Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям

Семинар 1С-Битрикс, 9 апреля 2009 г., Москва
Современные web-уязвимости
и угрозы для web-ресурсов
Максим Фролов
менеджер по интернет-решениям
ЗАО “Лаборатория Касперского”
maxim.frolov@kaspersky.com
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
План
 Киберпреступность. Причины существования
 Классификация угроз для web-ресурсов
 Технологии атак и методы защиты
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Прибыльность
 Простота исполнения
(техническая и моральная)
 Низкий уровень риска
 Появление новых сервисов,
которые выгодно атаковать
 Информационные войны
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Прибыльность
Способы получения денег:
 Кража финансовой и персональной
информации с целью
перепродажи/обналичивания
 Шантаж заражённых жертв
 Криминальные коммерческие услуги
 Организация DDoS атак
 Рассылки спама
 Предоставление ботнетов в аренду
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Простота исполнения
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Минимальный риск
 Есть пробелы в законодательстве некоторых стран
 Правоохранительные органы действуют недостаточно
оперативно
 Жертвы редко сообщают в милицию о преступлениях
 Незначительность ущерба – инциденты неинтересны
милиции (несмотря на огромное количество
преступлений)
 Интернациональность преступлений, отсутствие
Интернет-Интерпола
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Появление новых сервисов
Мы постоянно
совершенствуем
свой мир…
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Появление новых сервисов
Мы постоянно
совершенствуем
свой мир…
…но внимание
защите уделяем
недостаточно…
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Появление новых сервисов
Мы постоянно
совершенствуем
свой мир…
…но внимание
защите уделяем
недостаточно…
…даже в самых
передовых
отраслях…
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Появление новых
сервисов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Появление новых сервисов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Информационные войны
Обмен кибератаками по политическим мотивам
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Киберпреступность. Причины существования
 Прибыльность
 Простота исполнения
(техническая и моральная)
 Низкий уровень риска
 Появление новых сервисов,
которые выгодно атаковать
 Информационные войны
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Классификация угроз для web-ресурсов
 Вывод из строя
 Несанкционированный доступ
 Воровство информации
 Использование ресурсов
 Транспорт для распространения
зловредов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Вывод web-ресурса из строя
DDoS
Distributed Denial of Service
распределённый отказ
в обслуживании
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Методы противодействия
• Предотвращение
• Фильтрация
• Устранение уязвимостей
• Наращивание ресурсов
• Рассредоточение ресурсов
• Уклонение
• Активные ответные меры
Современные web-уязвимости и угрозы для web-ресурсов
Несанкционированный доступ к web-ресурсу
Воровство информации
• Регистрационные данные пользователей
• Коммерческая информация
• Конфиденциальная информация
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Несанкционированный доступ к web-ресурсу
Использование технических ресурсов сервера
• Рассылка вирусов и спама
• Производство DoS-атак
• Сдача вычислительных мощностей и доступа к серверу в аренду
• Использование в качестве подставного сервера
для злоумышленных операций
DoS
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Несанкционированный доступ к web-ресурсу
Транспорт для распространения зловредов
Под прицелом
• Популярные сайты
• Блоги, Форумы
• Социальные сети
iframe
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Технологии атак и методы защиты

Воровство паролей администратора

SQL injection

Уязвимости в софте web-сайта
 php injection
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Технологии атак и методы защиты
Воровство паролей к серверу
Методики атак
Методики защиты

простой подбор

сложный пароль

заражение ПК администратора

защита ПК администратора

несанкционированный доступ
к базе сайта

аудит безопасности движка
сайта, мониторинг действий с
базой
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Современные web-уязвимости и угрозы для web-ресурсов
Технологии атак и методы защиты
SQL-инъекция
Угроза: Возможность выполнить произвольный запрос к БД сайта!
Причина: Некорректная обработка входных параметров
Метод борьбы: Устранение уязвимости на этапе разработки софта сайта
http://www.somesite.ru/index.asp?param=vasya
http-запрос
SQL
http-страница
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
SQL-запрос
данные
выполнение
команды
Современные web-уязвимости и угрозы для web-ресурсов
Технологии атак и методы защиты
Уязвимости в софте web-сайта
Угроза: Возможность выполнить произвольную команду на сервере
Причина: Недостаточная безопасность софта сайта
Метод борьбы: Устранение уязвимости на этапе разработки софта сайта
http-запрос
PHP
http-страница
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
PHP-команда
данные
выполнение
команды
Итоги
• Киберпреступность существует потому что она прибыльна,
проста и малорискованна
• Для заражения ПК достаточно одного клика
• Все новые сервисы в Web привлекают внимание
злоумышленников, которые активно используют их уязвимости
• Задача каждого пользователя и владельца сайта – не только
защитить свои данные от кражи и порчи но и не допустить
использование своих ресурсов злоумышленниками во вред
другим пользователям
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва
Спасибо за внимание!
Максим Фролов
Менеджер по интернет-решениям
ЗАО “Лаборатория Касперского”
maxim.frolov@kaspersky.com
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва