risspa 16 app-sec_d.bezkorovayny_trendmicro

Copyright 2009 Trend Micro Inc.Classification 7/9/2010 1

Уязвимости в веб-приложениях как критичный фактор развития киберпреступности

Денис Безкоровайный, CISA, CISSP

Технический консультант, Trend Micro

Copyright 2009 Trend Micro Inc.Classification 7/9/2010 2

Agenda

Способы монетизации веб-уязвимостей

Способы защиты

Защита самих веб-приложений

Защита пользователей

Выводы

Copyright 2009 Trend Micro Inc.

История Samy и MySpace

• 10/04/2005, 12:34 pm: У Вас 73 друга.

• 1 час спустя, 1:30 am: У Вас 73 друга и 1запрос на добавление в друзья.

• 7 часов спустя, 8:35 am: У вас 74 друга и 221запрос на добавление в друзья.

• 1 час спустя, 9:30 am: У Вас 74 друга и 480запрос на добавление в друзья.

• 4 часа спустя, 1:30 pm: У Вас 2503 друзей и 6373 запросов на добавление в друзья.

3


История Samy и MySpace

За 20 часов – 1 005 831запросов на добавления в

друзья

MySpace перестал работать

http://namb.la/popular/

4

http://namb.la/popular/


It's All about the Benjamins

5


Как заработать на уязвимостях?

6PROFIT!

???????

Получить контроль над жертвами

Провести массовое заражение

Найти уязвимости веб-приложений (XSS, Injection, etc)

Разместить вредоносный контент


Как от веб уязвимостей страдают пользователи?

• Кража cookies

• Сбор паролей и прочих данных через подложные формы

• Заражение вредоносным ПО (боты, трояны и тд)


Методы монетизации ботнетов

• Кража данных и учетных записей

– кредитные карты

– онлайн –банкинг

– FTP

– социальные сети

– электронная почта

• Click Fraud и перехват поискового трафика

– партнерские программы

• знакомства / adult

• легальные системы – оплата трафика

• Установка программ (pay per install)

– FAKEAV – ложные антивирусы

– SMS-вымогатели

• Распределенные вычисления

– распознаватель CAPTCHA

дальнейшее распространение

вредоносного ПО

продажа или вывод средств


Пример монетизации:Pay per install

Image © Trend Micro


Пример монетизации:Search poisoning

Image © Trend Micro


ЗАЩИТА WEB-ПРИЛОЖЕНИЙ

Classification 7/9/2010 11


Защита веб-приложений

• Обнаружение–Сканеры безопасности

• Защита–Web Application Firewall

• Предотвращение–SDLC-стандарты

12


Web Application Firewall Evaluation Criteria

Copyright © 2005,2006 Web Application Security Consortium (http://www.webappsec.org)

– Section 1 - Deployment Architecture

– Section 2 - HTTP and HTML Support

– Section 3 - Detection Techniques

– Section 4 - Protection Techniques

– Section 5 - Logging

– Section 6 - Reporting

– Section 7 - Management

– Section 8 - Performance

– Section 9 – XML

13

http://www.webappsec.org/


Trend Micro Deep Security –защита web-приложений

• Защищает от ключевых уязвимостей:– XSS

– SQL Injection

• Закрывает уязвимости

– До выпуска исправления

– Вместо исправления кода

• Программное решение

– Меньшая стоимость(закупки и последующая) в в в в сравнении с аппаратными решениями

14


Trend Micro Deep Security Защита web-приложений в действии

15 © Third Brigade, Inc.

С помощью IBM Rational AppScan просканировано

web-приложение созданное на Microsoft.NET

• выполнено 5 428 теста

без защиты защита Deep Security


ЗАЩИТА ПОЛЬЗОВАТЕЛЕЙ

16


Как защитить пользователей

• Антивирус? – может защитить только от установки ПО

• Не защищает от кражи данных

– количество образцов постоянно растет

– сигнатурный метод – не панацея

– реактивные меры

• Черные списки?

• Защита от XSS на клиенте?

17


Черные списки в браузерах?

18

• Кнопка «Продолжить все равно»

• Неполные списки


NoScript?

19

• Плюсы

• Контроль запуска плагинов (Flash, PDF) с недоверенных сайтов

• Фильтрует XSS

• Минусы

• Снижает удобство

• Требует небольшой квалификации

• Только для Firefox

• Обходится социальной инженерией


Как защитить пользователей?

20

• Минимизировать последствия

• Самый большой вред – установка ПО

• Предотвратить заражение = запретить доступ к URL загрузчика

• система должна быть очень динамичной

• должна блокировать доступ только к зараженным частям сайтов (а не всему домену)


Как построить динамичную и эффективную систему?

21

• Постоянный анализ

• Спам (ссылки)

• Автоматизированный анализ сайтов

• Honeypots

• Реверс-инжиниринг ботов, троянов и вирусов

• Корреляция полученных данных

• Динамическое пополнение баз репутации

• Принудительная защита


Релизация подхода в Trend Micro Smart Protection Network

Анализ угрозTrendLabsIP

Репутация почты

URL

Веб репутация

Файлы

Файловая репутация

Корреляция

Сбор информации

об угрозах• Спам-сообщения

• Honeypots

• Web-crawlers

• Схемы обратной связи

• Клиенты

• Партнеры

• Исследования TrendLabs

•5 млрд. запросов URL в день

•5 центров обработки данных (США, Европа, Ближний Восток, Африка, АТР)

•1000 рабочих серверов


Что дает реверс-инжиниринг?

23

• Дроп-зоны

• Центры управления

• Сервера обновлений и распространения

• Базы данных мулов

• Сайты партнерских программ с дистрибутивами для pay per install


Клиентская машина

Как происходит защита клиентов

24

Приложение /

Браузер

Сервис

прокси

База

репутацииВеб сайт

Желаемое соединение

Реальное соединение

Получение репутации URL

Keep alive

Если разрешено политикой, установка сессии


Принудительная защита

25

• Защищаются все соединения, а не только запросы из браузера

• Нет кнопки «продолжить все равно»


Заключение

26

• Большинство веб-приложений уязвимы

• SDLC

• сканеры

• Web application firewall

• Для защиты пользователей нужен комплексный подход:

• Система репутации, подобная Smart Protection Network

• Принудильная блокировка доступа


Вопросы? Комментарии?

27

[email protected]

http://trendmicro.com/

Спасибо!

mailto:[email protected]







risspa 16 app-sec_d.bezkorovayny_trendmicro

Technology

trend micro classification

url copyright

install copyright

benjamins copyright

xss sql injection copyright

pdf xss firefox copyright

logging section

performance section