работу уже провели авторы документа, а субъектам КИИ из сферы связи остается только вписать в таблицы и формулы.

Интересные посты англоязычных блогов по ИБ

• David Lu продолжил публикацию статей, посвященных фреймворку ATT&CK. В первой части он разобрал некоторые конструктивные проблемы фреймворка. В этой части автор взглянул на него с позиций онтологии: как можно рассматривать фреймворк MITRE ATT&CK с точки зрения онтологии поведения злоумышленника.
• Gartner определила восемь причин, по которым за инциденты кибербезопасности можно уволить еще больше руководителей (CEO) компаний. Понимание этого списка позволит улучшить программу безопасности не с точки зрения защиты от “плохих парней”, а с точки зрения большей удовлетворенности акционеров и других заинтересованных сторон подходом организации к безопасности.
• Сетевая безопасность должна быть более всеобъемлющей, интеллектуальной и гибкой, чем когда-либо прежде. Jon Oltsik привел несколько правил, которым должна соответствовать современная сетевая безопасность. Например, технологии должны поддерживать детализированные политики и правила, которые могут быть быстро изменены в зависимости от обстоятельств, а архитектура должна быть построена вокруг легко доступных API для быстрой интеграции.
• Компания Cyren изучила предложения на подпольных торговых сайтах. По словам экспертов, среди операторов мошеннических кампаний растет популярность арендных платформ, работающих по модели Phishing-as-a-Service. Распространение таких площадок снижает порог для начинающих киберпреступников, в результате чего угроза фишинга не снижается, несмотря на усилия ИБ-специалистов.

Исследования и аналитика

• ФинЦЕРТ Банка России  совместно с ведущими российскими компаниями в области расследования инцидентов ИБ подготовили Обзор основных типов компьютерных атак в кредитно-финансовой сфере в 2018 году. Согласно отчету, в 75% банков сотрудники переходят по ссылкам, указываемым в фишинговых письмах, в 25% — вводят свои учетные данные в ложную форму аутентификации; также в 25% финансовых организаций хотя бы один сотрудник запускает на своем рабочем компьютере вредоносное вложение. При этом фишинг на этапе проникновения используют девять из десяти APT-группировок.
• В 2018 году российский сегмент Сети продемонстрировал рекордно низкие объемы вредоносных и потенциально опасных сайтов. Согласно данным CERT-GIB, общее число потенциально опасных ресурсов в Сети в 2018 году увеличилось на 30%. Из них на российский сегмент пришлось менее 20%. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ.
• Компания «Ростелеком-Солар» провела аналитическое исследование кибератак на российские банки и уровня защищенности финансово-кредитных организаций в 2018 — начале 2019 гг. Всего за 2018 год Solar JSOC было зафиксировано свыше 120 тыс. компьютерных атак, из них на долю критичных пришлось 19% инцидентов. Во второй половине года на 50% увеличилось число атак с целью получения контроля над инфраструктурой, на 60% – с целью кражи денежных средств.
• Результаты опроса 1300 американцев, проведенного по заказу Palo Alto Networks, показали, что отношение к кибербезопасности превышает действия, предпринятые для обеспечения кибербезопасности. 66% американцев считают, что они делают все возможное, чтобы оставаться в безопасности, но только 27% пытаются проверить личность неизвестного отправителя при получении электронной почты.
• Symantec подготовил обзор инцидентов мобильной безопасности во втором квартале 2019 года. Наибольшую часть угроз составили уязвимости приложений и вредоносные программы. Основные инциденты были связаны с рискованными приложениями, взломом iOS-устройств и мобильным фишингом.
• По данным отчета Online Trust Alliance (OTA) “2018 Cyber Incident & Breach Trends Report” в 2018 году инциденты кибербезопасности обошлись примерно в 45 миллиардов долларов. Отчет включает в себя вымогателей, инциденты компрометации электронной почты (BEC), DDoS, уязвимости подключенных устройств и многое другое. Интересно, что многие методы, которые киберпреступники используют для взлома систем, остались прежними: учетные данные сотрудников или известная уязвимость в организации, которая не обновила ПО.
• Опубликовано исследование «Artificial Intelligence: Using Standards to Mitigate Risks», разработанный по заданию Министерства национальной безопасности и Объединенного комитета разведок США. В нем описаны факторы, которые следует учитывать при разработке стандартов управления рисками национальной безопасности при использовании ИИ, риски для ИИ и применение ИИ для нейтрализации рисков.
• По итогам исследования компании ImmuniWeb «State of Application Security at S&P Global World’s 100 Largest Banks», только три банка из ста получили высшую оценку по обеспечению безопасности своих сайтов и реализации SSL-шифрования. По данным специалистов, 40% приложений для интернет-банкинга подвержены уязвимостям или содержат проблемы, связанные с некорректной конфигурацией, 7% содержали известные уязвимости, а в 2% приложений отсутствовало шифрование. Безопасными оказались только 15% приложений.

Громкие инциденты ИБ

• Более 450 тыс. e-mail и паролей пользователей для входа в онлайн-магазин Ozon попали в открытый доступ. Инцидент произошел полгода назад, но компания о нем не сообщала. Около сотни случайных e-mail из этой базы были проверены с помощью сервиса Email Checker, все они актуальны. Однако указанные пароли для входа в Ozon уже не подходят.
• В Сети найдено незащищенное хранилище с набором персональных данных более 188 млн человек. Ряд записей принадлежат компаниям по сбору личной информации из открытых источников. Согласно исследованию компании Comparitech, многие записи в обнаруженной базе относятся к компаниям Pipl.com и LexisNexis, специализирующимся на поиске информации о людях.
• Власти города Лейк-Сити (штат Флорида, США) выплатили выкуп в размере $460 тыс. хакерской группировке, атаковавшей муниципальные компьютерные системы с помощью вируса-шифровальщика.
• Специалисты предупреждают о крупномасштабной кампании, в ходе которой злоумышленники скомпрометировали 962 онлайн-магазина, работающих на Magento. На всех сайтах был найден вредоносный JavaScript. В ходе атак злоумышленники искали уязвимости в программном обеспечении, используемом целевыми сайтами. В частности, отмечается, что жертвами стали ресурсы, чьи администраторы пренебрегали обновлениями PHP.
• По меньшей мере четыре больницы в Румынии в конце июня 2019 года пережили атаку вируса-вымогателя, которую, по данным спецслужб страны, провели китайские хакеры. Предварительный анализ показал, что вредоносную программу мог остановить любой антивирус. Но, скорее всего, злоумышленники использовали метод социальной инженерии, а не уязвимость компьютерных систем.
• На сайте Московской кольцевой железной дороги была выявлена активность известного банковского трояна Panda. За неделю, по оценкам аналитиков, злоумышленники пытались скачать с него банковский вирус несколько сотен раз. Под угрозой оказались несколько тысяч пользователей зараженных компьютеров в мире, на Россию пришлось 27% атак.
• Персональные данные сотен тысяч пациентов сети казахстанских клиник Damu Med оказались в открытом доступе. Об этом в Facebook сообщил Центр анализа и расследования кибератак (ЦАРКА). На странице компании в Facebook отмечается, что человек, имеющий легальный авторизованный доступ в систему, передал данные третьим лицам.
• 6 июля 2019 был взломан GitHub аккаунт Canonical — разработчика одного из самых популярных дистрибутивов — Linux Ubuntu. Команда безопасности Ubuntu, уже опубликовала соответствующее заявление и подтвердила факт проникновения. По предоставленной разработчиками информации, атакующая сторона уже отметилась созданием своих вредоносных репозиториев и иной активностью.

Обзор событий предстоящих недель 15.07 – 26.07

Посетить

• 15-17 июля, Ставрополь – 2-я Межрегиональная конференция по информационной безопасности «Инфофорум – Северный Кавказ».
• 25-28 июля, Сочи – Конференция Код ИБ Профи.
• 25-26 июля, Санкт-Петербург – Совместный форум IDC и KYOCERA.

Послушать

• 22 июля, 14:00 – Вебинар компании SoftLine: «Комплексная защита объектов информатизации».
• 23 июля, 12:00 – Вебинар Zecurion: «Выбор DLP-системы: как избежать ошибок».