Главное на рынке информационной безопасности

Минэкономразвития объявило конкурс на создание собственного ведомственного центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Собственно, корневой центр реагирования поддерживает ФСБ, и он уже функционирует. Но концепция ГосСОПКА, часть которой была опубликована этой весной, предполагает создание ведомственных и даже корпоративных центров данной системы, которые будут взаимодействовать с корневым. Есть сведения, что в рамках создания системы распределённых ситуационных центров также будет сформирован центр реагирования на инциденты – он также станет частью ГосСОПКА. Теперь свой ведомственный центр реагирования будет и у Минэкономразвития. Ведомство готово заплатить за это 1,5 млн руб.

Компания Microsoft объявила о прекращении поддержки старых версий Internet Explorer с 12 января 2016 года. Компания будет сопровождать и поддерживать только IE 11 и новый браузер Edge. Именно для этих браузеров будет выпускаться обновления и обеспечиваться техническое сопровождение. Кстати, компания Google выпустила новую версию Chrome 47, в которой появился новый инструмент безопасности – для потенциально опасных модулей расширения, таких как Flash Player и PDF Reader, вводится ограничение на использование функций операционной системы. Это не означает, что системные функции будут полностью недоступны для таких модулей – просто они будут работать в специальной песочнице, которая будет блокировать опасное поведение модулей. Это скорее система «виртуального патчинга» известных, но ещё не исправленных уязвимостей.

Европейские банки планируют выпустить пластиковые карты с технологией Dynamic Code Verification (DCV) – динамической генерации секретного кода проверки CVV. Вместо напечатанного постоянного кода на карте будет расположен дисплей с электронными чернилами, на котором код будет меняться через каждые 20 минут. Это должно создать определённые проблемы для мошенников, которые занимаются Интернет-торговлей. Предполагается, что такие карты уменьшает вероятность несанкционированной транзакции на 60%, сохраняя при этом стандартную процедуру использования карты для Интернет-покупок. Впрочем, период 20 минут не спасёт от MITM-атак, когда мошенник подделывается под легальный Интернет-магазин. Поэтому использование такой карты должно быть совмещено с защиты с помощью HTTPS.

США не присоединилась к Евроконвенции по защите персональных данных, что привело к определённым проблемам, в частности, у Facebook. До недавнего времени передача персональных данных европейцев в США основывалась на принципах "Тихой гавани" (Safe Harbor Privacy), которые предполагают, что американские компании соблюдают ограничения Евроконвенции, формально к ней не присоединяясь. Однако в октябре 2015 года австриец Максимилиан Шремс подал в европейский суд иск о защите своих персональных данных, которые Facebook передала в США, тем самым нарушив его права на защиту частной жизни. Свои претензии он обосновал публикаций материалов Эдварда Сноудена. Суд взялся рассмотреть претензии австрийца и, если нарушения будут доказаны, ограничить передачу персональных данных европейцев в США.

Параллельно в самих Соединённых Штатах был опубликован документ, который содержит описание проблем, связанных с обработкой персональных данных, и рекомендации для юридических фирм для обеспечения неприкосновенности частной жизни. Хотя эти рекомендации относятся в основном к персональным данным американцев, тем не менее европейское давление также не стоит сбрасывать со счетов.

Центральный банк опубликовал для обсуждения проект указания «О внесении изменений в Указание Банка России от 1 апреля 2014 года № 3223-У "О требованиях к руководителям службы управления рисками, службы внутреннего контроля, службы внутреннего аудита кредитной организации"». В указании уточняется порядок оценки квалификации сотрудника, сроки рассмотрения заявок в территориальных отделениях ЦБ, увеличиваются сроки направления документов в ЦБ, но и сам набор документов также уточняется. Кроме того, сотрудники территориальных подразделений самого ЦБ также должны соответствовать требованиям данного указания. Опубликован проект 23 ноября, а обсудить их можно было до 6 декабря.

Законопроект Минкомсвязи о штрафах за отсутствие идентификации при подключении по Wi-Fi, который был внесён в Государственную Думу ещё в июле, получил отрицательный отзыв Минэкономразвития. Указывается, что в законопроекте есть важные терминологические неточности, такие как безвозмездное оказание услуг абонентами операторов. Формально абоненты не могут оказывать услуги – доступ представляет оператор на их территории и часто под своим брендом. К тому же, по мнению Минэкономразвития принятие законопроекта в текущем состоянии наложит существенные, а главное необоснованные обременения на бизнес. Законопроект является продолжением истории с постановлением правительства об аутентификации пользователей Wi-Fi, которое в свою очередь возникло для реализации закона "о блогерах". Аутентификация пользователей требуется спецслужбам для эффективного проведения оперативно-розыскных мероприятий, а Минэкономразвития отстаивает не права пользователей на частную жизнь, но права предпринимателей. Поэтому, вероятно, что законопроект будет принят, но его точно будут дорабатывать.

В исследовании B2B International проводился анализ использования средств защиты систем дистанционного банковского обслуживания. Наиболее популярным средством защиты клиентов является шифрование соединения (68% банков используют его), двухфакторная аутентификация (53%), мониторинг транзакций (50%) и полноценная защита от мошенничества (43%). При этом 29% респондентов заявили, что им дешевле принять риск и исправить результаты мошеннических операций, чем предотвращать случаи мошенничества. К сожалению, исследовали не уточняют причины такого пессимизма банков – либо мошеннических операций слишком мало и они небольшие, либо средства защиты от мошенничества слишком дорогие и неэффективные.

Компания Veracode провела исследование нескольких миллионов кодов на различных языках программирования на предмет наличия в них уязвимостей из Top 10 OWASP – наиболее популярных ошибок в веб-приложениях. При этом обнаружилось, что наиболее надёжны в веб-приложениях компилируемые языки, такие как Си и Си++, далее идут языки с байт-кодами - Android, .NET и Java. А наиболее опасными для веб-проектов являются интерпретируемые языки – классический ASP, PHP и ColdFusion. При этом в том же рейтинге на достаточно хорошем месте находится интерпретируемый язык JavaScript. Однако он является языком для клиентской части, а не серверной, поэтому с тем же PHP он находится не совсем в равных позициях. Также в рейтинге не участвовали такие языки как ABAP, Ruby и Python – компания отнесла их к категории "других" и не исследовала. Из исследования напрашивается вывод, что стоит сделать для PHP компиляцию в байт-код с запретом исполнения некомпилированного кода.

Эксперт Сэми Камкар обнаружил способ предсказывать номер карты American Express после её перевыпуска. Таким образом, у жертвы мошенника не будет возможности пользоваться той же картой в дальнейшем. Традиционно для этого платёжная система выпускает новую карту, однако у AmEx её номер и срок действия будет достаточно просто предсказать. К счастью, эта атака не позволяет предсказать четырёхзначный код CVV, что не позволяет использовать данный метод для покупок через Интернет, а требует от хакеров постоянно перевыпускать карту.

Почти 16 млн пользователей Facebook раскрыли свои персональные данные для развлекательного теста «Какие слова вы чаще всего используете на Facebook?», разработанного корейской компанией Vonvon.me. При этом в политике конфиденциальности компании указывается, что данные, собранные в процессе проведения теста, могут быть переданы третьим лицам. Хотя в компании уверяют, что собирают информацию анонимно и без возможности идентификации личности, понятно, что её ни кто не верит, поскольку нет возможности проверить соблюдение компанией указанных правил.

В слежке за пользователями подозревают и мобильные приложения, такие как Skype, WhatsApp и Yelp. Журналист издания ZDNet Зака Уиттакера контролировал мобильных клиентов данных сервисов с помощью приложения DTEK и обнаружил, что в течение трёх дней Skype просмотрел контактный лист 3 484 раза, WhatsApp -2 449, а Yelp – 165. Естественно, что журналист заподозрил компании в слежке, хотя они ответили, что просто заботятся о соответствии собственной адресной книги контактам в телефоне. Впрочем, велика вероятность, что приложения просто написаны не особенно корректно, поэтому так часто пытаются актуализировать информацию – аналогичные проблемы насколько недель назад были обнаружены и у приложений, разработанных по заказу московского правительства.

Александр Бодрик решил выделить группы интеграторов на рынке информационной безопасности. Он разделил все компании на четыре сегмента: "звезды", "сейл-хаусы", "эксперты" и "нишевые игроки", стараясь соответствовать расположению магических квадратов Gartner. По его оценкам на рынке есть пять "звёзд", пять "сайл-хаусов", десяток "экспертов" и множество "нишевых игроков", однако приведённые им примеры звёзд он тут же и дезавуировал. Через неделю он опубликовал версию этой же классификации в привязке к типологии организационных структур Минцберга. Предполагается, что каждый эксперт сможет самостоятельно отнести ту или иную компанию к одной из предложенных категорий.

Андрей Прозоров поделился своими впечатлениями от посещения кейс-чемпионата по ИБ, организованного ассоциацией RISC в Санкт-Петербурге. Чемпионат устраивается между студентами различных вузов.  Он привёл альтернативную методику оценки, в соответствии с которой выиграть должны были другие участники.

Конференция AntiFraud RUSSIA 2015 и в этом году была посвящена проблемам защиты от мошенничества, в том числе и в банковской сфере. В этом году одной из ключевых тем было построение SOC для защиты банков. Валерий Естехин поделился впечатлениями о прошедшей конференции.