Страницы

Как взломали Target

В декабре прошлого года крупная сеть американских супермаркетов Target была взломана предположительно хакерами из Восточной Европы (Браян Кребс подозревает украинца Андрея Ходыревского из Одессы). В сеть утекли около 40 миллионов дампов кредитных карт, включая ПИН коды, +70 миллионов сведений о покупателях, включая ФИО, адрес, телефон и емаил.

Примерный ущерб от утечки для торговой сети составил 148 миллионов долларов. Из-за взлома в отставку ушли CEO и CIO.

На днях в сеть была выложена коллективная жалоба от пострадавших, включающая в себя некоторые детали взлома (см. стр. 58-66).

Криптоскрепы


Молодой специалист, только постигающий азы толкования нормативных документов, столкнувшись с задачей обеспечения безопасности персональных данных с помощью средств шифрования, тут же наткнется на новый приказ ФСБ №378, который так и называется: "Cостав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации".

И невдомек ему, зеленому, что по старой престарой традиции к одному новому приказу могут идти в довесок ещё несколько старых или закрытых, но при этом полностью действующих руководящих документа.


Смартфон для пентеста 1. NetHunter

В правильных руках смартфон легко превращается в кибероружие. HID эмулятор, реализующий целый спектр атак BadUSB, MITM с поддержкой SSL strip, мощный Wifi wps анализатор или просто удаленное управление сервером по SSH через эмулятор USB клаиватуры - все это можно реализовать уже сегодня с помощью смартфона и это только начало.

Под катом небольшой мануал как подружить стоковый Android 5 Lollipop со специальной прошивкой для хакеров от авторов Kali Linux - NetHunter.


ФСТЭК. Защита оборудования с ЧПУ.


Несмотря на то, что тема защиты АСУ ТП только начинает активно развиваться, у ФСТЭКа есть "старая" нормативная ветка ДСПшных документов, созданная еще во времена защиты ключевых систем (КСИИ).
Один из таких документов  - это Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну. Утверждено приказом ФСТЭК от 29 мая 2009г. №191. ДСП.

Вот о нём и пойдет сегодня речь...

Ищу работу

Жизнь наёмного специалиста - это тернистый путь наверх по карьерной лестнице. Но как показывает практика, подъем можно серьезно ускорить, если перепрыгивать иногда с лестницы на лестницу. В противном случае можно упереться в зад вышестоящего коллеги, потерять импульс или даже скатиться вниз. Еще хуже, порой, бывает, когда лестница слишком быстро заканчивается.

Если вы ищете опытного специалиста по информационной безопасности - взгляните на мое резюме (English), Email: root@itsec.pro. tel:+79094624072

Если вам нужны крутые специалисты по ИБ оптом, то взгляните на резюме моих коллег, это проверенные в бою парни!

Партнерство с Microsoft или путь к Большой Халяве


На днях обсужали с товарищем что лучше сертификация Cisco или Microsoft. С одной стороны Cisco проверяет больший пласт знаний и в меньшей степени опирается на конкретные технологии вендора, с другой стороны работодателю от сертификатов Cisco, как правило, ни тепло, ни холодно.

С сертификатами Microsoft совсем другое дело: они открывают компании путь к бесплатному программному обеспечению и способны сэкономить десятки тысяч долларов, но не все об этом знают.

Об интернет-дневниках


Как то так сложилось, что я никогда и ничего не слышал об интернет-дневниках в контексте защиты информации и, в частности, персональных данных. А ведь только один Dnevnik.ru обрабатывает сведения о 8 миллионах россиян: родителях и учениках из 30 тысяч школ по всей России! Такому объему могут позавидовать даже госорганы.


Кроме того Дневник.ру интересен тем, что является коммерческой компании, основанной выпускником Колумбийского университета (США), которая потратила значительные средства для организации бесплатной школьной социальной сети. Любопытно, не правда ли?

Просмотрев сайт dnevnik.ru я нашел пару интересных вещей.

Про средства доверенной загрузки


Как известно, сегодня информационный безопасник - это иммам, толкующий волю Регулятора пастве. Время от времени возникают ситуации, когда вместо того, чтобы выводить длинную цепочку рассуждений, опираясь на различные положения и стандарты, гораздо проще задать прямой ответ Регулятору. Благо сегодня у каждого госоргана есть интернет-приемная или хотя бы электронный ящик, куда можно послать запрос.

В начале октября я написал во ФСТЭК письмо на ящик postin@fstec.ru про средства доверенной загрузки. Дело в том, что в письме ФСТЭК  N 240/24/405 о вводе новых требований к СДЗ нет привычного "могут применятся", от чего складывается впечатление, что применять СДЗ нужно обязательно, что заставляет нас несколько нервничать при выборе СЗИ для ИСПДн 3 и 4 уровня защищённости.

Анализ утёкших паролей Яндекс и Мэил.ру

В начале сентября произошла массовая публичная утечка паролей почтовых сервисов Yandex, Mail.ru и Google. Большая часть специалистов считает, что сервера Яндекса и Мэил.ру никто не ломал, а пароли утекли от самих пользователей через кейлоггеры, фишинговые сайты и кросс-чек (использование одинаковых паролей на разных сайтах). В пользу альтернативной точки зрения - сервисы Яндекса таки поучаствовали в раздаче - говорят некоторые комментарии с Хабра и мнение руководителя Роскомнадзора, хотя он вряд ли в теме. 
Александр Жаров, вообще говоря, в этой истории отличился, подарив индульгенцию всем дырявым Интернет-сервисам и компаниям.
Но вернёмся к нашим паролям.

Wi-Foo


Как мы знаем, эпоха халявного вайфая понемногу подходит к концу (или конец всё же отменили?), да и телегу лучше готовить заранее. 
Вот я и решил обновить свой Wi-Fi арсенал и поделиться с вами новостями в сфере безопасности Wi-Fi сетей.

О внесении изменений в Положение ЦБ 382-П


18 сентября было опубликовано новое Указание Банка России от 14 августа 2014 N 3361-У о внесении изменений в Положение ЦБ N 382-П.
Учитывая обязательный характер Положения для участников платежных систем, пропускать эту новость работникам служб безопасности КО никак нельзя.

Любопытные, забавные и пугающие прецеденты проверок по персональным данным

Есть у меня несколько любопытных прецедентов проверок регуляторов, о которых я люблю вспоминать, когда дело доходит до защиты персональных данных.

Под катом моя личная подборка Топ-5.

Как поставить знак рубля в Word

По предложению ЦБ в таблицу Unicode добавили символ рубля. Начиная со вчерашнего дня этот символ теперь доступен и в Word'е!

Правда, чтобы добраться до него придется немного попотеть...

Как я на курсы Информзащиты ходил. Часть вторая.

 

Полгода назад я выиграл сертификат на обучение в УЦ "Информзащита" благодаря активному голосованию моих реальных и виртуальных читателей ;). Поэтому будет честно, если я поделюсь с вами моим небольшим фотоотчетом с курса ЭБ06: Система противодействия незаконным методам конкурентной разведки.

Жанр отчета в мире ИБ - формат нечастый. Мероприятий проходит много, а пишут о них единицы (а если отбросить хвалебные благодарственные отчеты - то и вообще ничего почти не останется). Поэтому если вам интересно, что такое курсы по экономической безопасности в УЦ "Информзащита", добро пожаловать под кат.

Как я на курсы Информзащиты ходил. Часть первая, техническая.


В конце июля мне довелось побывать на учебных курсах в УЦ "Информзащита". Это, наверное, один из старейших и крупнейших учебных центров в нашей стране с самым большим ассортиментом курсов: начиная от компьютерной безопасности и заканчивая экстремальным вождением. После долгих раздумий, мною был выбран курс ЭБ06 "Система противодействия незаконным методам конкурентной разведки", так как мне всегда было интересно, как там на другой стороне информационной безопасности - в безопасности экономической.

Свой обзор я решил начать с конца - покрутить со всех сторон электронные материалы курса и приложение Информзащиты из Google Play, которое разработано специально для абитуриентов курсов и позволяет скачивать учебные пособия к себе на телефон.

Инструментарий кибердемократии от GCHQ


JTRIG - это хакерское подразделение британской спецслужбы GCHQ, в задачи которого входит как проведение классических кибератак, так и киберпропаганда.
Недавние разоблачения Сноудена открыли всему миру инструментарий этой спецслужбы, заботливо сведенный воедино на страничке совершенно секретной википедии.

А что ж там интересного у них есть?

К вопросу о диаграммах соответствия СТО БР ИББС

Указанные мною недочеты в новом стандарте СТО БР ИББС-1.2-2014 были направлены через интернет-приемную в ЦБ. На днях я получил ответ (будь проклят многостраничный tif %)), который будет интересен практикам/аудиторам СТО БР ИББС.

1. Исправленный текст стандарта доступен на сайте ЦБ. В нем исправили формулу EVбитп, добавили в таблицу k1оопд.
2. Оценивать рекомендуемые показатели нужно по шкале "1", "н/о" вне зависимости от указанной в таблице категории проверки частного показателя.
3. Сколько должно быть диаграмм - решать аудитору.
По моему личному мнению, диаграмма с оценками М1-М6 в отношении банковского платежного технологического процесса наиболее полно отражает реальный уровень ИБ банка, поэтому файлик переделывать пока не буду (можно меня переубедить в комментариях!).

Крупнейший банк Юга России объявил месяц охоты за ошибками


Начиная со вчерашнего дня в течении 30 дней строго во внерабочее время можно искать дырки на сайте c.ikib.ru и получать за это от нас деньги.
Еще одна хорошая новость: выплаты осуществляются теперь силами самого сервиса BugHunt. Это значит, что запустить собственный конкурс "охота за ошибками" стало ещё проще, а время выплаты исследователям вознаграждения за найденные дырки сократится до нескольких рабочих дней.

СТО БР ИББС-1.2-2014


Совсем недавно зарелизился новый Стандарт Банка России в области информационной безопасности СТО БР ИББС.

Пришло время и мне обновить свой файлик с расчётами. Самые нетерпеливые могут сразу скачать его тут.

Про PHDays


На прошлой неделе в Москве состоялась конференция PHDays IV. Программа здесь.
Записи докладов можно посмотреть тут. Несмотря на заметное падение в качестве организации, PHDays по-прежнему остается крупнейшим мероприятием по ИБ в стране.

웃 I ❤ Korea 유


Чем больше я узнаю о Южной Корее, тем больше мне нравится эта страна. Южная Корея - это как Япония, только все в ней для людей, а не для японцев.

Посудите сами:
  • Эта нация ровно в такой же степени помешана на технике и гаджетах, как и японцы. StarCraft у них крутят по телеку, а профессиональных геймеров считают национальными героями.
  • Корейская культура в гораздо большей степени чем японская открыта для европейцев (может это потому, что корейцы в большинстве своем христиане). 
  • В Корее находятся крупнейшие заводы по производству памяти, ЖК матриц и др. Южная Корея  - родина Samsung и LG.
  • Для россиян в Южной Корее действует безвизовый режим (в отличие от Японии, куда визу могут и не дать).
Кроме того в Южной Корее отличные условия для электронной торговли:
  • В Корее человеческие розетки - 220В, евровилка (в Японии 110В, и в нашу сеть их гаджеты без трансформатора не подключишь).
  • Говорят, в Южной Корее предусмотрена уголовная ответственность за торговлю контрафактом. Покупая у корейского продавца на ebay, вы никогда не наткнетесь на некачественный товар или подделку (в отличие от соседей-китайцев).
  • Корейцы частенько продают товар с бесплатной доставкой курьерской службой (EMS free shipping). Посылки из Кореи, по-моему опыту, доходят быстрее, чем письма из Москвы :).
Вообщем, ничего удивительного в том, что у корейцев я покупаю гаджеты постоянно, нет.
Теперь настало время поделится своими покупками с вами ≧◠‿●‿◠≦

Социальные сети и груминг


Я достаточно часто сталкиваюсь с людьми, которые ругают социальные сети. Кто-то считает их виртуальной заменой реальной жизни, кто-то хождение по соц.сетям считает проявлением прокрастинации. В обоих случаях активных пользователей соц.сетей осуждают и стремятся ограничить: блокируют URLы, вносят в черный список, ругают и взывают к совести.

Не делайте этого.

СМС Спам. Made in China.


ИТ андерграунд Поднебесной задаёт тон всему миру. Именно там рождаются пиратские торренты, куются кейгены, паяются скиммеры и прочие "высокие технологии", предназначенные для ускоренного обогащения узкого круга ограниченных людей.

В последнее время опсосы развернули широкую компанию по борьбе со спамом не только в своих пресс-релизах, и нам стоит ожидать очередного импорта технологий китайского спама, который, как обычно, ушел уже далеко вперед.

Тяжело в учении, легко в бою. Готовимся к проверке Роскомнадзора


Как мы все с вами прекрасно знаем, проверки Роскомнадзора по персональным данным первым апреля не ограничиваются. Попасть под такую проверку более чем реально, а выйти из неё сухим из воды не так уж просто. 
Даже если в план проверок на 201Х год ваша организация не попала, а внеплановых проверок вы не боитесь, то полезно бывает время от времени устраивать учения, которые, кстати, являются обязательными в соответствие с п.1 ч.4 ст. 22.1 152-ФЗ.

Далее небольшой гайд по самопроверке

Конференция "Информационная безопасность банковской сфере" в Крайинвестбанке 29 апреля


29 апреля прошла региональная конференция по информационной безопасности, которую организовал Крайинвестбанк и РосИнтеграция.

Программа и анонс прошедшего мероприятия тут.
Презентации доступны здесь. Регуляторы выступали либо без презентации, либо презентацию не давали.

Анонс. Конференция "Информационная безопасность в банковской сфере"


29 апреля в Краснодаре состоится конференция, посвященная информационной безопасности в банковской сфере (и не только). С программой можно ознакомится тут (там же и заявку на бесплатное участие можно оставить!).

А что там будет?

Мой взгляд на фотоконкурс VI Уральского форума


Вчера закончился фотоконкурс, который проводил организатор IV Уральского форума "Информационная безопасность банков" (я писал о нем тут и тут) компания АВАНГАРД ЦЕНТР. Участникам форума предлагалось отправить свои фотки на конкурс и побороться за главный приз - айпад.
Я выиграл в этом конкурсе сертификат на авторский курс от учебного центра "Информзащита", но написать я хотел о другом.

Криптографию - ФСТЭКу!


Побывав на Уральском форуме, я сделал для себя важный вывод: два кресла в президиуме были заняты совершенно не тем ведомством, которое это заслуживает.

WinXP RIP


Маховик капитализма закручивается все быстрее и быстрее, заставляя нас сокращать циклы производства и потребления. Вот и пришла очередь отпевать WinXP и MSO 2003 - последний офис, для которого формат doc (без x) был родным.

Гигабаг в OpenSSL


Вчера ночью кибермир потрясла новость о серьезном баге в программе OpenSSL.
В этой новости прекрасно всё:
и то, что баг позволяет любому человеку считывать оперативную память удаленного сервера,
и то, что баг позволяет серверу считывать память браузера пользователя,
и то, что успешная атака никак не отразится в логах,
и то, что уязвима по некоторым оценкам треть всех https серверов, ДБО, bitcoin, TOR и I2P,
и то, что баг существовал 2 года,
и даже то, что авторы OpenSSL выпускали столь серьезный и простой патч аж полгода (!)

Теперь подробнее.

РКН решил взяться за блоггеров

Сегодня нашел вот такое письмо в своем почтовом ящике


Или это чья-то злая шутка, или РКН действительно решил взяться за блоггеров. В конце концов один раз они уже пытались блокировать мой сайт за экстремизм. На всякий случай прилеплю ка я к блогу политику обработки персональных данных и шаблоны согласий на обработку ПДн посетителей. Если кто будет оставлять комментарии, пожалуйста, заполните согласие, отсканируйте и вышлите мне на почту root@itsec.pro!
А вообще каждому блоггеру советую отправить уведомление в Роскомнадзор. Я думаю именно это они и использовали как повод чтобы внести меня в план проверки.

Следи за паролями


Это удобно, когда на телефоне отображается твой баланс, оставшийся объем трафика, количество бесплатных минут и смс, курсы валют, твой банковский счет и многое другое. 

Все это умеет отличная программа AnyBalance (Android), ну или ей подобные. Программа отправляет запросы с заданным интервалом на сервера Мегафона, МТС, Сбербанка (всего более 800 различных провайдеров) через вызовы сетевого API, а иногда и просто парсит вебстраничку личного кабинета, выдирая из нее нужные поля, которые затем отображаются на экране телефона в виде виджетов.

Мне было интересно посмотреть, как работают эти вызовы, и вот что я нашел.

Новости криптографии. Scrypt.


Криптовалютный бум серьезно подгоняет криптографов. Появление специализированных чипов, предназначенных для вычисления хэшей SHA256, необходимых для генерации биткоинов, привнесло в наш мир такие скорости перебора, что все прогнозы криптостойкости различных криптоалгоритмов хэширования пора потихоньку отправлять на свалку. Хоть оборудования для майнинга криптомонет и не предназначено технологически для любых других целей, сам факт существования дешевых и суперэфективных чипов для подбора хэшей говорит о многом.

Мой телефон - моя крепость


Количество смартфонов превысило количество персональных компьютеров.... Android стал самой распространенной операционной системой в мире.... к 2020 году 80% вебтрафика будет с мобильных устройств... Мобильные ботнеты и кражи через мобильный банк становятся восходящим ИБ трендом...

Угадайте, какое устройство знает пароли от вашей почты и социальных сетей? Какое устройство имеет доступ к мобильному банку и СМС с проверочными кодами? Какое устройство отслеживает ваши перемещения и знает ваши контакты?  Какое устройство оснащено камерами и чувствительным микрофоном? Какое устройство вы постоянно носите с собой и ставите на зарядку рядом с кроватью когда спите?

Логично предположить, что сегодня и в будущие годы фокус вашей личной информационной безопасности будет сконцентрирован на вашем телефоне.

Сервис публикации bugbounty программ BugHunt

Сегодня мы запускаем наш новый офигенный сервис - BugHunt.

Сервис позволяет запустить bugbounty программу в любой организации (да хоть у ИП!), так как все юридические и технические сложности мы берем на себя. Для багхантеров сервис будет полезен тем, что освободит их от необходимости пробиваться через спам-фильтры, уберет Дамоклов меч в виде УК РФ, и гарантирует выплату вознаграждений за найденные дыры. Для организаций появится отличная возможность проверить свой сайт, потратив на это гораздо меньше денег, чем стоит пентест у организации-аудитора (и с большим КПД!).

Запишись в ряды криптотеррористов!

[на правах рекламы]

Мой знакомый праведный криптоиммам решил проповедовать идеи Криптоджихада с помощью стильных значков с логотипом Bitcoin. Приобщись к будущему сегодня, позли ЦБ и Генпрокуратуру, купи криптоорден и повесь на грудь всем на зависть!

Казнить нельзя помиловать


Вначале ЦБ негативно высказался о криптовалютах, потом и Генеральная прокуратура разглядела в биткоинах терроризм. Я даже уверен, что если взять представителей ФСБ, МВД, ЦБ и Прокуратуры, посадить их за один стол без прессы и коммерческих организаций, они психологически не смогут ничего разрешить. Им страшно. Запретишь что-нибудь полезное - поругают. Разрешишь что-нибудь вредное - казнят. Выбор предопределен.

Закладки АНБ. Часть 3. Жучки.


Мне всегда было смешно, когда в американских боевиках главный герой вставляет флешку во вражеский сервер, и через минуту он уже управляет системой безопасности здания. 
Я не мог понять, как флешка с файлами может автоматически запустится на никсах, получить рутовый доступ и связаться по радиоканалу с хакером, который сидит в тонированном фургоне за 2 квартала от вражеского здания. Эти флешки я считал фантазией сценаристов, и я оказался почти прав: частенько в таких флешках у АНБ нет необходимости, у них есть штуки намного круче!

Как не надо писать парольную политику


Хотите сделать из человека маньяка-садиста с диктаторскими наклонностями - дайте ему написать корпоративную парольную политику...
Я уже много раз писал про пароли, но настал момент немного систематизировать материал.

Шпионторг. Часть 2. Радиожучки или магазин "все по 30 долларов".

Традиционно именно жучки ассоциируются у нас со спецслужбами. Если программную закладку иногда и можно списать на "забытую отладочную консоль", то жучки уж точно сделаны для подслушиваний и подглядований в труднодоступных местах, и никто с этим не спорит.
Поэтому особо интересно листать ту часть каталога АНБ, которая посвящена радиожучкам.

Counter-terrorist shop. Часть 1. Сетевое оборудование.


В конце прошлого года была опубликована очередная порция разоблачений Сноудена - каталог  различных программных и аппаратных закладок, разработанных подразделением АНБ - ANT. Лишь только малая часть представленных закладок широко обсуждалась в Интернете, в то время как пристального внимания заслуживает каждая позиция из каталога.

Вся информация об устройствах носит гриф "Секретно" (Secret, S) либо "Совершенно секретно" (Top Secret, TS) и должна оставаться секретной до 2032 года. Каталог актуален на май 2008 года с отдельными позициями, которые должны были стать доступными в конце 2008 года. Думаю, сегодня этот каталог раза в 2 толще, ибо бюджет АНБ, по всей видимости, постоянно рос.

VPN своими руками


Нам уже давно пора перейти от принципа "шифровать, если необходимо" к принципу "шифровать всегда", так как быстрые многоядерные процессоры и безлимитные каналы связи нам это вполне позволяют.

Используя VPN на своих устройствах, вы получите ряд бонусов:
1. педофильский реестр будет где-то очень далеко от вас. Не надо боятся, что в один прекрасный день в него внесут Хабр, Вконтакте, youtube и т.д.;
2. вам будут доступны заграничные сайты, которые работают только со Штатами/Европой. К примеру, магазин девайсов Google Play или Netflix;
3. ваш трафик будет скрыт от вашего провайдера, рекламодателей, хакеров и ФСБ (правда выходная точка вашего VPN канала будет все равно под присмотром других спецслужб :( ).

Организовать свой VPN достаточно просто.