Upload
technopark
View
286
Download
3
Embed Size (px)
DESCRIPTION
Citation preview
Безопасность интернет-приложений
Лекция 1, «Риски и угрозы»
Ярослав Рабоволюк
Здравствуйте!
Структура курса
- Лекции- Самостоятельная работа- Проектное задание- Зачет
Интернет – враждебная среда
«Тот, кто еще до сражения определяет в храме предков, что одержитпобеду, находит, что большинство обстоятельств в его пользу. Тот, ктоеще до сражения определяет в храме предков, что не одержит победу,находит немного обстоятельств в свою пользу»
Сун Цзы
Краткая история
Timeline
To the future!
Интеграция js в браузеры
Появление PHP
1995-96
1997
Зарождение WWW
1990-92
MySQL 3.23
1995-2000
UNIX, tcp/ip
1969-70
Краткая история
Основные мотивы:
- Интерес- Слава- Деньги
Краткая история
«Так, умение поднять осенний лист не может считаться большой силой;способность видеть луну и солнце не может считаться острым зрением;способность слышать звук грома не может считаться тонким слухом.»
Сун Цзы
Наше время
Основные мотивы, наши дни:
- Деньги- Деньги- Деньги
Наше время
“ethical hackers”
«Если войска противника подняты и приближаются к нашим силам толькодля того, чтобы занять позиции и не вступать в битву, за ними нужновнимательно наблюдать.»
Сун Цзы
Наше время
Script kiddies
«Применение огневых атак зависит от соответствующих условий.Оснащение для огневых атак нужно полностью приготовить до того, каконо потребуется.»
Сун Цзы
Наше время
Pro job
«Поэтому из всех дел в трех армиях нет более близких, чем сошпионами; нет наград более щедрых, чем даваемые шпионам; нет делболее секретных, чем касающиеся шпионов.»
Сун Цзы
Наше время
Anonymous
Наше время
Goverment
Рынок киберкрайма
White hats
- Исследования в области ИБ- reward-программы, bounty hunting- Тестирование на проникновение
Рынок киберкрайма
Company profit
ZDI ~$2500+
Facebook $500+
Google csrf - $500, rce - $20000
PayPal sqlinj - $3000
Bounty programs list: http://goo.gl/gEFJ4
Reward programs
Рынок киберкрайма
Black hats
- Исследования в области ИБ- reward-программы, bounty hunting- Разработка и продажа эксплойтов- Кража аккаунтов- Кража/использование данных- Ботнет- Ифрейм-траффик- Спам, партнерки- Кардинг- «конкурентная разведка»- Кража виртуальных артефактов
Рынок киберкрайма
Сценарий: сайт взломан
site
Dump all data, leave
Inject code, leave
Hide and wait
Resell access
Рынок киберкрайма
пользователи
- 90% - низкий уровень знаний - Избегают сложностей- Склонны доверять знакомой среде
Рынок киберкрайма
Цель: аккаунт пользователя
USER
Hacked site
Bruteforced accs
Reused accs
Phishing
Trojan
Social engineering
Рынок киберкрайма
Phishing
Рынок киберкрайма
Сценарий: аккаунт взломан
Социальный спам
Перс. данные
Платежные данные
«виртуальная собственность»
USER
модель угроз
Интернет-магазин
- Продажа шин- Форма заказов: ввод имени, телефона, адреса- Возможность зарегистрироваться- Платежный инструмент: наличные, выставление
счета, прием оплаты по карте- Статистика по заказам
модель угроз
Интернет-магазин
обьекты
сервер
заказы
пользователи
Платежные инструменты
сайт
злоумышленник
модель угроз
Интернет-магазин
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
- конкурент- хакер- бот
сайт
модель угроз
Интернет-магазин
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
нарушение работы
кража денег
получение доступа
перехват заказов
- конкурент- хакер- бот
сайт
модель угроз
Интернет-магазин
нарушение работы
серверСайт: форма заказов
конкурент
модель угроз
Интернет-магазин
нарушение работы
серверСайт: форма заказов
CaptchaIp blacklist
Облакопровайдер
конкурент
модель угроз
Интернет-магазин
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
хакер
модель угроз
Интернет-магазин
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
Отправка формы платежа по email НЕ процессить карты
хакер
модель угроз
Интернет-магазин
Получение доступа
серверсайт
Хакер, бот
модель угроз
Интернет-магазин
Получение доступа
серверсайт
Поддержка апдейтов движкаSecurity review кодаОграничения аутентификацииwaf, ips
Поддержка апдейтов сервераНе использовать shared hostingОграничения аутентификации
Хакер, бот
модель угроз
Социальная сеть
- Сеть любителей кошек.- Регистрация пользователя – имя, email, фото- Есть sms-сервис для vip-статуса- Возможность личных сообщений
Инциденты
Основные статьи УК
- 272. Неправомерный доступ к компьютерной информации.
- 273. Создание, использование и распространение вредоносных компьютерных программ.
- 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Инциденты
Расследование
- Скриншоты всего процесса- Дамп памяти- Копия носителей- Определение ущерба- Протоколирование всех действий
материалы
Сун Цзы «Искусство войны»
Брюс Стерлинг «The Hacker Crackdown»
Iso 27001
http://4chan.org
http://owasp.org
Спасибо за вниманиеРабоволюк Ярослав,