Документ рассматривает уязвимости веб-приложений как основную угрозу киберпреступности и способы их монетизации, включая кражу данных и создание ботнетов. Обсуждаются методы защиты веб-приложений, такие как использование веб-приложений брандмауэра и сканеров уязвимостей, а также необходимость внедрения комплексных мер защиты для пользователей. Тем не менее, большинство веб-приложений остаются уязвимыми, что требует улучшения подходов к их защите.

1. Уязвимости в веб-приложениях как критичный фактор развития киберпреступности Денис Безкоровайный, CISA, CISSP Технический консультант Classification 07/15/10

2. Agenda Classification 07/15/10 Способы монетизации веб-уязвимостей Способы защиты Защита самих веб-приложений Защита пользователей Выводы

3. История Samy и MySpace 10/04/2005, 12:34 pm: У Вас 73 друга . 1 час спустя , 1:30 am: У Вас 73 друга и 1 запрос на добавление в друзья . 7 часов спустя , 8:35 am: У вас 74 друга и 221 запрос на добавление в друзья . 1 час спустя , 9:30 am: У Вас 74 друга и 480 запрос на добавление в друзья. 4 часа спустя , 1 :30 pm: У Вас 2503 друзей и 6373 запросов на добавление в друзья .

4. История Samy и MySpace За 20 часов – 1 005 831 запросов на добавления в друзья MySpace перестал работать http://namb.la/popular/

5. It's All about the Benjamins

6. Как заработать на уязвимостях? PROFIT! ??????? Получить контроль над жертвами Провести массовое заражение Найти уязвимости веб-приложений (XSS, Injection, etc) Разместить вредоносный контент

7. Как от веб уязвимостей страдают пользователи? Кража cookies Сбор паролей и прочих данных через подложные формы Заражение вредоносным ПО (боты, трояны и тд)

8. Методы монетизации ботнетов Кража данных и учетных записей кредитные карты онлайн –банкинг FTP социальные сети электронная почта Click Fraud и перехват поискового трафика партнерские программы знакомства / adult легальные системы – оплата трафика Установка программ (pay per install) FAKEAV – ложные антивирусы SMS -вымогатели Распределенные вычисления распознаватель CAPTCHA дальнейшее распространение вредоносного ПО продажа или вывод средств

9. Пример монетизации: Pay per install Image © Trend Micro

10. Пример монетизации: Search poisoning Image © Trend Micro

11. ЗАЩИТА WEB- ПРИЛОЖЕНИЙ Classification 07/15/10

12. Защита веб-приложений Обнаружение Сканеры безопасности Защита Web Application Firewall Предотвращение SDLC- стандарты

13. Web Application Firewall Evaluation Criteria Copyright © 2005,2006 Web Application Security Consortium ( http://www.webappsec.org ) Section 1 - Deployment Architecture Section 2 - HTTP and HTML Support Section 3 - Detection Techniques Section 4 - Protection Techniques Section 5 - Logging Section 6 - Reporting Section 7 - Management Section 8 - Performance Section 9 – XML

14. Trend Micro Deep Security – защита web- приложений Защищает от ключевых уязвимостей : XSS SQL Injection Закрывает уязвимости До выпуска исправления Вместо исправления кода Программное решение Меньшая стоимость ( закупки и последующая ) в в в в сравнении с аппаратными решениями

15. Trend Micro Deep Security Защита web- приложений в действии © Third Brigade, Inc. С помощью IBM Rational AppScan просканировано web- приложение созданное на Microsoft.NET выполнено 5 428 теста без защиты защита Deep Security

16. ЗАЩИТА ПОЛЬЗОВАТЕЛЕЙ

17. Как защитить пользователей Антивирус? может защитить только от установки ПО Не защищает от кражи данных количество образцов постоянно растет сигнатурный метод – не панацея реактивные меры Черные списки? Защита от XSS на клиенте?

18. Черные списки в браузерах? Кнопка «Продолжить все равно» Неполные списки

19. NoScript ? Плюсы Контроль запуска плагинов (Flash, PDF) с недоверенных сайтов Фильтрует XSS Минусы Снижает удобство Требует небольшой квалификации Только для Firefox Обходится социальной инженерией

20. Как защитить пользователей? Минимизировать последствия Самый большой вред – установка ПО Предотвратить заражение = запретить доступ к URL загрузчика система должна быть очень динамичной должна блокировать доступ только к зараженным частям сайтов (а не всему домену)

21. Как построить динамичную и эффективную систему? Постоянный анализ Спам (ссылки) Автоматизированный анализ сайтов Honeypots Реверс-инжиниринг ботов, троянов и вирусов Корреляция полученных данных Динамическое пополнение баз репутации Принудительная защита

22. Релизация подхода в Trend Micro Smart Protection Network Корреляция Анализ угроз TrendLabs IP Репутация почты URL Веб репутация Файлы Файловая репутация Сбор информации об угрозах Спам-с ообщения Honeypots Web-crawlers Схемы обратной связи Клиенты Партнеры Исследования TrendLabs 5 млрд. запросов URL в день 5 центров обработки данных (США, Европа, Ближний Восток, Африка, АТР ) 1000 рабочих серверов

23. Что дает реверс-инжиниринг? Дроп-зоны Центры управления Сервера обновлений и распространения Базы данных мулов Сайты партнерских программ с дистрибутивами для pay per install

24. Как происходит защита клиентов Клиентская машина Приложение / Браузер Сервис прокси База репутации Веб сайт Желаемое соединение Реальное соединение Получение репутации URL Keep alive Если разрешено политикой, установка сессии

25. Принудительная защита Защищаются все соединения, а не только запросы из браузера Нет кнопки «продолжить все равно»

26. Заключение Большинство веб-приложений уязвимы SDLC сканеры Web application firewall Для защиты пользователей нужен комплексный подход: Система репутации, подобная Smart Protection Network Принудильная блокировка доступа