Безопасность лекция 1 весна 2014

Безопасность интернет-приложений

Лекция 1, «Риски и угрозы»Рабоволюк Ярослав

2

Программа курса

10 лекций 3 домашних задания 3 семинара экзамен

3

Интернет – враждебная среда

«Тот, кто еще до сражения определяет в храме предков, что одержитпобеду, находит, что большинство обстоятельств в его пользу. Тот, ктоеще до сражения определяет в храме предков, что не одержит победу,находит немного обстоятельств в свою пользу»

Сун Цзы

4

Краткая история

Интеграция js в браузерыApache, Mysql, php, asp

1995-96

Зарождение WWW

1989-92

MySQL 3.23, jsp

1995-2000

UNIX, tcp/ip

1969-70

5


Основные мотивы:

- Интерес- Слава- Деньги

6


«Так, умение поднять осенний лист не может считаться большой силой;способность видеть луну и солнце не может считаться острым зрением;способность слышать звук грома не может считаться тонким слухом.»

Сун Цзы

7

Наше время

Основные мотивы, наши дни:

- Деньги- Деньги- Деньги

8

Наше время

“ethical hackers”

«Если войска противника подняты и приближаются к нашим силам толькодля того, чтобы занять позиции и не вступать в битву, за ними нужновнимательно наблюдать.»

Сун Цзы

9

Наше время

Script kiddies

«Применение огневых атак зависит от соответствующих условий.Оснащение для огневых атак нужно полностью приготвить до того, каконо потребуется.»

Сун Цзы

10

Наше время

Pro job

«Поэтому из всех дел в трех армиях нет более близких, чем сошпионами; нет наград более щедрых, чем даваемые шпионам; нет делболее секретных, чем касающиеся шпионов.»

Сун Цзы

11

Наше время

Anonymous

12

Наше время

Goverment

13

Наше время

Bots

14

Рынок киберкрайма

White hats

- Исследования в области ИБ- reward-программы, bounty hunting- Тестирование на проникновение

15


Reward programsCompany profit

ZDI ~$2500+

Facebook $500+

Google csrf - $500, rce - $20000

PayPal sqlinj - $3000

Bounty programs list: http://goo.gl/gEFJ4

16


Black hats

- Исследования в области ИБ- reward-программы, bounty hunting- Разработка и продажа эксплойтов- Кража аккаунтов- Кража/использование данных- Ботнет- Ифрейм-траффик- Спам, партнерки- Кардинг- «конкурентная разведка»- Кража виртуальных артефактов

17


Сценарий: сайт взломан

site

Dump all data, leave

Inject code, leave

Hide and wait

Resell access

18


пользователи

- 90% - низкий уровень знаний - Избегают сложностей- Склонны доверять знакомой среде

19


Цель: аккаунт пользователя

USER

Hacked site

Bruteforced accs

Reused accs

Phishing

Trojan

Social engineering

20


Phishing

21


Сценарий: аккаунт взломан

Социальный спам

Перс. данные

Платежные данные

«виртуальная собственность»

USER

22

Модель угроз

Интернет-магазин

- Продажа шин- Форма заказов: ввод имени, телефона, адреса- Возможность зарегистрироваться- Платежный инструмент: наличные, выставление

счета, прием оплаты по карте- Статистика по заказам

23



обьекты

сервер

заказы


Платежные инструменты

сайт

злоумышленник

24


обьекты

сервер

заказы




- конкурент- хакер- бот

сайт


25



обьекты

сервер

заказы




нарушение работы

кража денег

получение доступа

перехват заказов

- конкурент- хакер- бот

сайт

26




серверСайт: форма заказов

конкурент

27




серверСайт: форма заказов

CaptchaIp blacklist

Облакопровайдер

конкурент

28




Платежные инструменты: данные карт

Платежные инструменты:

счета

хакер

29




Платежные инструменты: данные карт

Платежные инструменты:

счета

Отправка формы платежа по email НЕ процессить карты

хакер

30



Получение доступа

серверсайт

Хакер, бот

31



Получение доступа

серверсайт

Поддержка обновлений П.О.Security review кодаОграничения аутентификацииwaf, ips

Поддержка обновлений сервераНе использовать shared hostingОграничения аутентификации

Хакер, бот

32


Домашнее задание: image hosting

- Регистрации нет.- Форма ввода url либо загрузки файла- Возвращает короткую ссылку на изображение и

html-код для вставки.

Education

Безопасность лекция 1 весна 2014