16 Марта, 2015

Дайджест новостей по ИБ за 06 – 13 марта 2015г.

Сергей Сторчак
Блоги:
Алексей Лукацкий поведал о планах ФСТЭК в области регулирования вопросов защиты информации АСУ ТП , которые были озвучены на VII Уральском форуме «Информационная безопасность банков»; рассказал о том, как в России продают opensource в дорогой обертке.

Андрей Прозоров осветил мнения регуляторов по импортозамещению , высказанные ими на заседании временной Комиссии Совета Федерации по развитию информационного общества; подготовил сравнительную таблицу основных международных сертификаций специалистов по информационной безопасности .


Статьи:
Основные виды DDoS-атак и методы защиты.


Большинство программ, скачанных с сайтов загрузок, содержат потенциально нежелательные программы ( PotentiallyUnwantedPrograms , PUP).

Анализ SMS-трояна Trojan-SMS.AndroidOS.Podec .

Получение shell-доступа при помощи генератора документов для Microsoft Excel.

Подборка расценок ВУЗов за обучение специализации «Информационная безопасность» и смежным специальностям.



Мониторинг активности в промышленных системах и сетях как безопасный подход к борьбе с киберугрозами.


Перевод сайта с HTTP на HTTPS .

Исследование CryptoStealer – вредоноса для кражи Bitcoin-кошельков.



Создание программы по борьбе с внутренними угрозами в организации: основные компоненты (часть 2, англ.).

Брешь rowhammer в DRAM позволяет получить привилегии ядра.

Документы:

Point-of-SaleSecurityForDummies – бесплатная версия книги по защите POS-терминалов в соответствии с требованиями PCIDSS (англ.). Источник:bit9.

TacticalWebApplicationPenetrationTestingMethodology – методология по тестированию на проникновение веб-приложений. Источник: GironSec.


Программное обеспечение/сервисы:
YSO Mobile Security Framework – анализатор кода (статический и динамический) Android- и iOS-приложений.

EnhancedMitigationExperienceToolkit (EMET) 5.2 - программа для предотвращения эксплуатирования уязвимостей в программном обеспечении.

TheVulnBankуязвимое веб-приложение с функционалом интернет-банка для обучения тестированию на проникновение.

Вебинары:
19 марта 2015 года в 10.00, «Информационная безопасность банка: требования Банка России по осведомлённости персонала и как их выполнить » от Агентства ВЭП.

Аналитика:
Статистика кибератак за февраль 2015 года (англ.). Источник: Hackmageddon.

Kaspersky Security Bulletin. Спам и фишинг в 2014 году .

Ресурсы:
Видео с OWASPRussiaMeetup #2 .

Видео с Cerias 2015 .

PDF Examiner – онлайн-сервис для проверки pdf-файлов на наличие эксплойтов и JavaScript.

http://bdu.fstec.ru/ - Банк данных угроз безопасности информации от ФСТЭК России (БнД УБИ).

www.dlapiperdataprotection.com/ - DLAPiper'sDataProtectionLawsoftheWorldHandbook. онлайн-сервис по сравнению законодательства по ПДн в разных странах.