Информационная безопасность весна 2013 лекция 1

Безопасность интернет-приложений

Лекция 1, «Риски и угрозы»

Ярослав Рабоволюк

Здравствуйте!

Структура курса

- Лекции- Самостоятельная работа- Проектное задание- Зачет

Интернет – враждебная среда

«Тот, кто еще до сражения определяет в храме предков, что одержитпобеду, находит, что большинство обстоятельств в его пользу. Тот, ктоеще до сражения определяет в храме предков, что не одержит победу,находит немного обстоятельств в свою пользу»

Сун Цзы

Краткая история

Timeline

To the future!

Интеграция js в браузеры

Появление PHP

1995-96

1997

Зарождение WWW

1990-92

MySQL 3.23

1995-2000

UNIX, tcp/ip

1969-70

Краткая история

Основные мотивы:

- Интерес- Слава- Деньги

Краткая история

«Так, умение поднять осенний лист не может считаться большой силой;способность видеть луну и солнце не может считаться острым зрением;способность слышать звук грома не может считаться тонким слухом.»

Сун Цзы

Наше время

Основные мотивы, наши дни:

- Деньги- Деньги- Деньги

Наше время

“ethical hackers”

«Если войска противника подняты и приближаются к нашим силам толькодля того, чтобы занять позиции и не вступать в битву, за ними нужновнимательно наблюдать.»

Сун Цзы

Наше время

Script kiddies

«Применение огневых атак зависит от соответствующих условий.Оснащение для огневых атак нужно полностью приготовить до того, каконо потребуется.»

Сун Цзы

Наше время

Pro job

«Поэтому из всех дел в трех армиях нет более близких, чем сошпионами; нет наград более щедрых, чем даваемые шпионам; нет делболее секретных, чем касающиеся шпионов.»

Сун Цзы

Наше время

Anonymous

Наше время

Goverment

Рынок киберкрайма

White hats

- Исследования в области ИБ- reward-программы, bounty hunting- Тестирование на проникновение

Рынок киберкрайма

Company profit

ZDI ~$2500+

Facebook $500+

Google csrf - $500, rce - $20000

PayPal sqlinj - $3000

Bounty programs list: http://goo.gl/gEFJ4

Reward programs

Рынок киберкрайма

Black hats

- Исследования в области ИБ- reward-программы, bounty hunting- Разработка и продажа эксплойтов- Кража аккаунтов- Кража/использование данных- Ботнет- Ифрейм-траффик- Спам, партнерки- Кардинг- «конкурентная разведка»- Кража виртуальных артефактов

Рынок киберкрайма

Сценарий: сайт взломан

site

Dump all data, leave

Inject code, leave

Hide and wait

Resell access

Рынок киберкрайма

пользователи

- 90% - низкий уровень знаний - Избегают сложностей- Склонны доверять знакомой среде

Рынок киберкрайма

Цель: аккаунт пользователя

USER

Hacked site

Bruteforced accs

Reused accs

Phishing

Trojan

Social engineering

Рынок киберкрайма

Phishing

Рынок киберкрайма

Сценарий: аккаунт взломан

Социальный спам

Перс. данные

Платежные данные

«виртуальная собственность»

USER

модель угроз

Интернет-магазин

- Продажа шин- Форма заказов: ввод имени, телефона, адреса- Возможность зарегистрироваться- Платежный инструмент: наличные, выставление

счета, прием оплаты по карте- Статистика по заказам

модель угроз

Интернет-магазин

обьекты

сервер

заказы

пользователи

Платежные инструменты

сайт

злоумышленник

модель угроз

Интернет-магазин

обьекты

сервер

заказы

пользователи

Платежные инструменты

злоумышленник

- конкурент- хакер- бот

сайт

модель угроз

Интернет-магазин

обьекты

сервер

заказы

пользователи

Платежные инструменты

злоумышленник

нарушение работы

кража денег

получение доступа

перехват заказов

- конкурент- хакер- бот

сайт

модель угроз

Интернет-магазин

нарушение работы

серверСайт: форма заказов

конкурент

модель угроз

Интернет-магазин

нарушение работы

серверСайт: форма заказов

CaptchaIp blacklist

Облакопровайдер

конкурент

модель угроз

Интернет-магазин

кража денег

Платежные инструменты: данные карт

Платежные инструменты:

счета

хакер

модель угроз

Интернет-магазин

кража денег

Платежные инструменты: данные карт

Платежные инструменты:

счета

Отправка формы платежа по email НЕ процессить карты

хакер

модель угроз

Интернет-магазин

Получение доступа

серверсайт

Хакер, бот

модель угроз

Интернет-магазин

Получение доступа

серверсайт

Поддержка апдейтов движкаSecurity review кодаОграничения аутентификацииwaf, ips

Поддержка апдейтов сервераНе использовать shared hostingОграничения аутентификации

Хакер, бот

модель угроз

Социальная сеть

- Сеть любителей кошек.- Регистрация пользователя – имя, email, фото- Есть sms-сервис для vip-статуса- Возможность личных сообщений

Инциденты

Основные статьи УК

- 272. Неправомерный доступ к компьютерной информации.

- 273. Создание, использование и распространение вредоносных компьютерных программ.

- 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Инциденты

Расследование

- Скриншоты всего процесса- Дамп памяти- Копия носителей- Определение ущерба- Протоколирование всех действий

материалы

Сун Цзы «Искусство войны»

Брюс Стерлинг «The Hacker Crackdown»

Iso 27001

http://4chan.org

http://owasp.org

Спасибо за вниманиеРабоволюк Ярослав,

yaroslav@corp.mail.ru