Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям ЗАО Лаборатория Касперского Семинар 1С-Битрикс, 9 апреля 2009 г., Москва
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Классификация угроз для web-ресурсов Технологии атак и методы защиты План
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Прибыльность Прибыльность Простота исполнения (техническая и моральная) Простота исполнения (техническая и моральная) Низкий уровень риска Низкий уровень риска Появление новых сервисов, которые выгодно атаковать Появление новых сервисов, которые выгодно атаковать Информационные войны Информационные войны Современные web-уязвимости и угрозы для web-ресурсов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Прибыльность Прибыльность Способы получения денег: Кража финансовой и персональной информации с целью перепродажи/обналичивания Кража финансовой и персональной информации с целью перепродажи/обналичивания Шантаж заражённых жертв Шантаж заражённых жертв Криминальные коммерческие услуги Криминальные коммерческие услуги Организация DDoS атак Организация DDoS атак Рассылки спама Рассылки спама Предоставление ботнетов в аренду Предоставление ботнетов в аренду Современные web-уязвимости и угрозы для web-ресурсов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Простота исполнения Простота исполнения Современные web-уязвимости и угрозы для web-ресурсов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Минимальный риск Минимальный риск Есть пробелы в законодательстве некоторых стран Правоохранительные органы действуют недостаточно оперативно Правоохранительные органы действуют недостаточно оперативно Жертвы редко сообщают в милицию о преступлениях Жертвы редко сообщают в милицию о преступлениях Незначительность ущерба – инциденты неинтересны милиции (несмотря на огромное количество преступлений) Незначительность ущерба – инциденты неинтересны милиции (несмотря на огромное количество преступлений) Интернациональность преступлений, отсутствие Интернет-Интерпола Интернациональность преступлений, отсутствие Интернет-Интерпола Современные web-уязвимости и угрозы для web-ресурсов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов Мы постоянно совершенствуем свой мир…
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов …но внимание защите уделяем недостаточно… Мы постоянно совершенствуем свой мир…
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов …даже в самых передовых отраслях… …но внимание защите уделяем недостаточно… Мы постоянно совершенствуем свой мир…
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Информационные войны Информационные войны Обмен кибератаками по политическим мотивам Обмен кибератаками по политическим мотивам Современные web-уязвимости и угрозы для web-ресурсов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Прибыльность Прибыльность Простота исполнения (техническая и моральная) Простота исполнения (техническая и моральная) Низкий уровень риска Низкий уровень риска Появление новых сервисов, которые выгодно атаковать Появление новых сервисов, которые выгодно атаковать Информационные войны Информационные войны Современные web-уязвимости и угрозы для web-ресурсов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Вывод из строя Несанкционированный доступ Воровство информации Использование ресурсов Транспорт для распространения зловредов Классификация угроз для web-ресурсов
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Вывод web-ресурса из строя DDoS Distributed Denial of Service распределённый отказ в обслуживании Методы противодействия Предотвращение Фильтрация Устранение уязвимостей Наращивание ресурсов Рассредоточение ресурсов Уклонение Активные ответные меры
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Воровство информации Регистрационные данные пользователей Коммерческая информация Конфиденциальная информация
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Использование технических ресурсов сервера Рассылка вирусов и спама Производство DoS-атак Сдача вычислительных мощностей и доступа к серверу в аренду Использование в качестве подставного сервера для злоумышленных операций DoS
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Транспорт для распространения зловредов Под прицелом Популярные сайты Блоги, Форумы Социальные сети iframe
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Воровство паролей администратора SQL injection Уязвимости в софте web-сайта php injection Технологии атак и методы защиты
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Методики атак простой подбор заражение ПК администратора несанкционированный доступ к базе сайта Технологии атак и методы защиты Методики защиты сложный пароль защита ПК администратора аудит безопасности движка сайта, мониторинг действий с базой Воровство паролей к серверу
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты SQL-инъекция Угроза: Возможность выполнить произвольный запрос к БД сайта! Причина: Некорректная обработка входных параметров Метод борьбы: Устранение уязвимости на этапе разработки софта сайта http-запрос SQL-запрос данныеhttp-страница SQLвыполнение команды
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты Уязвимости в софте web-сайта Угроза: Возможность выполнить произвольную команду на сервере Причина: Недостаточная безопасность софта сайта Метод борьбы: Устранение уязвимости на этапе разработки софта сайта http-запрос PHP-команда данныеhttp-страница PHPвыполнение команды
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Итоги Киберпреступность существует потому что она прибыльна, проста и малорискованна Для заражения ПК достаточно одного клика Все новые сервисы в Web привлекают внимание злоумышленников, которые активно используют их уязвимости Задача каждого пользователя и владельца сайта – не только защитить свои данные от кражи и порчи но и не допустить использование своих ресурсов злоумышленниками во вред другим пользователям
Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Спасибо за внимание! Максим Фролов Менеджер по интернет-решениям ЗАО Лаборатория Касперского