Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Максим Фролов менеджер по интернет-решениям ЗАО Лаборатория Касперского Семинар 1С-Битрикс, 9 апреля 2009 г., Москва

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Классификация угроз для web-ресурсов Технологии атак и методы защиты План

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Прибыльность Прибыльность Простота исполнения (техническая и моральная) Простота исполнения (техническая и моральная) Низкий уровень риска Низкий уровень риска Появление новых сервисов, которые выгодно атаковать Появление новых сервисов, которые выгодно атаковать Информационные войны Информационные войны Современные web-уязвимости и угрозы для web-ресурсов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Прибыльность Прибыльность Способы получения денег: Кража финансовой и персональной информации с целью перепродажи/обналичивания Кража финансовой и персональной информации с целью перепродажи/обналичивания Шантаж заражённых жертв Шантаж заражённых жертв Криминальные коммерческие услуги Криминальные коммерческие услуги Организация DDoS атак Организация DDoS атак Рассылки спама Рассылки спама Предоставление ботнетов в аренду Предоставление ботнетов в аренду Современные web-уязвимости и угрозы для web-ресурсов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Простота исполнения Простота исполнения Современные web-уязвимости и угрозы для web-ресурсов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Минимальный риск Минимальный риск Есть пробелы в законодательстве некоторых стран Правоохранительные органы действуют недостаточно оперативно Правоохранительные органы действуют недостаточно оперативно Жертвы редко сообщают в милицию о преступлениях Жертвы редко сообщают в милицию о преступлениях Незначительность ущерба – инциденты неинтересны милиции (несмотря на огромное количество преступлений) Незначительность ущерба – инциденты неинтересны милиции (несмотря на огромное количество преступлений) Интернациональность преступлений, отсутствие Интернет-Интерпола Интернациональность преступлений, отсутствие Интернет-Интерпола Современные web-уязвимости и угрозы для web-ресурсов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов Мы постоянно совершенствуем свой мир…

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов …но внимание защите уделяем недостаточно… Мы постоянно совершенствуем свой мир…

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов …даже в самых передовых отраслях… …но внимание защите уделяем недостаточно… Мы постоянно совершенствуем свой мир…

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Киберпреступность. Причины существования Появление новых сервисов Появление новых сервисов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Информационные войны Информационные войны Обмен кибератаками по политическим мотивам Обмен кибератаками по политическим мотивам Современные web-уязвимости и угрозы для web-ресурсов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Киберпреступность. Причины существования Прибыльность Прибыльность Простота исполнения (техническая и моральная) Простота исполнения (техническая и моральная) Низкий уровень риска Низкий уровень риска Появление новых сервисов, которые выгодно атаковать Появление новых сервисов, которые выгодно атаковать Информационные войны Информационные войны Современные web-уязвимости и угрозы для web-ресурсов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Вывод из строя Несанкционированный доступ Воровство информации Использование ресурсов Транспорт для распространения зловредов Классификация угроз для web-ресурсов

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Вывод web-ресурса из строя DDoS Distributed Denial of Service распределённый отказ в обслуживании Методы противодействия Предотвращение Фильтрация Устранение уязвимостей Наращивание ресурсов Рассредоточение ресурсов Уклонение Активные ответные меры

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Воровство информации Регистрационные данные пользователей Коммерческая информация Конфиденциальная информация

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Использование технических ресурсов сервера Рассылка вирусов и спама Производство DoS-атак Сдача вычислительных мощностей и доступа к серверу в аренду Использование в качестве подставного сервера для злоумышленных операций DoS

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Несанкционированный доступ к web-ресурсу Транспорт для распространения зловредов Под прицелом Популярные сайты Блоги, Форумы Социальные сети iframe

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Воровство паролей администратора SQL injection Уязвимости в софте web-сайта php injection Технологии атак и методы защиты

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Методики атак простой подбор заражение ПК администратора несанкционированный доступ к базе сайта Технологии атак и методы защиты Методики защиты сложный пароль защита ПК администратора аудит безопасности движка сайта, мониторинг действий с базой Воровство паролей к серверу

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты SQL-инъекция Угроза: Возможность выполнить произвольный запрос к БД сайта! Причина: Некорректная обработка входных параметров Метод борьбы: Устранение уязвимости на этапе разработки софта сайта http-запрос SQL-запрос данныеhttp-страница SQLвыполнение команды

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Современные web-уязвимости и угрозы для web-ресурсов Технологии атак и методы защиты Уязвимости в софте web-сайта Угроза: Возможность выполнить произвольную команду на сервере Причина: Недостаточная безопасность софта сайта Метод борьбы: Устранение уязвимости на этапе разработки софта сайта http-запрос PHP-команда данныеhttp-страница PHPвыполнение команды

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Итоги Киберпреступность существует потому что она прибыльна, проста и малорискованна Для заражения ПК достаточно одного клика Все новые сервисы в Web привлекают внимание злоумышленников, которые активно используют их уязвимости Задача каждого пользователя и владельца сайта – не только защитить свои данные от кражи и порчи но и не допустить использование своих ресурсов злоумышленниками во вред другим пользователям

Семинар 1С-Битрикс, 9 апреля 2009 г. Москва Спасибо за внимание! Максим Фролов Менеджер по интернет-решениям ЗАО Лаборатория Касперского