Архив за Май, 2012

Расследование инцидентов в среде Windows

Ваш отзыв

winПутешествуя по просторам Интернет, обнаружил очень занимательный плакат  — SANS Digital Forensics and Incident Response Poster 2012.

В постере содержится полезная информация об анализе артефактов Windows. Например, где найти данные о …

  • загруженных файлах
  • выполняемых программах
  • открытых и созданных файлах
  • удаленных файлах
  • физическом расположении
  • использовании USB устройств
  • использовании учетных записей
  • использовании браузера

В графической работе также отражен алгоритм поиска неизвестных зловредов (malware).
Постер можно скачать здесь.

Possibly Related Posts:


Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации

2 комментария

Видимо, во ФСТЭК поступает много однообразных вопросов по сертификации СЗИ, раз Федеральная служба подготовила специальное письмо — Информационное сообщение о работах в области оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (документ Word, 56 Кб).

Несколько моментов:

  • средства защиты сведений, отнесенных к гостайне, должны быть сертифицированы (Закон № 5485-1 «О государственной тайне», ПП 608)
  • ведомственные требования в области сертификации СЗИ (в т.ч. определенные ФСТЭК) являются обязательными (ст.5 ФЗ-184)
  • средства защиты информации конфиденциального характера, относящиеся к государственному информационному ресурсу или персональным данным, должны быть сертифицированы (ПП 330)
  • средства некриптографической защиты указанной информации  подлежат сертификации на соответствие требованиям  ФСТЭК России за исключением объектов ВС РФ,  загранучреждений РФ,  Администрации Президента РФ, Совета Безопасности РФ, Федерального Собрания РФ, Правительства РФ, Конституционного Суда РФ, Верховного Суда РФ и Высшего Арбитражного Суда РФ (Положение о ФСТЭК России)
  • ФСТЭК активно ведет изыскания по разработке передовых нормативных документов, например:
  • введены в действие нормативный документ «Требования к системам обнаружения вторжений» и 12 методических документов, содержащих ПЗ для СОВ
  • подготовлены нормативный документ «Требований к средствам антивирусной защиты» и 24 методических документов, содержащих ПЗ для САВЗ
  • готовятся нормативные и методические документы по средствам доверенной загрузки, средствам двухфакторной аутентификации, средствам контроля съемных носителей информации, средствам предотвращения утечек информации (DLP-системы)
  • по мере апробации новых документов применение руководящих документов Гостехкомиссии России (по СВТ и МЭ) и технических условий для проведения сертификации СЗИ будет исключаться

 

ger.gif (87128 bytes)

ФСТЭК России

 

Possibly Related Posts:


Требования к средствам антивирусной защиты ФСТЭК России

Ваш отзыв

Приказом ФСТЭК России от 20 марта 2012 г. № 28 утверждены Требования к средствам антивирусной защиты. Указанный Приказ в установленном порядке прошел оценку регулирующего воздействия в Минэкономразвития России и зарегистрирован Минюстом России 3 мая 2012 г., peг. №24045.

Требования к средствам антивирусной защиты будут применяться для проведения работ по сертификации вновь разработанных средств с 1 августа 2012 г.

 

Для обеспечения выполнения Требований к средствам антивирусной защиты разработаны и готовятся к утверждению в мае — июне 2012 г. 24 методических документа ФСТЭК России, содержащие профили защиты к средствам антивирусной защиты.

Можно добавить, что указанные документы по антивирусам выполнены в стиле Требований к системам обнаружения вторжений, т.е «Общих Критериев».

Possibly Related Posts:


Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет

Ваш отзыв

8 мая вышел майский набор критических обновлений от компании SAP. На этот раз закрыто целых 11 уязвимостей, обнаруженных сторонними исследователями.

 

Наиболее критичная из уязвимостей, обнаруженных сотрудниками исследовательской лаборатории Digital Security Research Group – это отказ в обслуживании при обработке XML-пакетов web-интерфейсом приложения SAP NetWeaver ABAP. Вообще в майском обновлении превалируют уязвимости отказа в обслуживании – так, например, компания Core Security выпустила отчет об множественных уязвимостях, обнаруженных в протоколе DIAG. Это основной протокол, используемый в SAP для передачи данных между клиентом и сервером через клиентское приложение SAP GUI. В данном протоколе недавно уже были выявлены проблемы с небезопасным шифрованием, а точнее, кодированием. Теперь в нем обнаружены и другие уязвимости. В результате эксплуатации данных уязвимостей возможен вызов атаки типа «отказ в обслуживании» на сервер приложений SAP NetWeaver, что приведет к остановке работы системы до ее перезагрузки.

Помимо отказа в обслуживании, одна из уязвимостей может привести к выполнению произвольного кода на сервере SAP, то есть к получению доступа ко всем критичным для бизнеса данным и процессам.

В результате исследований, проведенных с целью сбора статистики по наличию SAP-систем в сети Интернет, было обнаружено, что сервис Dispatcher, который обслуживает соединения по протоколу DIAG и должен быть открыт только для доступа внутри корпоративной сети, у некоторых компаний, тем не менее, доступен удаленно через Интернет в обход SAPRouter.

В ходе выборочного сканирования систем по всему миру было обнаружено порядка сотни SAP-систем с доступным для удаленного подключения портом SAP Dispatcher. Наибольшее количество систем было обнаружено в США (30%), Китае (25%), Германии (10%), Колумбии и Корее. Среди обнаруженных систем найдены также и российские IP-адреса.

По неподтвержденным данным, уязвимость можно реализовать только в случае включенной трассировки, что снижает риск. На данный момент всем компаниям, использующим SAP, рекомендуется установить уровень трассировки протокола DIAG в значение 1 или 0 (по умолчанию), а также установить необходимое уведомление безопасности SAP note 1687910.

http://erpscan.ru/press-center/news/критические-обновления-безопасности/

Possibly Related Posts:


Евгений Касперский: безопасность Mac OS на 10 лет отстаёт от Windows

Ваш отзыв

Евгений Валентинович Касперский, основатель и глава компании «Лаборатория Касперского», отметил, что у Apple началась чёрная полоса в области безопасности платформы Mac. Как один из авторитетных специалистов компьютерной защиты, он считает, что Apple находится в самой гуще неприятностей.

В интервью Computer Business Review на выставке Info Security 2012 в Лондоне Евгений Валентинович сказал, что в отношении компьютерной безопасности платформа Mac десятилетиями отставала от Microsoft, и Apple стоит кое-чему поучиться у своего конкурента.

«Они очень скоро поймут, что столкнулись с теми же проблемами, что и Microsoft 10—12 лет назад, — отметил господин Касперский. — Им потребуется произвести изменения в отношении цикла обновлений и тому подобном, также им придётся больше инвестировать в свою проверку безопасности программного обеспечения».

«Microsoft уже сделала это раньше после ряда инцидентов вроде Blaster и других более сложных червей, которые поразили миллионы компьютеров за короткое время, — добавил он. — Им потребовалось провести громадную работу по проверке кода на наличие ошибок и уязвимостей. Теперь пришло время Apple».

Основанием для данных заявлений может служить Flashback, выделившийся из вредоносного ПО для Mac, который в пик своего распространения заразил, по оценкам, свыше 600 тысяч Mac по всему миру. Более свежие цифры указывают, что текущий уровень заражения составляет менее 100 тысяч компьютеров.

Apple исправила уязвимость системы, которую использовал Flashback в своих атаках, и выпустила средство очистки для инфицированных компьютеров. Но Apple была раскритикована экспертами в области безопасности за медленные действия. Компании по обеспечению безопасности, включая «Лабораторию Касперского», также доказали слабую реакцию Apple, выпустив собственные средства определения и удаления вируса раньше появления официальных.

Подробнее: http://www.3dnews.ru/software-news/628524

Possibly Related Posts: