БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ. СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место. - презентация

1 БЕЗОПАСНОСТЬ ИНТЕРНЕТ-ПРОЕКТОВ

2 СТАТИСТИКА WASC: Кого чаще атакуют? 1 место – правительственные сайты 2 место – сайты, посвящённые образованию 3 место – медиа-сайты и магазины данные из отчёта Breach и WASC за 2007 год

3 Конфиденциальность - данные доступны только тем людям, для которых они предназначены Целостность - данные и системные ресурсы изменяются только надлежащим способом и только надлежащими людьми Доступность - системы готовы к работе по требованию и обеспечивают приемлемую производительность БЕЗОПАСНОСТЬ КонфиденциальностьЦелостностьДоступность

4 ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ТЕХНИЧЕСКИЕ АСПЕКТЫ 1. Несовершенство протокола HTTP нет сохранения состояния, все данные, в том числе и данные авторизации передаются заново => появляется возможность подлога. 2. Взлом сайта открывает дорогу ко взлому самого сервера => веб-приложение - «лакомый кусок» для атакующего. 3. Необходимость оставлять неавторизованный доступ по крайней мере к главной странице сайта.

5 ПРИЧИНЫ УЯЗВИМОСТИ САЙТОВ ЧЕЛОВЕЧЕСКИЙ ФАКТОР 1. Ошибки в исходном коде продукта 2. Небрежность системных администраторов: - нестойкие пароли - политика безопасности, идущая не от запретов. 3. Доступность и обилие информации по взлому сайтов.

6 Потенциальные угрозы Атака на серверное ПО получение доступа к серверу или отказ в обслуживании. Атака на систему управления- получение контроля над сайтом и дальнейший взлом сервера Атака на стороннее веб- приложение получение контроля над сайтом с последующим взломом сервера.

7 Минимальный – получение доступа к не конфиденциальной информации, к которой не санкционирован доступ, возможность создания косметических проблем и помех в работе проекта. Средний уровень – получение частичного доступа к конфиденциальной информации, частичный обход системы авторизации расширяющий полномочия. Высокий уровень – полный обход системы авторизации, получение неограниченного доступа к системе или приложению, возможность запуска несанкционированных приложений, возможность просмотра или подмены конфиденциальной информации. Каков риск?

8 Кто они? Скрипт-кидди (script-kiddie) – в основном, подростки лет. Взлом как самоутверждение. Используют уже готовые эксплоиты для атак. Неспособны сами что- либо сделать. Максимальный ущерб – дефейс страниц сайта. Любители-идеалисты («white hat») – как правило, студенты в возрасте года либо молодые специалисты. Взлом интересен как процесс. Часто сообщают о взломе и о найденных дырах. Пользы больше, чем вреда. Этическая сторона взлома важнее наживы. Вандалы («black hat») - тоже молодые специалисты либо студенты. Взлом ради нанесения вреда. Максимальный ущерб – от порчи данных до полного удаления страниц сайта/базы данных Профессионалы («grey hat») - опытные хакеры. Взлом интересует только с коммерческой точки зрения. Как правило, ломают на заказ. Ущерб максимальный: от разрушения сайта до кражи важной информации.

9 Что им нужно? 1. Коммерческая информация номера кредитных карт покупателей, пароли и номера кошельков с электронной валютой и т. п. 2. Личная информация номера паспортов, адреса, имена, телефоны. Предмет особой ценности адреса электронной почты. 3. Секретная информация финансовые отчёты, бизнес- планы, документы, письма, базы данных и т. п.

10 Как они это делают? 1. Бреши в серверном программном коде и в запросах к базе данных 2. Недостаточная фильтрация данных, поступающих от пользователя. 3. «Слабые» пароли (легко подобрать).

11 Не экономьте на безопасности! Взлом сайта чреват не только простоем и потерей покупателей (а значит, и денег), взлом это удар по имиджу компании!

12 Для защиты инфосреды веб-проекта необходимо использовать специальные средства мониторинга и моделирования атак Обязателен аудит кода веб-приложения. Желательно аудит поручать независимым компаниям Как защититься?

13 Разработка механизмов безопасности должна быть включена в весь цикл разработки приложения Определение потенциальных проблем. Моделирование угроз. Минимально необходимые привилегии Надежный код Отслеживание и сохранение действий пользователя Разумное использование криптографии Основные принципы безопасности

14 Моделирование угроз – изучение архитектуры приложения и его составных частей с целью обнаружения и устранения проблем безопасности Моделирование позволяет оперативно обнаружить и устранить возможные каналы атаки, а также непрерывно поддерживать должный уровень безопасности Моделирование угроз можно выполнять как вручную, так и с помощью специализированных средств – сканеров безопасности (Xspider, Tennable Nessus и им подобные) Моделирование угроз

15 Обеспечение безопасности информационной среды - задача сложная и ответственная. Для обеспечения более высокого уровня безопасности ваших интернет-проектов необходимо комплексно подойти к обеспечению безопасности Информационной среды и веб-приложений. Проще не допустить, чем восстановить! Своевременно устанавливайте обновления продуктов Проводите аудит безопасности у независимых компаний Проверяйте системные логи Подпишитесь на рассылку новостей безопасности

16 СПАСИБО ЗА ВНИМАНИЕ!