Выпуск № 3 | Март 2014

Статья

Выпуск № 3 | Март 2014

Ежемесячная подборка новостей

6 марта

В ГД одобрили проект о блокировке сайтов с любым пиратским контентом

В конце февраля вице-спикером Госдумы Сергеем Железняком (ЕР) внес на рассмотрение парламента законопроект, который предполагает ограничение доступа к любому пиратскому контенту в интернете, а не только к фильмам.

11 марта

Проект приказа ФСТЭК России

Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Законодательство и рекомендации регуляторов

1 марта

DoS – атака. Что это такое?

Чтобы понять, что такое DoS-атака (или DDoS), лучше всего прибегнуть к аналогии. Несколько раз в неделю в Мировом океане возникают одиночные гигантские волны, которые ведут себя совершенно не так, как нормальная волна. Они появляются внезапно, в спокойном море и достигают высоты 30 метров. Если судно вдруг встречает такую волну, оно «втыкается» в вертикальную стену воды, и шансов остаться на плаву у него немного, как бы велико оно ни было (такая история была рассказана в фильме «Посейдон»). Интернет — тоже океан, только информационный, и в нем есть явление, очень похожее на гигантские волны. Если вдруг на сайт накатывает настоящий информационный шквал — это DoS-атака. Часто эти атаки так и называют flood, то есть «потоп».

3 марта

Кейлогер iOS 7

Проблема кейлогеров для мобильных приложений становится все заметнее в мире мобильных устройств. Уже достаточно давно стало известно, что джейлбрейкнутые IOS 7 девайсы могут быть уязвимы для кейлогеров, которые записывают и передают все ваши жесты и нажатия злоумышленникам. Теперь это касается и не взломанных IOS устройств.

12 марта

Самые популярные пароли в 2013

В 2013 году, компания 'SplashData' объявила свой ежегодный список из 25 самых распространенных паролей, найденных в Интернете, из разнообразных утечек. Так же стоит отметить, свои корректировки внесла утекшая база Adobe. В этом году «password» потерял свои позиции, скатившись до второго места, а первое место, уже второй раз занимает «123456».

14 марта

Защищать детей от рисков Интернета нужно не только запретами, но и качественным замещающим контентом, считают в СФ

В Совете Федерации состоялись парламентские слушания на тему «Актуальные вопросы обеспечения информационной безопасности детей при использовании ресурсов сети Интернет».

24 марта

Уязвимость MS Word эксплуатируется in-the-wild

Microsoft сообщает (SA 2953095), что новая memory-corruption cross-Word (2003-2007-2010-2013) 0day уязвимость CVE-2014-1761 используется злоумышленниками для удаленного исполнения кода (Remote Code Execution) в направленных атаках. Атакующие используют специальным образом подготовленный RTF файл для исполнения кода через уязвимую версию MS Word, либо при просмотре сообщения с таким документом в Microsoft Outlook. В атаках были замечены эксплойты для MS Word 2010, хотя уязвимость присутствует во всех поддерживаемых MS версиях.

26 марта

Как и чем сегодня защищать свои данные на ПК и накопителях?

В настоящее время гарантировать сохранность корпоративной или пользовательской информации на различных почтовых сервисах, персональных компьютерах и облачных хранилищах практически невозможно. Почту могут взломать, информация со своего компьютера или с компьютера коллег может быть скопирована сотрудниками компании и использована в своих целях. Есть ли способ для защиты информации? 100% гарантию защиты данных на сегодняшний день не даёт ни одна компания, сделать хороший шаг в сторону сохранения своих данных, разумеется, можно. Обычно используется для защиты данных шифрование.

Обезопась себя сам

Финансовый сектор

2 марта

Атаки на банковские системы

Уделим внимание новому стандарту ЦБ РФ об обеспечении информационной безопасности банковских систем, на эту же тему был и мой доклад. В стандарте выделено 7 этапов жизни банковских систем (ПО), от написания ТЗ до снятия с эксплуатации. И схема моего доклада была следующей — рассказать некоторые реальные истории атак, проецируя их на новый стандарт от ЦБ, и показывая, как бы он (стандарт) мог «сломать» эти вектора, если бы банки его применяли.

17 марта

Хакеры атаковали сайты Альфа-Банка и ВТБ 24

Интернет-ресурсы Альфа-Банка недоступны, проблемы также наблюдаются в банкоматной сети. Как сообщается на официальной странице кредитной организации в Facebook, это связано с «проблемами на стороне провайдера».

17 марта

Антивирусные эксперты предупреждают о росте числа атак на сайты онлайн-банкинга

Антивирусные эксперты констатируют рост активности злоумышленников в отношении сайтов, предоставляющих услуги онлайн-банкинга. По их словам, сайты банков все чаще подвергаются не только взломам, но и DDoS-атакам.

19 марта

ЕЦБ примет меры по защите информации по результатам стресс-тестов банков еврозоны

Европейский центральный банк, который приступил к проведению масштабных стресс-тестов и оценок 128 крупнейших банков еврозоны, озаботился вопросом конфиденциальности итоговой информации по финансовым институтам. В частности, банкиры еврозоны опасаются, что конфиденциальная информация о банках подвергнется утечке еще до официального опубликования обзора балансов, что вызовет спекуляции и поставит инвесторов в трудное положение, передает собкор Банки.ру из Брюсселя.

19 марта

Хакеры украли со счетов QIWI около 90 млн рублей

Платежная система QIWI обнаружила взлом 687 аккаунтов своих пользователей, в результате которого мошенникам удалось вывести 88 млн рублей.

27 марта

Украинские хакеры выложили в Интернет данные о держателях 7 млн пластиковых карт

Хакерская группа, называющая себя украинским подразделением Anonymous, выложила в Интернет данные около 7 млн кредитных карт с именами их владельцев — клиентов систем Visa, MasterCard, American Express и Discover. Об этом хакеры сообщили в том числе в своем блоге в Twitter. «Ведомости» скачали эти файлы и убедились, что они действительно содержат информацию, похожую на данные кредитных карт.

 

Интернет и телекоммуникации

6 марта

У руководства Meetup требуют 300 долларов за отмену мощной DDoS-атаки

СЕО Meetup получил странное сообщение по электронной почте, в котором говорилось «Ваш конкурент попросил меня осуществить DDoS-атаку на ваш сайт. Я могу остановить атаку за 300 долларов США. Дайте мне знать, если вы заинтересовались мои предложением». И прежде, чем сообщение было дочитано, сервис действительно стал подвергаться атаке на 8,2 Гбит/сек., что привело к падению.

9 марта

Норвежский провайдер выдавал в браузере номер телефона клиента по IP

В Норвегии на днях была обнаружена проблема на стороне провайдера NextGenTel, которая делала вполне реальной угрозу «я найду тебя по ip». На роутерах компании было установлено ПО, выдающее номер телефона конкретного пользователя, по его ip.

12 марта

Более 162.000 сайтов на WordPress использовались для масштабной DDOS-атаки

Хочу рассказать о крупной DDOS-атаке, усиленной с помощью тысяч отдельных сайтов на движке WordPress.

13 марта

АНБ заражало компьютеры пользователей через Facebook

Агентство национальной безопасности США (АНБ) устанавливало вирусы на компьютеры пользователей с помощью социальной сети Facebook. Об этом 12 марта сообщает интернет-издание The Intercept.

14 марта

Сайт «Ленты.ру» подвергся хакерской атаке

При попытке зайти на главную страницу выдавалось сообщение о недоступности ресурса. Позже работа сайта была восстановлена, однако периодически страницы «Ленты.ру» могут грузиться с перебоями.

16 марта

«КиберБеркут» атаковал сайты НАТО

Хакерская группировка «КиберБеркут» вечером в субботу, 15 марта, атаковала сайты НАТО в знак протеста против присутствия «натовских оккупантов» на Украине. Об этом хакеры написали на своей странице.

23 марта

New York Times: у NSA был доступ к серверному оборудованию Huawei в течение нескольких лет

По данным авторитетного издания «The New York Times», у печально известного агентства NSA был доступ к серверному оборудованию китайской компании Huawei.

27 марта

В рунете появилась глобальная карта киберугроз

В интернете появился сервис, наглядно демонстрирующий происходящие в режиме реального времени компьютерные инциденты во всем мире. Как сообщили в пресс-службе "Лаборатории Касперского", запустившей проект, на этой интерактивной карте отображаются срабатывания почтовых и веб-антивирусов, выявленные уязвимости и обнаруженные сетевые атаки.

 

Промышленность и услуги

6 марта

Хакеры выложили в Сеть документы «Рособоронэкспорта»

Хакеры, причисляющие себя к движению Anonymous, выложили в Сеть архив внутренних документов российской государственной компании «Рособоронэкспорт». Сообщения об этом 6 марта появились в Twitter, а также на сайте Сyberguerrilla.org.

13 марта

В индийской полиции 8 лет не отвечали на жалобы, потому что потеряли пароль от базы данных

В полицию города Дели 8 лет не поступали жалобы на работу этой самой полиции. Как оказалось, дело совсем не в том, что полиция такая замечательная, а просто никто не открывал эту базу данных с жалобами – пароль от нее попросту потеряли.

20 марта

Google ввел шифрование Gmail-трафика между дата-центрами для надежной защиты данных пользователей

Корпорация Google заявила о том, что команда проекта Gmail решила ввести шифрование «почтового» трафика Gmail между дата-центрами. Это сделано, по большей части, для защиты личных данных пользователей от северокорейских шпионов NSA и прочих возможных служб, занимающихся перехватом и анализом трафика.

20 марта

ФБР задержало российского программиста по наводке Microsoft

В Сиэтле агенты ФБР задержали российского программиста Алексея Кибкало по подозрению в разглашении торговых секретов Microsoft.

21 марта

Счета Microsoft к ФБР: корпорация получает деньги за каждый официальный запрос спецслужбы по раскрытию информации пользователя

В Сеть утекла весьма интересная информация, полученная так называемой «Сирийской Электронной Армией» (Syrian Electronic Army). Насколько можно судить по документам, корпорация Microsoft, чьи счета попали в руки взломщиков, получает от ФБР деньги за выполнение каждого официального запроса по предоставлению информации конкретного пользователя.

Информационные статьи

1 марта

Обзор форматов стандарта CAdES

Данная статья представляет собой обзор стандарта CAdES (CMS Advanced Electronic Signatures). Статья была написана как на основе теоретических исследований, проведённых автором, так и на основе написания собственной реализации создания и проверки подписей форматов CAdES.

3 марта

Безопасность сетей доступа 3G/4G

Затраты на подключение базовых станций — одна из значительных составляющих расходов оператора, поэтому издержки, связанные с построением и эксплуатацией этих сетей, стараются снижать, в частности используя новые технологии. Эволюция прошла путь от ATM-подключений до SDH/SONET, DSL, IP/MPLS и metro Ethernet.

4 марта

История однострочных багов

Компания Apple недавно допустила крупную ошибку, забыв удалить лишнюю строчку с оператором безусловного перехода goto посередине функции SSLVerifySignedServerKeyExchange для проверки серверной подписи при установке SSL-соединения. В результате, функция успешно завершала работу, независимо от результата проверки подписи.

10 марта

Биометрическая подпись на документе

В данном посте речь пойдет о способе аутентификации человека по динамике написания рукописного пароля (подписи). В последнее время к этому направлению проявляется огромный интерес, и связано это в первую очередь с распространением мобильных устройств с сенсорными экранами. Согласитесь, было бы здорово получить по почте документ, открыть его, пальцем нарисовать свою подпись и отправить адресату. При этом документ будет иметь юридическую силу. За рубежом – это уже давно реальность. В России пока доверяют подписанному бумажному документу, либо электронному документу с официально зарегистрированной ЭЦП.

14 марта

Дифференциальный криптоанализ для чайников

Шифр FEAL обладает таким же уровнем стойкости что и DES. Более того, увеличенная длина ключа (64 бита по сравнению с 56 битами в DES) затрудняет возможность перебора. Шифр FEAL обладает хорошим распределением шифротекстов, близким к случайному. И это тоже говорит в пользу FEAL по сравнению с DES.

Узнай новое. Технологии и методы защиты информации

March 7

HTTPS traffic analysis can leak user sensitive data

A Team of US researchers at UC Berkeley conducted a study on the HTTPS traffic analysis of ten widely used HTTPS-secured Web sites with surprising results.

March 10

The marketing approach of cybercrime to phishing emails

Mark Sparshott, director at Proofpoint, explained that cybercrime manages phishing emails using techniques similar to those used by the marketing industry.

March 11

$5 Billion in Military Cyber Spending fivefold increase over last year

The Military Cyber Spending reserved by the Pentagon for cyber operations next year is $5 Billion, part of the comprehensive $496 billion fiscal 2015 budget.

March 14

TURBINE, how NSA has plundered botnets to the cybercrime

TURBINE is the codename for a sophisticated hacking platform to take control of C&C servers managed by cybercrime. The NSA has been hijacking the botnets managed by cybercrime to its own purpose, this is the last revelation on questionable activities of the agency.

March 16

NATO websites hit in cyber attack linked to Crimea tension

Hackers brought down several public NATO websites, the alliance said on Sunday, in what appeared to be the latest escalation in cyberspace over growing tensions over Crimea.

March 17

Banking's back room risk cops step into top jobs

Once modest of pay and profile, risk experts are being reborn as rock stars of the banking world - their status and salaries soaring as regulators force financial institutions to clean up.

March 25

ATM malware, controlled by a text message, spews cash

A group of enterprising cyber criminals have figured out how to get cash from a certain type of ATM -- by text message. The latest development was spotted by security vendor Symantec, which has periodically written about a type of malicious software it calls "Ploutus" that first appeared in Mexico.

Международные СМИ

Источники

Эта информация была полезна для вас?