Архив за 2012

Крупнейшие публичные компании России в сфере защиты информации — итоги прошлого года!

Ваш отзыв

В журнале CNews № 64 за 2012 год опубликован авторитетный Рейтинг CNews Analytics «Крупнейшие компании России в сфере защиты информации» — CNews Security 2012.

Отрадно, что наша компания НПО «Эшелон» вошла в ТОП-30 публичных ИБ-компаний. При этом компания показала достаточно высокие темпы роста (8 место), что является следствием креативной позиции коллектива в разных областях. Конечно, в прошлом году компания традиционно демонстрировала высокое качество в области сертификационных и аттестационных испытаний, тематических исследований средств защиты информации и программного обеспечения, в ИБ-проектах, поставках, интеграции, разработке, производстве средств и систем защиты информации, обучении, научных изысканиях (в том числе в качестве головного исполнителя), аудите безопасности систем, программ и систем менеджмента, консалтинге, спецэкспертизах и многое другое. Прикольно, что рейтинг отразил итоги уже ушедших 2011 и 2010 годов, мы же (чуть позже) уже сделаем осмысление основных позитивных успехов 2012 года.

Спасибо аналитикам CNews, поздравляем всех участников Рейтинга с этим приятным событием!

cnews-security-2012

 

Спортивные итоги года компании «Эшелон»

Ваш отзыв

Весь год сотрудники компании «Эшелон» не только ударно работали, но и занимались разнообразными видами спорта.

Лето В самый холодный и дождливый день лета были проведены соревнования по броскам коллег в холодные воды Москвы-реки.

Лето

Осень. Осенью мужская часть компании потребовала закупить модную спортивную форму и стала пропадать на вечерних тренировках по футболу. Для остальных сотрудников спортивные наклонности коллег стали понятными только после изучения материалов, полученных от фотографа, пожелавшего остаться неизвестным.

 003

 

Зима. Зимой к футболу добавился еще один вид спорта, традиционный для офисных сотрудников – боулинг.

 

004

 005

 В результате проведенных соревнований были выявлены лучшие футболисты:

  • Сергей Трошкин
  • Александр Барабанов
  • Максим Гришин
  • Максим Юдов
  • Олег Гудков

а также боулингисты:

  • Александр Голиков
  • Игорь Юрьевич Шахалов
  • Захар Федоткин
  • Виктор Карташов
  • Денис Варин

Проект приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

4 комментария

Мы уже сообщали о публикации на официальном сайте ФСТЭК России проекта приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».  Поскольку блоггеры активно обсуждают данный документ, мы тоже решили высказать свое мнение.

Документ, в общем,  оставил позитивное впечатление. Отметим следующие положительные и прогрессивные моменты нового документа.

  1. Документ написан с использованием обобщения «лучших практик» и мирового опыта в данной области (достаточно посмотреть NIST SP 800-53).
  2. Указанные меры по защите информации сформулированы на основе последних достижений в области методов и средств защиты информации и позволяют противостоять наиболее актуальным в настоящее время угрозам, а не тем угрозам, которые были актуальны 20 — 30 лет назад.
  3. Документ позволяет использовать компенсирующие меры защиты информации при невозможности или нецелесообразности реализации в системе защиты информации отдельных выбранных мер защиты информации — налицо прогрессивный шаг, уход от «табличного» подхода РД АС.

 

Модуль Apache для инъекций кода в HTML: Linux/Chapro.A

1 Отзыв

Linux / Chapro.A — вредоносный бинарный модуль для Apache Linux x64. Данная вредоносная программа  использует XOR цикл с 12 байтной длиной ключа для кодирования большинства строк.

Программа имеет множество возможностей, чтобы избежать обнаружения. Перед внедрением вредоносного контента она осуществляет ряд проверок.

Во-первых, Linux / Chapro.A проверяет user-arent пользователя веб-браузера для известных ботов, а также веб-браузеров. Если там встречается одно из «запрещённых» слов, то такому пользователю вредоносный фрейм не отгружается. Как видно на скриншоте, зловред игнорирует пользователей Chrome, поисковые боты, пользователей Linux, Mac OS.

apache-linux-chapro-1

 

Дополнительно, Chapro проверяет IP-адреса во всех SSH-соединениях, и эти IP-адреса тоже заносит в чёрный список. Кроме того, осуществляется проверка cookie, поставленного в прошлый раз каждому пользователю. Второй раз ему фрейм не передаётся, также как фрейм не передаётся на один и тот же IP-адрес дважды.

Наконец, когда Chapro всё-таки решает передать iframe посетителю, то внедряет в HTML-страницу примерно такой код:

apache-linux-chapro-3

 

Каждые 10 минут модуль опрашивает командный сервер с помощью HTTP POST запросов, и получает свежую копию вредоносного фрейма.

apache-linux-chapro-2

 

Источник.

 

Зачистка блокировщиков от Microsoft

Ваш отзыв

В ноябре Microsoft пополнила базу MRST (Malicious Software Removal Tool, средство удаления вредоносных программ) сигнатурами
 ― обширного семейства троянских блокировщиков, обосновавшихся в Западной Европе и США.

596c112a1b3a1a3a

 

Weelsof распространяется путем drive-by загрузок с зараженного сайта или с помощью эксплойт-паков и вредоносных iframe. При запуске он определяет версию ОС и создает свою копию с произвольным именем в папке %APPDATA% или %windir%. Затем производит модификации записей в системном реестре в обеспечение запуска этой копии при каждом старте Windows (включая безопасный режим). Наконец, подключается к стороннему узлу на порту 80 и загружает страницу-заставку с требованием выкупа, данные о географическом местоположении и IP-адрес зараженного компьютера.

После этого Weelsof приступает к основной части своей программы: блокирует доступ к рабочему столу и выводит во весь экран локализованную страницу с поддельным сообщением от местных блюстителей порядка, якобы обнаруживших на машине пиратский контент. «Правонарушителю» предлагается в кратчайшие сроки заплатить штраф, чтобы вернуть компьютер в рабочее состояние. По свидетельству экспертов, структура воспроизводимой зловредом страницы периодически меняется ― во избежание обнаружения. Уплата выкупа далеко не всегда дает желаемый эффект, посему уступать требованиям вымогателей не рекомендуется.

Обновленный MRST начал с усердием вычищать Weelsof на местах, и к концу ноября число этих детектов, фиксируемых защитными решениями Microsoft, уменьшилось вполовину. Большое количество локальных заражений Weelsof обнаружено в США и Германии (по 19% общей популяции), а также во Франции (15%), Великобритании (12%) и Голландии (8%).

Источник 1.

Источник 2.