Successfully reported this slideshow.

Новые угрозы безопасности

1

Share

1 of 17
1 of 17

More Related Content

Slideshows for you

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

Новые угрозы безопасности

  1. 1. Новые угрозы безопасности Денис Батранков консультант по информационной безопасности
  2. 2. Доклад: «Новые угрозы безопасности» <ul><li>Web 2.0 </li></ul><ul><li>Сокрытие кода атак на WEB браузеры </li></ul><ul><li>Уязвимости обработки файлов приложений (jpg, doc, xls, pdf, ani) </li></ul><ul><li>Протоколы Voice over IP </li></ul><ul><li>Виртуализация </li></ul>
  3. 3. Что такое WEB 2.0? Мы им уже пользуемся <ul><li>Web 2.0 это второе поколение услуг на базе Web </li></ul><ul><ul><li>Сообщества на сайтах , википедии , … </li></ul></ul><ul><ul><li>Все что подчеркивает совместную деятельность и обмен информацией среди онлайн сообщества </li></ul></ul>Веб 1.0 Веб 2.0 Doubleclick Ofoto Flickr Akamai mp3.com Britannica Online Персональные сайты Evite upcoming.org и EVDB Спекуляция доменными именами Поисковая оптимизация Оплата рекламы по количеству показов Оплата рекламы по количеству переходов Извлечение данных из HTML Веб-сервисы Публикация Соавторство Системы управления контентом (CMS) Каталоги (таксономия) Теги (фолксономия) Удержание пользователей Синдикация контента
  4. 4. Что нужно знать про Web 2.0 <ul><li>Вчерашние атаки работают и по сей день </li></ul><ul><ul><li>Уязвимости существующие в традиционных приложениях, также как и новые технологии, такие как AJAX (Asynchronous JavaScript and XML) добавляют новые грани к уже существущим проблемам </li></ul></ul><ul><li>Атаки до сих пор строятся на Cross-Site Scripting (XSS) </li></ul>Источник: IDC, Gartner, Watchfire Network Server Web Applications % атак % расходов 75% 10% 25% 90% Атаки Расходы
  5. 5. Что нужно знать про Web 2.0 <ul><li>Web 2.0 работает так, что пользователю сложнее заметить атаку </li></ul><ul><ul><li>Благодаря AJAX п одловить пользователей легче, когда они работают сообща и все интерактивно </li></ul></ul><ul><ul><li>Некоторые подключения могут быть очень незаметны и конечные пользователи не имеют возможности определить делает или не делает браузер эти подключения </li></ul></ul>
  6. 6. Web 2.0 черви уже сеют хаос <ul><li>Червь Yamanner (11-12 июня 2006) </li></ul><ul><ul><li>Заразил 200000 пользователей Yahoo за 2 дня. </li></ul></ul><ul><ul><li>Нацелен на пользователей Yahoo Mail . Не просто почтовый червь, а webmail червь. </li></ul></ul><ul><ul><li>Прикреплен вредоносный JavaScript к стандартному тегу HTML для картинок </li></ul></ul><ul><ul><li>Пользователю даже не надо кликать на вложении, чтобы заразиться </li></ul></ul><ul><ul><li>Распространяется по мере получения новых адресов e-mail </li></ul></ul><ul><ul><li>Посылает адресную книгу пользователя на удаленный сервер используя интерфейс yahoo webmail. </li></ul></ul><ul><ul><li>Использует AJAX (Asynchronous JavaScript and XML) </li></ul></ul><ul><ul><li>Нацелен на клиента и работает в его среде от его имени изнутри </li></ul></ul><img src=’http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_mail_1.gif’ target=””onload=”// malicious javascript here //“>
  7. 7. MySpace тоже Web 2.0 <ul><li>Samy, Spaceflash и другие </li></ul><ul><ul><li>Меняет профиль пользователя, чтобы добавить автора с друзья </li></ul></ul><ul><ul><li>Перенаправляет на URL c вредоносным файлом Macromedia Flash </li></ul></ul><ul><ul><li>Вредоносный файл QuickTime меняет ссылки в профиле, чтобы направить на фишинговые сайты </li></ul></ul><ul><li>Шестой по популярности веб-сайт на английском языке </li></ul><ul><li>Шестой по популярности веб-сайт среди всех языков </li></ul><ul><li>Третий по популярности веб-сайт в США </li></ul>
  8. 8. Уязвимости приложений на рабочих станциях <ul><li>Хакеры нападают на нас за нашими же рабочими местами. Они нашли уязвимости даже в антивирусах и программах для бекапа. </li></ul><ul><li>Время когда нападали на общие для всех сервера идет к закату </li></ul><ul><li>Намного легче атаковать клиента и дальше работать от его имени внутри среды, в которой он находится </li></ul><ul><li>Очень сложные атаки на клиентов выливаются в формирование почтовых вложений и атаки на браузеры </li></ul>
  9. 9. Комплексные атаки на WEB браузеры <ul><li>Около 200 уязвимостей позволяющих выполнить удаленное выполнение кода выявлено в IE и Firefox в 2006 </li></ul><ul><li>Cross-Site Scripting ( XSS) невероятно распространен – даже на популярных, доверенных сайтах </li></ul><ul><li>Около 50% вредоносных веб сайтов проанализированных в 2006 году использовали какой-либо из способов сокрытия скриптов от анализа </li></ul><ul><li>Jitko – botnet из браузеров </li></ul>
  10. 10. Составные документы <ul><li>Патч MS07-014 прикрыл 6 уязвимостей Microsoft Word позволяющих удаленно запустить произвольный код </li></ul><ul><ul><li>4 из них были уже использованы давно </li></ul></ul><ul><ul><li>3 в декабре 2006 года </li></ul></ul><ul><li>MS07-015 PowerPoint and Excel </li></ul><ul><li>2 переполенния в Acrobat Reader в этом году ( не говоря уже о неприятном баге XSS) </li></ul>
  11. 11. Направленные атаки на электронную почту <ul><li>Составные документы использовались в большинстве хорошо организованных направленных атаках </li></ul><ul><li>Были использованы реальные имена отчетов </li></ul><ul><li>Адрес отправителя был правильно подделан </li></ul>
  12. 12. Выводы <ul><li>Уровень приложений все более и более интересная цель </li></ul><ul><ul><li>Разница в том, что сегодня целью атак является не сервер приложений, а сам конечный пользователь . </li></ul></ul><ul><li>Нет безопасных приложений </li></ul><ul><ul><li>Чем более они популярны, тем более они интересны для нападения . </li></ul></ul><ul><ul><li>Берегитесь червей для P2P. </li></ul></ul><ul><li>Firewall и а нтивируса недостаточно </li></ul>
  13. 13. В компаниях требуется VoIP <ul><li>VoIP это развивающаяся технология </li></ul><ul><ul><li>Технологические изменения управляют эволюцией преступной тактики, технологиями расследований и защитными стратегиями. </li></ul></ul><ul><ul><li>Новые сетевые технологии часто повторяют ошибки в безопасности, сделанные предыдущими поколениями </li></ul></ul><ul><ul><li>Растущий интерес к технологии – растущий риск </li></ul></ul><ul><li>Источники уязвимостей </li></ul><ul><ul><li>Набор сложных протоколов </li></ul></ul><ul><ul><ul><li>SIP это самый длинный RFC </li></ul></ul></ul><ul><li>Пример: </li></ul><ul><ul><li>Перехват и повторная передача голоса </li></ul></ul><ul><ul><li>Asterisk - позволяет генерировать трафик </li></ul></ul>
  14. 14. Выводы <ul><li>VoIP вызывает растущий интерес и появляется все большее число реализаций, но безопасность до сих пор не на первом месте . </li></ul><ul><li>Дополнительную аутентификаци ю и шифрование возможно придется использовать и перед реализацией VoIP решений . </li></ul>Налицо неправильный подход к решению проблем безопасности : «латание дыр» А нужно предотвращать угрозы заранее!
  15. 15. Физическая сеть Виртуальная сеть Кто следит ? Традиционная безопасность Виртуализация != безопасность Больше компонентов = Больше угроз VM App Service Process VM App Service Process VM App Service Process VM App Service Process VM Прил-е Сервис Процесс VM App Service Process VM App Service Process VM Прил-е Сервис Процесс Управление Virtual Switch Virtual Switch Virtual Switch VM App Service Process VM App Service Process VM App Service Process VM Прил-е Сервис Процесс Реальные NICs
  16. 16. Посмотрите точку приложения защиты <ul><li>Нет одной точки сети, где все технологии могли бы быть использованы с целью защитить все сразу . Некоторые простые примеры : </li></ul><ul><ul><li>Защита хостов . </li></ul></ul><ul><ul><li>Защита серверов . </li></ul></ul><ul><ul><li>Защита сети . </li></ul></ul>Оцените уже используемые технологии <ul><li>Слишком много возможных угроз . Нет ни одной чудесной технологии, чтобы защитить вас от всего сразу. Все существующие технологии защищают от чего-то конкретного </li></ul><ul><ul><li>Firewall </li></ul></ul><ul><ul><li>Intrusion Prevention </li></ul></ul><ul><ul><li>Buffer Overflow Exploitation Prevention </li></ul></ul><ul><ul><li>Shell Code Heuristic </li></ul></ul><ul><ul><li>Behavioural Virus Prevention System </li></ul></ul><ul><ul><li>... </li></ul></ul>
  17. 17. Вопросы ? Спасибо ! Денис Батранков [email_address]

Editor's Notes

  • Это доклад о проблемах, которые еще не возникли, но они сразу появятся, как только вы начнете внедрять новые технологии. В последних технологиях есть уязвимости и их нужно знать и предотвращать. Основой доклада послужили исследования аналитиков IBM X-Force
  • Tim O&apos;Reilly gave examples of companies or products that embody these principles in his description of his &amp;quot;four plus one&amp;quot; levels in the hierarchy of Web 2.0-ness: Level 3 applications , the most &amp;quot;Web 2.0&amp;quot;, which could only exist on the Internet, deriving their power from the human connections and network effects Web 2.0 makes possible, and growing in effectiveness the more people use them. O&apos;Reilly gives as examples: eBay, craigslist, Wikipedia, del.icio.us, Skype, dodgeball, and Adsense. Level 2 applications , which can operate offline but which gain advantages from going online. O&apos;Reilly cited Flickr, which benefits from its shared photo-database and from its community-generated tag database. Level 1 applications , also available offline but which gain features online. O&apos;Reilly pointed to Writely (since 10 October 2006: Google Docs &amp; Spreadsheets, offering group-editing capability online) and iTunes (because of its music-store portion). Level 0 applications would work as well offline. O&apos;Reilly gave the examples of MapQuest, Yahoo! Local, and Google Maps. Mapping applications using contributions from users to advantage can rank as level 2. non-web applications like email, instant-messaging clients and the telephone.
  • The Yamanner worm is a computer worm written in javascript that targets a vulnerability in the Yahoo! Mail service. Released on June 12 , 2006 , the worm spread through the yahoo system, infecting the systems of those who opened the e-mails and sending the user&apos;s address book to a remote server.
  • The virus carried a payload that would display the string &amp;quot;but most of all, Samy is my hero&amp;quot; on a victim&apos;s profile. Within just 20 hours of its October 4, 2005 release, over one million users had run the payload, making Samy one of the fastest spreading virus&apos; of all time. When a logged-in MySpace user goes to another member&apos;s &amp;quot;About me&amp;quot; page affected by the ACTS.Spaceflash worm, they are quietly redirected to a URL that holds a malicious Macromedia Flash file, the security company said in an advisory on Spaceflash Tuesday. That file, in turn, will replace the visitor&apos;s own &amp;quot;About me&amp;quot; page with one that is compromised. When played by a MySpace user, the video adds itself to the user&apos;s MySpace page and replaces the links on the user&apos;s profile with links to phishing Web sites, Websense said. Phishing sites are fraudulent sites that attempt to trick people into giving up sensitive information such as log-in credentials.
  • Hackers have started targeting the user with greater levels of sophistication and volume than we have seen in years past. This is compounded by the abundance of XSS across in the Internet allowing popular, trusted site to be leveraged in browser attacks.
  • We have seen samples of Office Documents exploiting 0-day vulnerabilities with actual names used in the targeted environment. These often appear to come from the usual sender of these types of files.
  • http://www.whitedust.net/speaks/3603/ News: Skype gets call from a Trojan Extract The malicious code, known as both Warezov and Stration, is similar to an earlier version detected in February, but with a new URL (uniform resource locator) and a new version of the malicious code, according to an alert posted Thursday by Websense Inc. Websense warns Skype users to watch for the message &amp;quot;Check up this,&amp;quot; with a URL containing a hyperlink. The code itself isn&apos;t self-propogating but when it runs, the URL is sent to everyone on the user&apos;s contact list. When users click on the link, they are redirected to a site that is hosting a file named file_01.exe. Users are then prompted to run the file and if they do, several other files are downloaded and run. The downloaded files are other versions of the Waresov/Stration malicious code.
  • Why we look at VoIP We repeat the errors done in the past. It will impact the security of the future. Open Source VoIP Популярен в небольших компаниях Серьезная угроза безопасности Работает в конфигурации по умолчанию Сотни PBXs могут быть настроены посылать трафик жертве Сообщения ICMP Port Unreachable игнорируются Производитель не исправляет ситуацию “ Проблема в образованности пользователей ” Пользователи Asterisk не будут жертвами в этом случа е Насколько это широко распространено ? Traffic amplification happens when a call is done with an account that has no password configured. The single UDP request can be spoofed as coming from many different IP adresses and the PBX will send the entire phone call back to the spoofed IP. With a bunch of such PBX you can flood the IP address (a bit like the smurf attack used to be with ICMP). We cannot actually check how widespread the problem as this could have legal consequences.
  • Self Explanatory, shows the difficulties of protecting a virtual network Виртуальное IT такое же IT Безопасность , неуклюжесть , управление , сложность , гетерогенность Виртуализация скоро проникнет в вашу IT инфраструктуру Экономический эффект доказан и тенденция очевидна . Безопасность должна быть частью виртуальной инфраструктуры точно так же как это часть физической инфраструктуры Глубокоэшелонированная защита Встроенная защита Управление безопасностью Аудит Если вы забудете добавить безопасность в виртуальную I Т то это будет стоить больше , чем экономия которую эта технология дает
  • Защита хостов . Мобильные компьютеры можно защитить только локально . Код j avascript может быть проанализирован только после того как он скачан полностью . Защита серверов . Зашифрованный трафик идущий к серверу может быть проверен только после того как он будет на нем расшифрован . Анализ лог файлов для мониторинга активности сервера . Защита сети . Все незашифрованные соединения проверяются в одном или нескольких местах чтобы защититьт всю IT инфраструктуру. Web фильтрация для предотвращения посещения скомпроментированных сайтов . Фильтрация электронной почты чтобы остановить атаки фишеров . Анализ аномальной активности для обнаружения вредного трафика в сети .
  • Сказать про X - Force
  • ×