пятница, 11 января 2019 г.

Как правило, разработчики имеют доступ к разрабатываемым системам. Ещё одно доказательство.

Secure News опубликовали статью «Разработчики подсматривали за жильцами «умных домов» ещё раз подтверждающую тезис, о том, что разработчики в большинстве случаев имеют доступ к разрабатываемым системам. А в ряде случаев могут этот доступ "случайно" или "намеренно" передать третьим лицам. В нашем меняющемся мире, когда отношения между государствами меняются от состояния дружбы до состояния вражды достаточно быстро, это следует учитывать и стараться закрывать эти риски.
--------------- статья --------------------------------------
Конечно, все мы ждем что «умные дома» в скором времени станут по-настоящему таковыми, но уже сейчас есть много возможностей внедрить их компоненты. Однако далеко не все они по-настоящему безопасны. Так, журналисты The Intercept узнали, что данные с камер систем безопасности Amazon Ring свободно доступны разработчикам.
Как же так?
Amazon передала алгоритмы распознавания лиц и объектов для усовершенствования украинским разработчикам. Таким образом, они смогли смотреть в «облаке» Amazon пользовательские данные со всего мира.
Это произошло из-за того, что данные не были зашифрованы. Но даже это еще не все. Кроме того, разработчики смогли соотнести видео с реальными клиентам компании, благодаря доступу к базам данных.

-------------------------------

К весне ЦБ получит возможность блокировки мошеннических сайтов


11.01.2019  Центральный банк России стал еще на шаг ближе к возможности самостоятельной блокировки мошеннических и опасных сайтов. 

Соответствующий законопроект уже рекомендовали к принятию в первом чтении. В случае утверждения ЦБ сможет блокировать неправомерный контент до решения суда. Также был пересмотрен еще один интересный нюанс — ранее Банк России не мог обратиться в суд по таким делам в качестве заявителя. Новый документ как раз предусматривает у регулятора такую возможность. Эксперты области убеждены, что новые меры помогут значительно сократить масштабы хищения денежных средств у граждан как со стороны простых мошенников, так и со стороны киберпреступников. Вчера этот законопроект был одобрен комитетом по финансовому рынку. По оценке главы комитета Анатолия Аксакова, во всех трех чтениях документ рассчитывается принять к весне этого года. Таким образом, Центробанк будет наделен правом блокировать мошеннические организации, среди которых финансовые пирамиды, нелицензированные компании, организации, маскирующие свои интернет-ресурсы под сайты лицензированных финансовых организаций и тому подобные. Также ЦБ будет в состоянии обратиться в суд с требованием заблокировать определенный ресурс, который представляет угрозу информационной безопасности кредитных организаций и их клиентов. О том, что Центральный банк России пытается добиться права на самостоятельную блокировку веб-ресурсов, на страницах которых размещена информация о мошеннических организациях, стало известно еще в начале ноября. 

«В рамках борьбы с кибермошенничеством Банк России намерен развивать деятельность по  совершенствованию нормативно-правового регулирования, обеспечивающего защиту информации при предоставлении финансовых сервисов в сети Интернет». «В частности, предполагается законодательно закрепить полномочия Банка России по блокированию сайтов сети интернет, распространяющих информацию о деятельности организаций, осуществляющих мошенническую деятельность под видом предоставления финансовых услуг», — гласит документ.

Источник: https://www.anti-malware.ru/news/2019-01-11-1447/28516

суббота, 29 декабря 2018 г.

С наступающим Новым Годом!

Поздравляю всех с наступающим Новым годом!
Желаю всем здоровья, счастья, мира и добра в наступающем году!

пятница, 30 ноября 2018 г.

Книга: Безопасность Oracle глазами аудитора. Нападение и защита. (Александр Поляков)



Безопасность Oracle глазами аудитора. Нападение и защита.
Автор - Александр Поляков
В настоящее время анализ защищенности корпоративных сетей все чаще показывает, что уровень обеспечения информационной безопасности заметно возрос: администраторы своевременно устанавливают системные обновления на рабочие станции и серверы, стандартные пароли на доступ к активному сетевому оборудованию встречаются все реже, сети сегментируют и разграничивают доступ, парольная политика во многих системах соблюдается. Однако существует еще ряд проблем, которым до сих пор не уделяется должного внимания. Одна из них – это защищенность корпоративных систем управления базами данных (СУБД). Как известно, в корпоративных системах любая важная информация обычно хранится в базах данных, и конечной целью злоумышленника, как правило, является именно информация, находящаяся в них, которая зачастую важнее, чем права администратора на атакуемом сервере. В книге Александра Полякова "Безопасность Oracle глазами аудитора: Нападение и защита" подробно рассматривается вопрос безопасности СУБД Oracle, как наиболее распространенной среди существующих СУБД.
Большинство книг, в которых уделяется внимание безопасности Oracle, рассматривают в основном механизмы установки и настройки существующих средств безопасности. Такие книги по большому счету являются переводами разделов технической документации, отвечающих за безопасность. В них рассматриваются основные вопросы, связанные с аутентификацией, шифрованием, разграничением доступа, но крайне мало внимания уделяется тому, зачем нужны эти механизмы и как на практике осуществляется реальное проникновение в базу данных, от которого необходимо уметь защищаться. Как известно, чтобы понять, как защититься от злоумышленника, нужно хорошо знать и понимать методы его работы. Данная книга сильно отличается своим подходом к рассмотрению проблемы. Основной акцент в ней сделан на детальное объяснение практической стороны методов проникновения в СУБД; рассматриваются реальные примеры атак, реализованные автором на практике и подкрепленные детальным описанием проблемы. При этом речь идет не о простом перечне уязвимостей, а о системном подходе к вопросу проникновения в СУБД. Как итог, читатель сможет взглянуть на вопрос безопасности СУБД с точки зрения злоумышленника, что в итоге поможет ему настроить адекватную защиту.
Издательство – ДМК-Пресс
Год издания – 2010
Формат книги - PDF
Размер - 10 Мб

понедельник, 26 ноября 2018 г.

Категорирование объектов критической инфраструктуры в сфере здравоохранения

Сергей Борисов в своём блоге опубликовал серию статей, которая поможет безопасникам организации сферы здравоохранения провести мероприятия по категорированию критических объектов инфраструктуры. Статьи полезны и представителям других отраслей.

КИИ. Категорирование объектов. Часть 1

КИИ. Категорирование объектов. Часть 2

КИИ. Категорирование объектов. Часть 3.

четверг, 22 ноября 2018 г.

Всё, что вы хотели знать о ГОССОПКА

Размышления на тему значимых объектов КИИ в банках

Статья из блога "Malotavr":

Уже не первый раз слышу от банковских безопасников: "Мы - не системно значимый банк, у нас не может быть значимых объектов КИИ."
Причиной стала формулировка одного из экономических показателей в ПП127:
Прекращение или нарушение проведения клиентами операций по банковским счетам и (или) без открытия банковского счета или операций, осуществляемых субъектом критической информационной инфраструктуры, являющимся в соответствии с законодательством Российской Федерации системно значимой кредитной организацией, ...
Коллеги видят упоминание системно значимых банков и решают, что оно относится ко всему показателю. Но это не так.
Показатели определены только в этом документе, других норм на эту тему нет. Обычаи делового оборота тоже ничего не говорят о значимости тех или иных банковских операций для государства. В этой ситуации трактовка норм права определяется только правилами русского языка.
В данной формулировке речь идет о проведении банковских операций. Но не всех операций, а только двух определенных групп. Первая группа определяется дополнением "клиентами" и уточняется обстоятельством "по банковским счетам". Вторая группа операций определяется причастным оборотом "осуществляемых субъектами, являющимися системно значимыми...". Т.е в структуре предложения эти операции определены так:
проведение операций клиентами или операций, осуществляемых системно значимыми банками
В соответствии с правилами русского языка, причастный оборот, выделенный запятыми, определяет существительное, которое ему предшествует.
То есть на самом деле АБС может быть значимым объектом КИИ в двух случаях:
  1. Банк системно значимый, и инцидент с АБС приведет к прекращению или нарушению любого вида операций
  2. Банк не является системно значимым, и инцидент с АБС приведет к прекращению или нарушению операций, которые клиенты выполняют со своими счиетами.
Упоминание системной значимости могло бы относиться к обеим группам операций, если бы было добавлено слово "других":
проведение операций клиентами или других операций, осуществляемых системно значимыми банками
Это было бы стилистической ошибкой, но тогда из контекста было бы понятно, что речь идет только о системно значимых банках. В действующей же формулировке показатель "прекращение или нарушение проведения лпераций клиентами" относитсямко всем банкам без исключения.

Блогеры обсудили с представителями ФСТЭК вопросы по категорированию объектов КИИ

9 ноября 2018 года состоялась встреча представителей ФСТЭК России во главе с В.С Лютиковым и блогеров по ИБ (А.Лукацкий, П.Луцик, А.Комаров, В.Комаров, А.Кузнецов, С.Борисов) по теме законодательства о безопасности КИИ. Каждый участник встречи со стороны блогеров сделает соответствующую заметку по результатам встречи.

Далее информация от П.Луцика (https://plutsik.blogspot.com):


"Что касается самой встречи, то из 153 собранных с сообщества вопросов обсудить успели лишь некоторые, относящиеся к общим нормам законодательства. Частные вопросы (из серии, а Водоканал – это субъект?) не обсуждались. Весь перечень вопросов пока публиковаться не будет, т.к. был собран из разных источников.
На мой личный взгляд встреча оказалась весьма продуктивной и полезной для обеих сторон. Регулятором было предложено проводить подобные встречи на регулярной основе, что не может не радовать, особенно учитывая тот факт, что позиция регулятора по некоторым вопросам оказалась весьма неожиданной, а значит, профессиональное сообщество в своем большинстве о ней не знало, но благодаря таким встречам сможет узнать.
Далее приведу позицию ФСТЭК по обсуждаемым вопросам.

среда, 7 ноября 2018 г.

Перечень обязательных мероприятий при категорировании объектов критической информационной инфраструктуры

Для тех, кто всё-таки должен провести работы по категорированию значимых объектов критической информационной инфраструктуры Сергей Борисов подготовил небольшую, но очень полезную шпаргалку с перечнем мероприятий, которые необходимо провести в организации со ссылкой на пункты нормативных документов по КИИ.

При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны.
Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.   
Для владельцев незначимых объектов КИИ получился примерно следующий перечень



Для владельцев значимых объектов КИИ перечень существенно больше

Была ли утечка у Сбербанка и что может утечь почти у каждого...

Много шума наделали журналисты с так называемой "утечкой персональных данных" из Сбербанка. Каждый, кто видел данные, которые "утекли" у Сбербанка, понимает, что это информация, которая доступна практически каждому работнику организации, в которой развернута служба Active Directory или имеется внутренний почтовый сервер.
Более популярно про всё это нам рассказал в своём блоге Артем Агеев в статье "Слив сотрудников Сбербанка":

------------------------------------------------------------------------------------

420 тысяч записей вида "SAMAccountName","DisplayName","CanonicalName" утекли у Сбербанка через powershell запрос Get-ADUser. Утекли первоначально отсюда, а сейчас базу можно взять тут.

Я вам скажу Сбербанк ещё легко отделался.