SlideShare a Scribd company logo
1 of 45
Download to read offline
Информационная
 безопасность и
web-приложения
У нас опять есть план!

1. Что такое инфобез и с чем его едят
• Аутентификация, авторизация и
   аккаунтинг
• Основные типы атак на web и как с
   ними бороться
Информационная
  безопасность
Цель
 Абсолютно защитить информацию от несанкционированного
                        доступа -
                    сказок не бывает.




Защитить информацию так, чтобы получение доступа к
 ней стоило на порядки больше той ценности, которую
               эта информация имеет.
Парадокс Черной* королевы
* - но мы-то знаем, что королева на самом деле
красная
Если вас еще не взломали -
это не ваша заслуга, а чья-то
недоработка




Паранойя - не профессиональная болезнь, а
естественное состояние организма
Проблема чаще всего
расположена между
компьютером и стулом
НИКОМУ НЕЛЬЗЯ ВЕРИТЬ!
Даже себе. Мне - можно.
Методы работы инфобезовцев

1. создание формального описания системы;
2. построение модели угроз;
3. классификация и оценка рисков;
4. выбор и установка средств технической защиты;
5. разработка регламентов и административных правил по
   защите;
– контроль выполнения регламентов, корректировки
   согласно новым требованиями и изменениям в
   законодательстве, аудит безопасности.


 Защищают не отдельные приложения или аспекты, а
 информационные системы в целом.
Аутентификация,
авторизация и аккаунтинг
          AAA
Пароли - плохо, очень плохо
Байка
Данные с потолка

• 95% пользователей имеет два, максимум - три пароля
  на все;
• генерация паролей на каждый ресурс - удел истинных
  параноиков;
• пароли чаще всего содержат номера телефонов и даты
  рождения;
• показатель защищенности пароля - бесполезный и
  раздражающий элемент;
• хранить пароли в едином хранилище (пусть даже
  защищенном) - все равно, что класть все ключи от
  разных мест в одну банку;
• хешированные пароли - иллюзия защищенности.
И если все-таки пароли

• не давайте пользователю вводить пароль, генерируйте
  его принудительно, максимум - смена;
• сброс пароля - двушаговый (сначала ссылка-
  подтверждение, затем генерация нового пароля);
• запоминать - ни в коем случае не сам пароль или хэш от
  него, лучше отдельный токен (и периодически менять)
  или пароль + "соль";
• учет входов и последующий анализ - если пользователь
  зашел с иного (необычного для него) сегмента сети или
  из другой страны (параноики из i2p и tor будут
  недовольны);
• дополнительные средства защиты offline - например,
  через мобильный телефон.
Альтернативы

OpenID, OAuth, PKI
OAuth
Public Key Infrastructure
Не реклама
Задача на 1М$         Крипторалгоритмы:
                       • RSA - факторизация
                       • DSA - логарифмы на
                         конечных полях
                       • ECDSA - DSA на группе
                         точек эллиптической
                         кривой



    Хеши:
    (однозначное необратимое преобразование)
     • MD5 (самый популярный из MD*)
     • SHA-1 и SHA-2
     • ГОСТ Р 34.11-94
Шифрование
Подпись
Применение


  • Аутентификация и авторизация
    o HTTPS
    o SSH
    o VPN (IPSec)
  • Проверка целостности и надежности
    o данных (юридически значимых документов)
    o программного кода (Java Applets, .NET,
      мобильные приложения Android и iOS)
Получение сертификата
Как сделать авторизацию по HTTPS
через nginx

Создадим пару ключей и сертификат CA
openssl genrsa -des3 -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

Далее создадим сертификат сервера
openssl genrsa -out server.key 1024
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -CA ca.crt 
    -CAkey ca.key -set_serial 01 -out server.crt
.. и клиента
openssl genrsa -out с.key 1024
openssl req -new -key с.key -out с.csr
openssl x509 -req -days 365 -in с.csr -CA ca.crt 
-CAkey ca.key -set_serial 02 -out с.crt
openssl pkcs12 -export -out с.pfx -inkey с.key 
-in с.crt -certfile ca.crt

Сконфигурируем сервер
server {
   listen 443;
   ssl on;
   server_name example.com;

   ssl_certificate /etc/nginx/certs/server.crt;
   ssl_certificate_key /etc/nginx/certs/server.key;
   ssl_client_certificate /etc/nginx/certs/ca.crt;
   ssl_verify_client on;
   }
...и попробуем авторизоваться, предварительно
добавив сертификат в браузер




                       Сертификат можно хранить не только в
                       хранилище браузера (в некоторых
                       системах - централизованно), но и на
                       специальных устройствах:
Применимость различных методов
аутентификации

небольшие web-системы,
CMS
                          Пароли
публичные массовые web-            OAuth
приложения                         OpenID


финансовые системы

системы, содержащие                         PKI
коммерческую или
государственную тайну
Основные типы атак на web

    Да-да, те самые страшные
          аббревиатуры
Классификация
По назначению:              По механизму:
                            •   переполнение буфера;
• получение доступа к
                            •   подмена указателя;
  системе;                  •   SQL-инъекции;
• повышение уровня          •   инъекции кода;
  привилегий;               •   перехват трафика;
• приведение в              •   просмотр директорий
  неработоспособное         •   крос-сайтовое исполнение
  состояние;                    сценариев
                            •   инъекции HTTP-заголовков;
• разрушение системы или
                            •   заделение HTTP-ответа
  отдельных элементов;      •   организации гонок;
• похищение информации и    •   подделка межсайтовых
  персональных данных;          запросов
• использование системы     •   подстановка невидимых
  для совершения атак или       элементов других сайтов;
  анонимизации.             •   фишинг.
SQL инъекции
Пример

   statement = "SELECT * FROM users
   WHERE name = '" + userName + "';"

   куда легко можно подкинуть:

   ' or '1'='1
   ' or '1'='1' -- '
   ' or '1'='1' ({ '
   ' or '1'='1' /* '
   a';DROP TABLE users; SELECT * FROM userinfo
   WHERE 't' = 't
Способы защиты

• экранирование входных данных;
• проверка входных данных регулярными
  выражениями;
• параметризованный запрос:
    java.sql.PreparedStatement stmt =
    connection.prepareStatement("SELECT * FROM users WHERE
    USERNAME = ? AND PASSWORD = ?");
    stmt.setString(1, username);
    stmt.setString(2, password);
    stmt.executeQuery();
•   ORM;
•   использование средств защиты (mod_security);
•   ограничение прав доступа к БД;
•   использование NoSQL. :)
Крос-сайтовое исполнение
    сценариев (XSS)
      и немного про C/XSRF
Внедрение JS:                    Cross-site request forgery
• компрометация пользователя     <img
  (перехват cookies и сессии);   src="http://bank.example.com
• повышение привилегий с         /withdraw?
  последующим выполнением        account=bob&amount=1000000&f
  неавторизованных действий.     or=Fred">



                                 Clickjacking
Способы защиты


    • экранирование, экранирование и
      экранирование - желательно перед тем,
      как положить в базу;
    • фильтрация HTML-тегов (если ввод их
      предполагает);
    • токены на CRUD-операции;
    • понадеяться на средства технической
      защиты в браузерах (NoScript, Mozilla's
      Content Security Policy).
Отказ в обслуживании DoS и
           DDoS
Методки

• флуд;
• генерация большого
  числа запросов
  (например, через
  ботнет);
• "тяжелые" запросы;
• эксплуатация ошибок в
  ПО.
Способы защиты
 • закрыться от атаки сетью VDS с фильтрами
   (например, по geoip), особыми настройками TCP/IP
   и traffic shaping;
 • воспользоваться antiDDoS-сервисом (например,
   QRator);
 • изначально проектировать в расчете на нагрузку, на
   два порядка превышающую предполагаемую;
 • оптимизировать тяжелые запросы;
 • не впадать в излишества (где достаточно
   статического HTML - там должен быть статический
   HTML);
 • использовать ресурсы тех, кто постоянно под DDoS;
 • кеширование, кеширование, кеширование (и не
   забудьте запихнуть в сервера максимум RAM);
 • позвонить провайдеру. :)
Общие рекомендации по
безопасности web систем
– нельзя никому верить;
2. пользователям - в первую очередь;
3. разработчикам и тестерам - вообще нельзя;
4. администраторам - совсем;
5. подписка на списки рассылки по уязвимостям и security
   бюллетени для используемой ОС;
6. постоянные обновления (используйте LTS);
7. использование средств обнаружения и защиты от атак
   (IDS);
8. постоянный анализ событий и действий пользователей;
9. периодический аудит инфраструктуры приглашенными
   специалистами;
10.защиты никогда не бывает мало (если есть
   возможность сделать DMZ - не стесняйтесь);
11.если вы что-то не понимаете - это скорее всего
   небезопасно и приведет к компрометации систем.
???
 Это не кодировка побилась, а
предложение задать докладчику
          вопросы :)

More Related Content

What's hot

Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Expolink
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNИнтеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNCisco Russia
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователейCisco Russia
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)SkillFactory
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к ИнтернетCisco Russia
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!Positive Hack Days
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступниковCisco Russia
 

What's hot (20)

Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
 
Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"Check Point. Сергей Чекрыгин. "На один шаг впереди"
Check Point. Сергей Чекрыгин. "На один шаг впереди"
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNИнтеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
 
Защита мобильных пользователей
Защита мобильных пользователейЗащита мобильных пользователей
Защита мобильных пользователей
 
Этичный хакинг
Этичный хакингЭтичный хакинг
Этичный хакинг
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Методы современных кибепреступников
Методы современных кибепреступниковМетоды современных кибепреступников
Методы современных кибепреступников
 

Viewers also liked

Журнал "!Безопасность Деловой Информации" #2
Журнал "!Безопасность Деловой Информации" #2Журнал "!Безопасность Деловой Информации" #2
Журнал "!Безопасность Деловой Информации" #2Mikhail Safronov
 
киберпреступность в россии
киберпреступность в россиикиберпреступность в россии
киберпреступность в россииЕлена Ключева
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасностьpsemitkin
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматовExpolink
 
Информационная безопасность доменных имён
Информационная безопасность доменных имёнИнформационная безопасность доменных имён
Информационная безопасность доменных имёнReggi.Ru
 
Тимур АИТОВ НПС Калиниград Русская версия
Тимур АИТОВ НПС Калиниград Русская версияТимур АИТОВ НПС Калиниград Русская версия
Тимур АИТОВ НПС Калиниград Русская версияTimur AITOV
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасностьmilushaaa
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.7bits
 
Эволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризисЭволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризисInfoWatch
 
[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасности[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасностиUISGCON
 
Информационная безопасность 2014, CNews, Станислав Макаров
Информационная безопасность 2014, CNews,  Станислав МакаровИнформационная безопасность 2014, CNews,  Станислав Макаров
Информационная безопасность 2014, CNews, Станислав МакаровStanislav Makarov
 
Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...ATOL Drive
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасностьAndrey Dolinin
 
Kaspersky_cyber_meeting_3.0_presentation
Kaspersky_cyber_meeting_3.0_presentationKaspersky_cyber_meeting_3.0_presentation
Kaspersky_cyber_meeting_3.0_presentationLena Rovich
 
Информационная этика и право. Информационная безопасность
Информационная этика и право. Информационная безопасностьИнформационная этика и право. Информационная безопасность
Информационная этика и право. Информационная безопасностьВиктор Леонидович Ярославцев
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасностьAlexandra9123
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьCisco Russia
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасностьanpilogovaliza
 
информационная безопасность 01
информационная безопасность 01информационная безопасность 01
информационная безопасность 01TanyaRoxy
 

Viewers also liked (20)

Журнал "!Безопасность Деловой Информации" #2
Журнал "!Безопасность Деловой Информации" #2Журнал "!Безопасность Деловой Информации" #2
Журнал "!Безопасность Деловой Информации" #2
 
киберпреступность в россии
киберпреступность в россиикиберпреступность в россии
киберпреступность в россии
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматов
 
Информационная безопасность доменных имён
Информационная безопасность доменных имёнИнформационная безопасность доменных имён
Информационная безопасность доменных имён
 
Тимур АИТОВ НПС Калиниград Русская версия
Тимур АИТОВ НПС Калиниград Русская версияТимур АИТОВ НПС Калиниград Русская версия
Тимур АИТОВ НПС Калиниград Русская версия
 
Kiberterrorizm
KiberterrorizmKiberterrorizm
Kiberterrorizm
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
 
Эволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризисЭволюция таргетированных атак в кризис
Эволюция таргетированных атак в кризис
 
[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасности[Long 11-00] Михаил Емельянников - Философия безопасности
[Long 11-00] Михаил Емельянников - Философия безопасности
 
Информационная безопасность 2014, CNews, Станислав Макаров
Информационная безопасность 2014, CNews,  Станислав МакаровИнформационная безопасность 2014, CNews,  Станислав Макаров
Информационная безопасность 2014, CNews, Станислав Макаров
 
Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...Организация профессиональной переподготовки по направлению «Информационная бе...
Организация профессиональной переподготовки по направлению «Информационная бе...
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Kaspersky_cyber_meeting_3.0_presentation
Kaspersky_cyber_meeting_3.0_presentationKaspersky_cyber_meeting_3.0_presentation
Kaspersky_cyber_meeting_3.0_presentation
 
Информационная этика и право. Информационная безопасность
Информационная этика и право. Информационная безопасностьИнформационная этика и право. Информационная безопасность
Информационная этика и право. Информационная безопасность
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасность
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
информационная безопасность 01
информационная безопасность 01информационная безопасность 01
информационная безопасность 01
 

Similar to Информационная безопасность и web-приложения

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений.  Так ли опасна виртуальная угроза?Безопасность веб-приложений.  Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?phpdevby
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionAndrew Petukhov
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Ontico
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиCisco Russia
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11Technopark
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Web весна 2012 лекция 11
Web весна 2012 лекция 11Web весна 2012 лекция 11
Web весна 2012 лекция 11Technopark
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков  "OWASP TOP 10 для.NET"Владимир Кочетков  "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"MskDotNet Community
 
Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Fwdays
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...Expolink
 
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.Clouds NN
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...Expolink
 

Similar to Информационная безопасность и web-приложения (20)

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
Безопасность веб-приложений.  Так ли опасна виртуальная угроза?Безопасность веб-приложений.  Так ли опасна виртуальная угроза?
Безопасность веб-приложений. Так ли опасна виртуальная угроза?
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)Безопасность Node.js / Илья Вербицкий (Независимый консультант)
Безопасность Node.js / Илья Вербицкий (Независимый консультант)
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Web весна 2012 лекция 11
Web весна 2012 лекция 11Web весна 2012 лекция 11
Web весна 2012 лекция 11
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Владимир Кочетков "OWASP TOP 10 для.NET"
Владимир Кочетков  "OWASP TOP 10 для.NET"Владимир Кочетков  "OWASP TOP 10 для.NET"
Владимир Кочетков "OWASP TOP 10 для.NET"
 
Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"Svyatoslav Login "How to test authentication and authorization for security"
Svyatoslav Login "How to test authentication and authorization for security"
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля  привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
CloudsNN 2014. Андрей Бешков. Защита ваших данных в Office 365.
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...НТБ. Сергей Шерстюк. "Проблемы контроля  привилегированных пользователей Safe...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей Safe...
 

Информационная безопасность и web-приложения

  • 2. У нас опять есть план! 1. Что такое инфобез и с чем его едят • Аутентификация, авторизация и аккаунтинг • Основные типы атак на web и как с ними бороться
  • 4. Цель Абсолютно защитить информацию от несанкционированного доступа - сказок не бывает. Защитить информацию так, чтобы получение доступа к ней стоило на порядки больше той ценности, которую эта информация имеет.
  • 5. Парадокс Черной* королевы * - но мы-то знаем, что королева на самом деле красная
  • 6. Если вас еще не взломали - это не ваша заслуга, а чья-то недоработка Паранойя - не профессиональная болезнь, а естественное состояние организма
  • 7. Проблема чаще всего расположена между компьютером и стулом
  • 8. НИКОМУ НЕЛЬЗЯ ВЕРИТЬ! Даже себе. Мне - можно.
  • 9. Методы работы инфобезовцев 1. создание формального описания системы; 2. построение модели угроз; 3. классификация и оценка рисков; 4. выбор и установка средств технической защиты; 5. разработка регламентов и административных правил по защите; – контроль выполнения регламентов, корректировки согласно новым требованиями и изменениям в законодательстве, аудит безопасности. Защищают не отдельные приложения или аспекты, а информационные системы в целом.
  • 11. Пароли - плохо, очень плохо
  • 13. Данные с потолка • 95% пользователей имеет два, максимум - три пароля на все; • генерация паролей на каждый ресурс - удел истинных параноиков; • пароли чаще всего содержат номера телефонов и даты рождения; • показатель защищенности пароля - бесполезный и раздражающий элемент; • хранить пароли в едином хранилище (пусть даже защищенном) - все равно, что класть все ключи от разных мест в одну банку; • хешированные пароли - иллюзия защищенности.
  • 14. И если все-таки пароли • не давайте пользователю вводить пароль, генерируйте его принудительно, максимум - смена; • сброс пароля - двушаговый (сначала ссылка- подтверждение, затем генерация нового пароля); • запоминать - ни в коем случае не сам пароль или хэш от него, лучше отдельный токен (и периодически менять) или пароль + "соль"; • учет входов и последующий анализ - если пользователь зашел с иного (необычного для него) сегмента сети или из другой страны (параноики из i2p и tor будут недовольны); • дополнительные средства защиты offline - например, через мобильный телефон.
  • 16.
  • 17.
  • 18. OAuth
  • 19.
  • 20.
  • 23. Задача на 1М$ Крипторалгоритмы: • RSA - факторизация • DSA - логарифмы на конечных полях • ECDSA - DSA на группе точек эллиптической кривой Хеши: (однозначное необратимое преобразование) • MD5 (самый популярный из MD*) • SHA-1 и SHA-2 • ГОСТ Р 34.11-94
  • 26. Применение • Аутентификация и авторизация o HTTPS o SSH o VPN (IPSec) • Проверка целостности и надежности o данных (юридически значимых документов) o программного кода (Java Applets, .NET, мобильные приложения Android и iOS)
  • 28. Как сделать авторизацию по HTTPS через nginx Создадим пару ключей и сертификат CA openssl genrsa -des3 -out ca.key 4096 openssl req -new -x509 -days 365 -key ca.key -out ca.crt Далее создадим сертификат сервера openssl genrsa -out server.key 1024 openssl req -new -key server.key -out server.csr openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
  • 29. .. и клиента openssl genrsa -out с.key 1024 openssl req -new -key с.key -out с.csr openssl x509 -req -days 365 -in с.csr -CA ca.crt -CAkey ca.key -set_serial 02 -out с.crt openssl pkcs12 -export -out с.pfx -inkey с.key -in с.crt -certfile ca.crt Сконфигурируем сервер server { listen 443; ssl on; server_name example.com; ssl_certificate /etc/nginx/certs/server.crt; ssl_certificate_key /etc/nginx/certs/server.key; ssl_client_certificate /etc/nginx/certs/ca.crt; ssl_verify_client on; }
  • 30. ...и попробуем авторизоваться, предварительно добавив сертификат в браузер Сертификат можно хранить не только в хранилище браузера (в некоторых системах - централизованно), но и на специальных устройствах:
  • 31. Применимость различных методов аутентификации небольшие web-системы, CMS Пароли публичные массовые web- OAuth приложения OpenID финансовые системы системы, содержащие PKI коммерческую или государственную тайну
  • 32. Основные типы атак на web Да-да, те самые страшные аббревиатуры
  • 33. Классификация По назначению: По механизму: • переполнение буфера; • получение доступа к • подмена указателя; системе; • SQL-инъекции; • повышение уровня • инъекции кода; привилегий; • перехват трафика; • приведение в • просмотр директорий неработоспособное • крос-сайтовое исполнение состояние; сценариев • инъекции HTTP-заголовков; • разрушение системы или • заделение HTTP-ответа отдельных элементов; • организации гонок; • похищение информации и • подделка межсайтовых персональных данных; запросов • использование системы • подстановка невидимых для совершения атак или элементов других сайтов; анонимизации. • фишинг.
  • 35. Пример statement = "SELECT * FROM users WHERE name = '" + userName + "';" куда легко можно подкинуть: ' or '1'='1 ' or '1'='1' -- ' ' or '1'='1' ({ ' ' or '1'='1' /* ' a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't
  • 36. Способы защиты • экранирование входных данных; • проверка входных данных регулярными выражениями; • параметризованный запрос: java.sql.PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?"); stmt.setString(1, username); stmt.setString(2, password); stmt.executeQuery(); • ORM; • использование средств защиты (mod_security); • ограничение прав доступа к БД; • использование NoSQL. :)
  • 37. Крос-сайтовое исполнение сценариев (XSS) и немного про C/XSRF
  • 38. Внедрение JS: Cross-site request forgery • компрометация пользователя <img (перехват cookies и сессии); src="http://bank.example.com • повышение привилегий с /withdraw? последующим выполнением account=bob&amount=1000000&f неавторизованных действий. or=Fred"> Clickjacking
  • 39. Способы защиты • экранирование, экранирование и экранирование - желательно перед тем, как положить в базу; • фильтрация HTML-тегов (если ввод их предполагает); • токены на CRUD-операции; • понадеяться на средства технической защиты в браузерах (NoScript, Mozilla's Content Security Policy).
  • 41. Методки • флуд; • генерация большого числа запросов (например, через ботнет); • "тяжелые" запросы; • эксплуатация ошибок в ПО.
  • 42. Способы защиты • закрыться от атаки сетью VDS с фильтрами (например, по geoip), особыми настройками TCP/IP и traffic shaping; • воспользоваться antiDDoS-сервисом (например, QRator); • изначально проектировать в расчете на нагрузку, на два порядка превышающую предполагаемую; • оптимизировать тяжелые запросы; • не впадать в излишества (где достаточно статического HTML - там должен быть статический HTML); • использовать ресурсы тех, кто постоянно под DDoS; • кеширование, кеширование, кеширование (и не забудьте запихнуть в сервера максимум RAM); • позвонить провайдеру. :)
  • 44. – нельзя никому верить; 2. пользователям - в первую очередь; 3. разработчикам и тестерам - вообще нельзя; 4. администраторам - совсем; 5. подписка на списки рассылки по уязвимостям и security бюллетени для используемой ОС; 6. постоянные обновления (используйте LTS); 7. использование средств обнаружения и защиты от атак (IDS); 8. постоянный анализ событий и действий пользователей; 9. периодический аудит инфраструктуры приглашенными специалистами; 10.защиты никогда не бывает мало (если есть возможность сделать DMZ - не стесняйтесь); 11.если вы что-то не понимаете - это скорее всего небезопасно и приведет к компрометации систем.
  • 45. ??? Это не кодировка побилась, а предложение задать докладчику вопросы :)

Editor's Notes

  1. Межконтинентальная баллистическая ракета LGM-30 Minuteman - единственная американская МБР наземного (шахтного) базирования. Все пуски ракет, которые вы видите в фильмах в фильмах - &amp;quot;Минитмены&amp;quot;. И они же в нас полетят, если что. Кроме собственно пусков ракет в фильмах любят показывать сложные шаманские танцы вокруг пуска. Офицер связи при получении приказа на пуск достаёт из сейфа конверт, код оттуда посимвольно зачитывается и вводится в пульт. Потом синхронно два офицера поворачивают два ключа... Весь этот балет придумал Роберт Стрэйндж Макнамара - человек, которого Кеннеди переманил в министры обороны из президентов &amp;quot;Форда&amp;quot;. Идея была очень разумная - не упускать из рук политиков управление ядерным арсеналом страны и не допустить самовольных или случайных пусков. Военные тоже были люди разуминые. Они провели несколько учений и поняли, что шаманские танцы вокруг ввода кода задерживают запуск. В худшем случае офицеры в состоянии стресса умудрялись даже делать ошибку в коде. Поскольку помимо учений межконтинентальные баллистические ракеты с ядерными боеголовкамии ещё и стоят наготове для оперативного отражения удара противника, Стратегическое командование ВВС США (в Штатах МБР шахтного базирования - это ВВС) приказало установить все предохранительные коды на всех пультах всех &amp;quot;Минитменов&amp;quot; в 00000000. Сия нехитрая рационализация резко повысила шансы Соединённых Штатов Америки успеть ответить ударом на удар. Макнамара узнал обо всём этом только полвека спустя. Случайно. Ему бывший ракетчик рассказал. Сейчас, естественно, там уже не нули.