Страницы

Дайджест новостей ИБ за июнь 2012

Решил сделать краткую подборку новостей за прошедший месяц для тех, у кого нет времени читать новости, блоги и твиттер.

1. 30-31 мая прошла конференция по ИБ PHDays. Материалы и отчёты о конференции собраны тут (отчеты в самом низу) + там есть и мой;
2. Банк России выпустил плеяду документов по защите национальной платежной системы, которая, видимо, станет ИБ трэндом 2012 года, если в следующем месяце новые документы по защите ПДн ее не переплюнут;
3. В начале месяца были похищены хэши миллионов пользователей LinkedIn, LastFm, eHarmony и др. Как и кто украл хэши - непонятно. Спалились тоже странно: хакер выложил 6.5 млн хэшей LinkedIn на форум InsiderPro с просьбой помочь ему их сломать =) (и ему помогли!);
4. МВД поймало 22 летнего хакера, владевшего крупнейшим в рунете ботнетом - 6 млн. машин (всего в РФ 54.9 млн пользователей интернета. Т.е. каждый 10 ПК в России был в этом ботнете). Хакер успел украсть 150 млн. рублей.
5. У Stuxnet появился не менее интересный брат - троян Flame. Он умеет негласно подслушивать и подсматривать за жертвой,  следить за сотовыми телефонами в округе через Bluetooth. Внутри сети Flame распространялся через технологию Windows Update! Washington Post подтвердил, что и stuxnet и flame разрабатывались американцами и израильтянами против иранской ядерной программы.

Краснодарское
1. Роскомнадзор оштрафовал Почту России за то что последняя собирает паспортные данные получателей посылок и заказных писем в форме 22. Никто не любит Почту России...
2. Ряд местных банков "попали" под новые требования к лицензиям ФСБ. Многие не имеют требуемых 500 аудиторных часов образования в области ИБ. Дело доходит до отзыва лицензий ФСБ.

НеИБэшное
1. В Краснодарском крае осудили эколога, который написал "Саша вор!" на незаконном заборе вокруг дачи Ткачева. За условный забор дали 3 года условно. Это намного жёстче, чем 150 тысящ штрафа за укрывательство банды, устроившей резню в Кущевке.

Оценка соответствия требованиям Банка России к обеспечению защиты информации при осуществлении переводов денежных средств

Недавно вышло несколько документов, определяющих требования Банка России к участникам взаимодействия в рамках различных платежных систем.
Один из документов - Положение 382-П - содержит методику проведения оценки соответствия организации требованиям Банка России, отдалённо напоминающую методику оценки СТО БР ИББС-1.2-2010 (правда тут нет оригинальной круговой диаграммы).
Согласно указанию Банка России 2831-У, результаты оценки соответствия должны направляться всеми участниками платежных систем в Банк России по форме ОКУД 0403202 не реже одного раза в 2 года и не позднее 30 дней с момента завершения оценки соответствия. 
Если сравнивать с той же методикой СТО БР ИББС-1.2-2010, эта методика оценки значительно проще (129 вопросов против 423, 2 интегральных оценки EV против 8), однако СТО БР ИББС был расчитан на гораздо менее многочисленное сообщество кредитных организаций и носил добровольный характер. Эта же методика оценки обязательна для участников платежных систем различных уровней и заниматься оценкой нужно уже сейчас.

Теперь чуть подробней о методике оценки..

Документы по НПС

В последнее время вышло множество документов по защите национальной платёжной системы (НПС). 
В этом топике вы найдете актуальный перечень документов + ссылки на скачивание. 

Такой забавный Unicode

А знаете ли вы, что человек использует всего 5% своего мозга и своей клавиатуры?
Повсеместный переход на Юникод открыл практически безграничные возможности по расширению своего "символьного запаса", что позволяет делать очень интересные штуки ☺!
---✁----------------------------------------------------------------------------------------------

Как правильно охотиться на лис

На прошедшей конференции PHDays был конкурс, который назывался "Охота на лис". Задачей конкурса было найти переносную точку доступа wifi, которой был обычный сотовый телефон. С течением времени задача усложнялась, т.к. точка становилась мобильной и могла на некоторое  время отключаться.
В этом конкурсе активно участвовали мои коллеги, которые в итоге заняли 2, 3 и 4 место (а по сумме найденных лис оставили далеко позади всех остальных участников конкурса).
Собственно ключом к победе в этом конкурсе была правильная вайфай карточка и антенна (а так же умение быстро передвигаться по забитым коридорам с ноутбуком и умение приставать к прохожим со странными вопросами "А Вы не лиса?" :)).

Про пароли, BitLocker и криогенный криптоанализ..

Как сказал Александр Песляк на PHDays: нет смысла  устанавливать жесткую парольную политику в Windows, т.к. даже самый сложный пароль может быт подобран в этой ОС в разумные сроки.

В целом, сложность пароля напрямую влияет на время его подбора, однако как показывает ситуация с утечкой паролей LinkedIn, даже 40 символьный пароль может быть подобран в течении всего нескольких часов! 

Разлочить Winlocker

Собственно многие из нас когда-либо натыкались на подобное сообщение на экранах ноутбуков друзей и родственников:
Современные winlocker'ы эволюционируют на глазах: активно используют соц.инженерию (обвинение в нарушении УК и правил Микрософт), используют для кражи денег номера сотовых телефонов, которые периодически меняются даже если вирус не подключён к Интернету, успешно обходят антивирусный софт со свежими базами и т.д.

Как разблокировать компьютер?

Защита сведений о ЕГЭ

В соответствие с Федеральным Законом N 3266-1 "Об образовании", сведения содержащиеся в контрольных измерительных материалах ЕГЭ, относятся к информации ограниченного доступа.
Для обработки материалов экзамена и персональных данных участников ЕГЭ, ФГБУ "Федеральный центр тестирования" создало свою защищенную корпоративную сеть передачи данных - ЗКСПД ФИС.
ЗКСПД ФИС классифицирована по К1, т.к. содержит сведения 2,3 и 4 категории о более чем 3 миллионах субъектов.
Более подробно технические требования к защите ЗКСПД указаны в технических условиях подключения (документ согласован начальником управления ФСТЭК на 1 февраля 2012 года - А.В. Куцом).

Из основных положений документа:

[UPDATE] Конкурентная разведка на #phdays


30-31 мая в Москве состоялась конференция PHDays, организованная компанией Positive Technologies, которую до и после проведения стали называть крупнейшей и интереснейшей конференцией по ИБ в России.

Материалы конференции уже сегодня можно посмотреть на сайте DigitalOctober.

На конференции присутствовали такие иконы мира ИБ, как Брюс Шнайер (автор Blowfish), Дмитрий Скляров (русский хакер взломавший PDF и арестованный за это ФБР), Александр Песляк (создатель john the ripper) и многие другие.

О конференции уже написано многое, т.ч. я напишу о конкурсе "Конкурентная разведка", который проводился параллельно с конференцией, где я вместе с 4 участниками набрал максимальное количество баллов.