Risspa 16 app-sec_d.bezkorovayny_trendmicro

863 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
863
On SlideShare
0
From Embeds
0
Number of Embeds
203
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Risspa 16 app-sec_d.bezkorovayny_trendmicro

  1. 1. Уязвимости в веб-приложениях как критичный фактор развития киберпреступности Денис Безкоровайный, CISA, CISSP Технический консультант, Trend Micro Classification 7/9/2010 Copyright 2009 Trend Micro Inc. 1
  2. 2. Agenda  Способы монетизации веб-уязвимостей  Способы защиты  Защита самих веб-приложений  Защита пользователей  Выводы Classification 7/9/2010 Copyright 2009 Trend Micro Inc. 2
  3. 3. История Samy и MySpace • 10/04/2005, 12:34 pm: У Вас 73 друга. • 1 час спустя, 1:30 am: У Вас 73 друга и 1 запрос на добавление в друзья. • 7 часов спустя, 8:35 am: У вас 74 друга и 221 запрос на добавление в друзья. • 1 час спустя, 9:30 am: У Вас 74 друга и 480 запрос на добавление в друзья. • 4 часа спустя, 1:30 pm: У Вас 2503 друзей и 6373 запросов на добавление в друзья. Copyright 2009 Trend Micro Inc. 3
  4. 4. История Samy и MySpace За 20 часов – 1 005 831 запросов на добавления в друзья MySpace перестал работать http://namb.la/popular/ Copyright 2009 Trend Micro Inc. 4
  5. 5. It's All about the Benjamins Copyright 2009 Trend Micro Inc. 5
  6. 6. Как заработать на уязвимостях? Найти уязвимости веб-приложений (XSS, Injection, etc) Разместить вредоносный контент Провести массовое заражение Получить контроль над жертвами ??????? 6 PROFIT! Copyright 2009 Trend Micro Inc.
  7. 7. Как от веб уязвимостей страдают пользователи? • Кража cookies • Сбор паролей и прочих данных через подложные формы • Заражение вредоносным ПО (боты, трояны и тд) Copyright 2009 Trend Micro Inc.
  8. 8. Методы монетизации ботнетов • Кража данных и учетных записей – кредитные карты – онлайн –банкинг продажа или вывод средств – FTP – социальные сети дальнейшее распространение – электронная почта вредоносного ПО • Click Fraud и перехват поискового трафика – партнерские программы • знакомства / adult • легальные системы – оплата трафика • Установка программ (pay per install) – FAKEAV – ложные антивирусы – SMS-вымогатели • Распределенные вычисления – распознаватель CAPTCHA Copyright 2009 Trend Micro Inc.
  9. 9. Пример монетизации: Pay per install Image © Trend Micro Copyright 2009 Trend Micro Inc.
  10. 10. Пример монетизации: Search poisoning Image © Trend Micro Copyright 2009 Trend Micro Inc.
  11. 11. ЗАЩИТА WEB-ПРИЛОЖЕНИЙ Classification 7/9/2010 Copyright 2009 Trend Micro Inc. 11
  12. 12. Защита веб-приложений • Обнаружение –Сканеры безопасности • Защита –Web Application Firewall • Предотвращение –SDLC-стандарты Copyright 2009 Trend Micro Inc. 12
  13. 13. Web Application Firewall Evaluation Criteria Copyright © 2005,2006 Web Application Security Consortium (http://www.webappsec.org) – Section 1 - Deployment Architecture – Section 2 - HTTP and HTML Support – Section 3 - Detection Techniques – Section 4 - Protection Techniques – Section 5 - Logging – Section 6 - Reporting – Section 7 - Management – Section 8 - Performance – Section 9 – XML Copyright 2009 Trend Micro Inc. 13
  14. 14. Trend Micro Deep Security – защита web-приложений • Защищает от ключевых уязвимостей: – XSS – SQL Injection • Закрывает уязвимости – До выпуска исправления – Вместо исправления кода • Программное решение – Меньшая стоимость (закупки и последующая) ввв в сравнении с аппаратными решениями Copyright 2009 Trend Micro Inc. 14
  15. 15. Trend Micro Deep Security Защита web-приложений в действии С помощью IBM Rational AppScan просканировано web-приложение созданное на Microsoft.NET • выполнено 5 428 теста без защиты защита Deep Security Copyright 2009 Trend Micro Inc. 15 © Thi
  16. 16. ЗАЩИТА ПОЛЬЗОВАТЕЛЕЙ Copyright 2009 Trend Micro Inc. 16
  17. 17. Как защитить пользователей • Антивирус? – может защитить только от установки ПО • Не защищает от кражи данных – количество образцов постоянно растет – сигнатурный метод – не панацея – реактивные меры • Черные списки? • Защита от XSS на клиенте? Copyright 2009 Trend Micro Inc. 17
  18. 18. Черные списки в браузерах? • Кнопка «Продолжить все равно» • Неполные списки Copyright 2009 Trend Micro Inc. 18
  19. 19. NoScript? • Плюсы • Контроль запуска плагинов (Flash, PDF) с недоверенных сайтов • Фильтрует XSS • Минусы • Снижает удобство • Требует небольшой квалификации • Только для Firefox • Обходится социальной инженерией Copyright 2009 Trend Micro Inc. 19
  20. 20. Как защитить пользователей? • Минимизировать последствия • Самый большой вред – установка ПО • Предотвратить заражение = запретить доступ к URL загрузчика • система должна быть очень динамичной • должна блокировать доступ только к зараженным частям сайтов (а не всему домену) Copyright 2009 Trend Micro Inc. 20
  21. 21. Как построить динамичную и эффективную систему? • Постоянный анализ • Спам (ссылки) • Автоматизированный анализ сайтов • Honeypots • Реверс-инжиниринг ботов, троянов и вирусов • Корреляция полученных данных • Динамическое пополнение баз репутации • Принудительная защита Copyright 2009 Trend Micro Inc. 21
  22. 22. Релизация подхода в Trend Micro Smart Protection Network Веб репутация Сбор информации об угрозах Файловая Репутация URL • Спам-сообщения почты репутация • Honeypots • Web-crawlers • Схемы обратной связи Анализ угроз • Клиенты IP TrendLabs Файлы • Партнеры • Исследования TrendLabs Корреляция •5 млрд. запросов URL в день •5 центров обработки данных (США, Европа, Ближний Восток, Африка, АТР) •1000 рабочих серверов Copyright 2009 Trend Micro Inc.
  23. 23. Что дает реверс-инжиниринг? • Дроп-зоны • Центры управления • Сервера обновлений и распространения • Базы данных мулов • Сайты партнерских программ с дистрибутивами для pay per install Copyright 2009 Trend Micro Inc. 23
  24. 24. Как происходит защита клиентов Клиентская машина Приложение / Сервис База Веб сайт Браузер прокси репутации Желаемое соединение Реальное соединение Keep alive Получение репутации URL Если разрешено политикой, установка сессии Copyright 2009 Trend Micro Inc. 24
  25. 25. Принудительная защита • Защищаются все соединения, а не только запросы из браузера • Нет кнопки «продолжить все равно» Copyright 2009 Trend Micro Inc. 25
  26. 26. Заключение • Большинство веб-приложений уязвимы • SDLC • сканеры • Web application firewall • Для защиты пользователей нужен комплексный подход: • Система репутации, подобная Smart Protection Network • Принудильная блокировка доступа Copyright 2009 Trend Micro Inc. 26
  27. 27. Вопросы? Комментарии? Denis_Bezkorovayny@trendmicro.com http://trendmicro.com/ Спасибо! Copyright 2009 Trend Micro Inc. 27

×