Risspa app sec trend micro
Transcript of Risspa app sec trend micro
Copyright 2009 Trend Micro Inc.Classification 7/15/2010 1
Уязвимости в веб-приложениях каккритичный факторразвитиякиберпреступности
Денис Безкоровайный, CISA, CISSP
Технический консультант
Copyright 2009 Trend Micro Inc.Classification 7/15/2010 2
Agenda
Способы монетизации веб-
уязвимостей
Способы защиты
Защита самих веб-
приложений
Защита пользователей
Выводы
Copyright 2009 Trend Micro Inc.
История Samy и MySpace
• 10/04/2005, 12:34 pm: У Вас 73 друга.
• 1 час спустя, 1:30 am: У Вас 73 друга и 1запрос на добавление в друзья.
• 7 часов спустя, 8:35 am: У вас 74 друга и 221запрос на добавление в друзья.
• 1 час спустя, 9:30 am: У Вас 74 друга и 480запрос на добавление в друзья.
• 4 часа спустя, 1:30 pm: У Вас 2503 друзей и6373 запросов на добавление в друзья.
3
Copyright 2009 Trend Micro Inc.
История Samy и MySpace
За 20 часов – 1 005 831запросов на добавления в
друзья
MySpace перестал работать
http://namb.la/popular/
4
Copyright 2009 Trend Micro Inc.
Как заработать на уязвимостях?
6 PROFIT!
???????
Получить контроль над жертвами
Провести массовое заражение
Найти уязвимости веб-приложений(XSS, Injection, etc)
Разместить вредоносный контент
Copyright 2009 Trend Micro Inc.
Как от веб уязвимостей страдаютпользователи?
•Кража cookies
•Сбор паролей и прочих данныхчерез подложные формы
•Заражение вредоносным ПО(боты, трояны и тд)
Copyright 2009 Trend Micro Inc.
Методы монетизации ботнетов• Кража данных и учетных записей
– кредитные карты– онлайн –банкинг– FTP– социальные сети– электронная почта
• Click Fraud и перехват поискового трафика– партнерские программы
• знакомства / adult• легальные системы – оплата трафика
• Установка программ (pay per install)– FAKEAV – ложные антивирусы– SMS-вымогатели
• Распределенные вычисления– распознаватель CAPTCHA
дальнейшее распространениевредоносного ПО
продажа или вывод средств
Copyright 2009 Trend Micro Inc.
Защита веб-приложений
•Обнаружение–Сканеры безопасности
•Защита–Web Application Firewall
•Предотвращение–SDLC-стандарты
12
Copyright 2009 Trend Micro Inc.
Web Application Firewall Evaluation Criteria
Copyright © 2005,2006 Web Application Security Consortium (http://www.webappsec.org)
– Section 1 - Deployment Architecture– Section 2 - HTTP and HTML Support– Section 3 - Detection Techniques– Section 4 - Protection Techniques– Section 5 - Logging– Section 6 - Reporting– Section 7 - Management– Section 8 - Performance– Section 9 – XML
13
Copyright 2009 Trend Micro Inc.
Trend Micro Deep Security –защита web-приложений
• Защищает от ключевых уязвимостей:– XSS– SQL Injection
• Закрывает уязвимости– До выпуска исправления– Вместо исправления кода
• Программное решение– Меньшая стоимость
(закупки и последующая) в в вв сравнении саппаратными решениями
14
Copyright 2009 Trend Micro Inc.
Trend Micro Deep Security Защита web-приложений в действии
15 © Thi
С помощью IBM Rational AppScan просканированоweb-приложение созданное на Microsoft.NET
• выполнено 5 428 теста
без защиты защита Deep Security
Copyright 2009 Trend Micro Inc.
Как защитить пользователей
• Антивирус? – может защитить только от установки ПО
• Не защищает от кражи данных– количество образцов постоянно растет– сигнатурный метод – не панацея– реактивные меры
• Черные списки?
• Защита от XSS на клиенте?
17
Copyright 2009 Trend Micro Inc.
Черные списки в браузерах?
18
• Кнопка «Продолжить все равно»• Неполные списки
Copyright 2009 Trend Micro Inc.
NoScript?
19
• Плюсы• Контроль запуска плагинов
(Flash, PDF) с недоверенных сайтов• Фильтрует XSS
• Минусы• Снижает удобство• Требует небольшой квалификации• Только для Firefox• Обходится социальной инженерией
Copyright 2009 Trend Micro Inc.
Как защитить пользователей?
20
• Минимизировать последствия• Самый большой вред – установка ПО
• Предотвратить заражение = запретить доступ к URL загрузчика
• система должна быть очень динамичной• должна блокировать доступ только кзараженным частям сайтов (а не всемудомену)
Copyright 2009 Trend Micro Inc.
Как построить динамичную иэффективную систему?
21
• Постоянный анализ• Спам (ссылки)• Автоматизированный анализ сайтов• Honeypots• Реверс-инжиниринг ботов, троянов ивирусов
• Корреляция полученных данных• Динамическое пополнение баз репутации
• Принудительная защита
Copyright 2009 Trend Micro Inc.
Релизация подхода вTrend Micro Smart Protection Network
Анализугроз
TrendLabsIP
Репутация
почты
URL
Вебрепутация
Файлы
Файловаярепутация
Корреляция
Сбор
информацииоб
угрозах
• Спам-сообщения
• Honeypots• Web-crawlers• Схемы обратнойсвязи
• Клиенты
• Партнеры
• ИсследованияTrendLabs
•5 млрд. запросов URL в день
•5 центров обработки данных (США, Европа, Ближний Восток, Африка, АТР)
•1000 рабочих серверов
Copyright 2009 Trend Micro Inc.
Что дает реверс-инжиниринг?
23
• Дроп-зоны• Центры управления• Сервера обновлений ираспространения
• Базы данных мулов• Сайты партнерских программ сдистрибутивами для pay per install
Copyright 2009 Trend Micro Inc.
Клиентская машина
Как происходит защита клиентов
24
Приложение / Браузер
Сервиспрокси
Базарепутации Веб сайт
Желаемое соединение
Реальное соединение
Получение репутации URL
Keep alive
Если разрешено политикой, установка сессии
Copyright 2009 Trend Micro Inc.
Принудительная защита
25
• Защищаются все соединения, а не только запросыиз браузера
• Нет кнопки «продолжить все равно»