Дайджест информационной безопасности № 87 за период с 18 апреля по 9 мая 2016 года

Новости законодательства и отраслевого регулирования

• На сайте Совета по стандартам безопасности индустрии платежных карт (PCI SSC) опубликована новая версия стандарта PCI DSS 3.2. На переходный период участникам рынка платежей отведено около двух лет, хотя срок действия PCI DSS 3.1 окончится 31 октября текущего года.

• Опубликован новый документ от ЦБ РФ, содержащий рекомендации по предотвращению утечек информации. Ознакомиться с данным документом можно на сайте регулятора.

• После более четырех лет интенсивного обсуждения законопроекта Советом Европы и представителями бизнеса и гражданского общества Европарламент ратифицировал закон о защите персональных данных. Последняя редакция Общеевропейского закона о защите данных была одобрена Комитетом гражданских свобод в Европарламенте, а также министерствами юстиции и внутренних дел.

Новости ИБ

• Национальный антитеррористический комитет России (НАК) создал рабочую группу для обсуждения вопросов регулирования шифрованного трафика. В группу вошли представители всех силовых ведомств, Минэкономразвития, Минкомсвязи и отраслевые эксперты из Российской ассоциации электронных коммуникаций (РАЭК).

• 10-летний мальчик из Финляндии получил от Facebook $10 тыс. за обнаруженный в API Instagram баг, который позволял удалять комментарии из любого аккаунта. По словам Facebook, компания не знала о юном возрасте баг-хантера, пока его мать не отправила в Instagram сообщение с благодарностью за премию в $10 тыс.

• Аспирант китайского Университета Цинхуа обнаружил опасную уязвимость в популярном прокси-сервере Squid. Как ему удалось выяснить, система не соответствует стандарту RFC 7230, а также некорректно работает при парсинге и обработке заголовка Host в HTTP-запросах. В результате злоумышленник может сформировать зловредный пакет и с помощью него осуществить атаку cache poisoning.

• Вирусная лаборатория ESET предупреждает о новой атаке на пользователей Apple. Мошенники рассылают SMS от лица корпорации. В сообщениях говорится, что учетная запись Apple ID заблокирована, а доступ к ней можно восстановить по ссылке. Линк ведет на фишинговый сайт.

• Группа хакеров, ранее похитившая 81 млн долларов из Центрального банка Бангладеш, могла совершить атаку на международную межбанковскую систему платежей SWIFT. Представитель SWIFT подтвердил информацию о том, что компании известно о вредоносном программном обеспечении, цель которого их клиентское программное обеспечение.

Интересные посты русскоязычных блогов по ИБ

• В блоге компании Positive Technologies на Хабрахабр опубликована статья, в которой описана атака на аккаунты пользователей популярных мессенджеров Telegram и WhatsApp. Необходимо отметить, что все тесты проводились с настройками по умолчанию.

• Подборка книг по проникновению и обнаружению уязвимостей опубликована в блоге компании Mail.Ru Group на Хабрахабр.

• Пользователь Влад на Хабрахабр опубликовал обзор нового программно-аппаратного комплекса Роскомнадзора для мониторинга доступа к сайтам из реестра со стороны провайдеров – «Ревизор».

• Алексей Лукацкий поделился ответом ФСТЭК на вопросы стартапа по ИБ в части лицензирования деятельности по ИБ, к примеру, каким требованиям должно соответствовать облачное решение по ИБ и о возможности использования open source решений при создании облачного сервиса по ИБ.

• Андрей Прозоров опубликовал обзор нового сводного отчета о деятельности Роскомнадзора за 2015 год.

• В блоге компании Intel опубликована первая статья цикла, посвященного аппаратным технологиям безопасностям. В статье рассказывается о преимуществах биометрии перед традиционными системами безопасности, а также об основных технологиях работы биометрических систем.

Интересные посты англоязычных блогов по ИБ

• Jason Kent перечислил 10 основных моментов, на которые необходимо обратить внимание для наиболее эффективной работы привлеченных консультантов по информационной безопасности.

• Rhand Leal рассказал о серии стандартов NIST SP 800 и о том, как их использовать для обеспечения соответствия стандарту ISO 27001.
• Rutrell Yasin дал несколько советов руководителям службы ИБ по эффективному планированию бюджета информационной безопасности. Автор советует начинать данный процесс с оценки и инвентаризации имеющихся ресурсов и активов.

• Mirko Zorz опубликовал топ-10 технологий по веб-хакингу в 2015 году. Ключевое место среди данных методов занимает использование уязвимости в TLS/SSL.

• Sean Martin рассказал о том, как внедрить и обеспечить безопасность SAP-систем, и на что стоит, в первую очередь, обратить внимание специалистам по защите информации.

Исследования и аналитика

• Аналитический центр компании InfoWatch представил глобальное исследование утечек конфиденциальной информации за 2015 год. По данным отчета, по сравнению с прошлым годом число утечек информации в мире выросло на 7,8%, число «российских» утечек по сравнению с данными 2014 года сократилось на 28,1%.

• NAVEX Global представила свои ключевые выводы, сформированные на основе докладов, полученных по горячей линии этики и соблюдения требований компаний.

• Ponemon Institute опубликовал отчет по безопасности конечных устройств «2016 State of Endpoint Report». По данным исследования степень тяжести и последствий вредоносных атак возросли по сравнению с 2011 годом.

• FireEye выпустила отчет о деятельности FIN6 – хакерской группировке, занимавшейся установкой вредоносного ПО на POS-терминалы в магазинах и отелях. Кибермошенники получили доступ к сетям компаний, после чего совершилась компрометация терминалов.

• Google опубликовал свой второй «Android Security 2015 Annual Report», посвященный вопросам безопасности ОС Android и содержащий резюме по прошедшей в прошлом году работе.

• Компания Tripwire провела исследование и оценила проблемы и риски, которые могут быть связанны с деловыми партнерами. В качестве респондентов было привлечено более 300 специалистов.

• По данным исследования проведенного Equifax совместно с Gorkana, 38% пользователей используют свои личные устройства для хранения паролей онлайн. При этом среди них в два раза больше мужчин, нежели женщин.

• Четыре миллиарда подключенных к Интернету устройств обещают обеспечить в наших домах беспрецедентный уровень комфорта. Специалисты Bitdefender Labs изучили несколько потребительских устройств, подключенных к сети, и нашли общие уязвимости, приводящих к нарушению конфиденциальности данных.

• Wandera опубликовала отчет, содержащий последние тенденции в области корпоративной безопасности данных и использования мобильных устройств.

• Американский разработчик Kalyan Veeramachaneni из MIT совместно со специалистами из PatternEx создали искусственный интеллект AI2, способный эффективнее выявлять киберратаки нежели ранее разработанные аналоги. Более подробно ознакомиться с алгоритмом можно в статье, размещенной на сайте MIT.

• В то время как большинство организаций заявляют, что они застрахованы от нарушений информационной безопасности, менее половины (около 41%) в действительности не имеют специальной страховки на случай возникновения инцидентов.

• Роль CISO в последние годы быстро развивается. IT Security Guru собрал десяток главных руководителей по ИБ крупнейших организаций в Великобритании, с целью выяснить чего они ожидают в 2016 году в области ИБ.

• С каждым днем мы все больше полагаемся на ИТ-инфраструктуру и цифровые технологии. xMatters опубликовал статью, в которой исследуется, как организации обеспечивают управление и реагирование на возникновение крупных инцидентов в области информационной безопасности.

• Verizon опубликовал свой ежегодный отчет «Data Breach Investigations Report», сформированный на основе анализа данных об 64199 инцидентов ИБ и 2260 нарушений.

Громкие инциденты ИБ

• По данным РИА Новости, Министерство обороны Швейцарии подверглось хакерской атаке. Федеральный совет (правительство Швейцарии) поручил прокуратуре начать расследование с целью выяснить, имеет ли отношение эта хакерская атака к раскрытому в январе 2016 года шпионажу за военно-промышленным концерном RUAG, который полностью принадлежит государству.

• Украденные базы данных, содержащих электронные письма и пароли 3,8 млн пользователей Naughty America, были опубликованы в сети. Стоимость баз составляет всего за $ 300, низкий ценник может быть связан с тем, что данные были защищены криптографическим алгоритмом, а часть из них является неактуальной.

• По информации РБК, у активиста Олега Козловского и сотрудника ФБК Георгия Албурова в ночь на пятницу взломали аккаунты в Telegram и отключили прием SMS-сообщений. Представитель МТС исключил вмешательство оператора.

• Группа хакеров, связанная с террористической группировкой «Исламское государство» (ИГ), опубликовала в интернете личные данные нескольких тысяч жителей Нью-Йорка и призвала экстремистов атаковать граждан. Полиция и ФБР уже начали поиск указанных в списке людей с целью обеспечения их безопасности.

• По данным ТАСС, международная система банковских расчетов SWIFT в последние дни неоднократно подвергалась атакам хакеров. Согласно имеющейся информации, речь идет о “нескольких инцидентах в киберпространстве” без уточнения конкретной даты и суммы похищенных средств.

• Хакеры, заявившие о своих связях с международной хакерской группой Anonymous, в четверг сообщили, что начали публиковать украденные документы кенийского МИД. Об этом на сайте РИА Новости.

• ТАСС сообщает, что неизвестные хакеры организовали атаку на сайт Центрального Банка Кипра. В Центробанке Кипра не сообщили точную дату атаки, однако, по данным нескольких интернет-сайтов, специализирующихся на кибербезопасности, она произошла в четверг.

• По данным электронной газеты Коммерсант, вступил в силу приговор хакеру из Казани Рифату Умарову. По данным следствия, в 2014 году он пытался взломать сайт Российского федерального ядерного центра. Умарову назначили один год лишения свободы в колонии-поселении. Осужденный попытался в вышестоящей судебной инстанции добиться оправдания, но безуспешно.

Обзор событий предстоящих недель

Посетить:

• 13 мая, Екатеринбург – Открытый семинар InfoWatch 13 мая в Екатеринбурге.

• 17-18 мая, Москва – Международный форум по практической безопасности Positive Hack Days.

• 19 мая, Алматы – IDC IT SECURITY ROADSHOW 2016.

Послушать:

• 10 мая, 11:00 – Вебинар «Практические особенности внедрения систем класса DLP» от АО «ДиалогНаука».

• 10 мая, 12:00 – Вебинар«WorktimeMonitor SearchInform» от компании «SearchInform».

• 12 мая, 11:00 – Вебинар «Система обнаружения и предотвращения вторжений «Континент» 4.0. Возможности и характеристики системы» от компании «Код безопасности».

• 12 мая, 14:00 – Вебинар «Blue is the New Black: PowerShell Attack and Defense» от компании «Positive Technologies».

• 18 мая, 11:00 – Вебинар «КИБ SearchInform» от компании «SearchInform».

• 19 мая, 11:00 – Вебинар «КИБ SearchInform» от компании «SearchInform».

• 19 мая, 11:00 – Вебинар «Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить» от компании «Solar Security».

• 19 мая, 11:00 – Вебинар «Бумажна ли бумажная безопасность?» от компании «Код безопасности».