Семинар 1С-Битрикс, 9 апреля 2009 г., Москва Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям ЗАО “Лаборатория Касперского” maxim.frolov@kaspersky.com Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов План Киберпреступность. Причины существования Классификация угроз для web-ресурсов Технологии атак и методы защиты Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Прибыльность Простота исполнения (техническая и моральная) Низкий уровень риска Появление новых сервисов, которые выгодно атаковать Информационные войны Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Прибыльность Способы получения денег: Кража финансовой и персональной информации с целью перепродажи/обналичивания Шантаж заражённых жертв Криминальные коммерческие услуги Организация DDoS атак Рассылки спама Предоставление ботнетов в аренду Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Простота исполнения Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Минимальный риск Есть пробелы в законодательстве некоторых стран Правоохранительные органы действуют недостаточно оперативно Жертвы редко сообщают в милицию о преступлениях Незначительность ущерба – инциденты неинтересны милиции (несмотря на огромное количество преступлений) Интернациональность преступлений, отсутствие Интернет-Интерпола Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Мы постоянно совершенствуем свой мир… Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Мы постоянно совершенствуем свой мир… …но внимание защите уделяем недостаточно… Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Мы постоянно совершенствуем свой мир… …но внимание защите уделяем недостаточно… …даже в самых передовых отраслях… Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Информационные войны Обмен кибератаками по политическим мотивам Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Прибыльность Простота исполнения (техническая и моральная) Низкий уровень риска Появление новых сервисов, которые выгодно атаковать Информационные войны Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Классификация угроз для web-ресурсов Вывод из строя Несанкционированный доступ Воровство информации Использование ресурсов Транспорт для распространения зловредов Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Вывод web-ресурса из строя DDoS Distributed Denial of Service распределённый отказ в обслуживании Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Методы противодействия • Предотвращение • Фильтрация • Устранение уязвимостей • Наращивание ресурсов • Рассредоточение ресурсов • Уклонение • Активные ответные меры Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Воровство информации • Регистрационные данные пользователей • Коммерческая информация • Конфиденциальная информация Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Использование технических ресурсов сервера • Рассылка вирусов и спама • Производство DoS-атак • Сдача вычислительных мощностей и доступа к серверу в аренду • Использование в качестве подставного сервера для злоумышленных операций DoS Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Транспорт для распространения зловредов Под прицелом • Популярные сайты • Блоги, Форумы • Социальные сети iframe Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты Воровство паролей администратора SQL injection Уязвимости в софте web-сайта php injection Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты Воровство паролей к серверу Методики атак Методики защиты простой подбор сложный пароль заражение ПК администратора защита ПК администратора несанкционированный доступ к базе сайта аудит безопасности движка сайта, мониторинг действий с базой Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты SQL-инъекция Угроза: Возможность выполнить произвольный запрос к БД сайта! Причина: Некорректная обработка входных параметров Метод борьбы: Устранение уязвимости на этапе разработки софта сайта http://www.somesite.ru/index.asp?param=vasya http-запрос SQL http-страница Семинар 1С-Битрикс, 9 апреля 2009 г. Москва SQL-запрос данные выполнение команды Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты Уязвимости в софте web-сайта Угроза: Возможность выполнить произвольную команду на сервере Причина: Недостаточная безопасность софта сайта Метод борьбы: Устранение уязвимости на этапе разработки софта сайта http-запрос PHP http-страница Семинар 1С-Битрикс, 9 апреля 2009 г. Москва PHP-команда данные выполнение команды Итоги • Киберпреступность существует потому что она прибыльна, проста и малорискованна • Для заражения ПК достаточно одного клика • Все новые сервисы в Web привлекают внимание злоумышленников, которые активно используют их уязвимости • Задача каждого пользователя и владельца сайта – не только защитить свои данные от кражи и порчи но и не допустить использование своих ресурсов злоумышленниками во вред другим пользователям Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Спасибо за внимание! Максим Фролов Менеджер по интернет-решениям ЗАО “Лаборатория Касперского” maxim.frolov@kaspersky.com Семинар 1С-Битрикс, 9 апреля 2009 г. Москва