Безопасность лекция 1 весна 2014
-
Upload
technopark -
Category
Education
-
view
302 -
download
2
Transcript of Безопасность лекция 1 весна 2014
![Page 1: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/1.jpg)
Безопасность интернет-приложений
Лекция 1, «Риски и угрозы»Рабоволюк Ярослав
![Page 2: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/2.jpg)
2
Программа курса
10 лекций 3 домашних задания 3 семинара экзамен
![Page 3: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/3.jpg)
3
Интернет – враждебная среда
«Тот, кто еще до сражения определяет в храме предков, что одержитпобеду, находит, что большинство обстоятельств в его пользу. Тот, ктоеще до сражения определяет в храме предков, что не одержит победу,находит немного обстоятельств в свою пользу»
Сун Цзы
![Page 4: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/4.jpg)
4
Краткая история
Интеграция js в браузерыApache, Mysql, php, asp
1995-96
Зарождение WWW
1989-92
MySQL 3.23, jsp
1995-2000
UNIX, tcp/ip
1969-70
![Page 5: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/5.jpg)
5
Краткая история
Основные мотивы:
- Интерес- Слава- Деньги
![Page 6: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/6.jpg)
6
Краткая история
«Так, умение поднять осенний лист не может считаться большой силой;способность видеть луну и солнце не может считаться острым зрением;способность слышать звук грома не может считаться тонким слухом.»
Сун Цзы
![Page 7: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/7.jpg)
7
Наше время
Основные мотивы, наши дни:
- Деньги- Деньги- Деньги
![Page 8: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/8.jpg)
8
Наше время
“ethical hackers”
«Если войска противника подняты и приближаются к нашим силам толькодля того, чтобы занять позиции и не вступать в битву, за ними нужновнимательно наблюдать.»
Сун Цзы
![Page 9: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/9.jpg)
9
Наше время
Script kiddies
«Применение огневых атак зависит от соответствующих условий.Оснащение для огневых атак нужно полностью приготвить до того, каконо потребуется.»
Сун Цзы
![Page 10: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/10.jpg)
10
Наше время
Pro job
«Поэтому из всех дел в трех армиях нет более близких, чем сошпионами; нет наград более щедрых, чем даваемые шпионам; нет делболее секретных, чем касающиеся шпионов.»
Сун Цзы
![Page 11: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/11.jpg)
11
Наше время
Anonymous
![Page 12: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/12.jpg)
12
Наше время
Goverment
![Page 13: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/13.jpg)
13
Наше время
Bots
![Page 14: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/14.jpg)
14
Рынок киберкрайма
White hats
- Исследования в области ИБ- reward-программы, bounty hunting- Тестирование на проникновение
![Page 15: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/15.jpg)
15
Рынок киберкрайма
Reward programsCompany profit
ZDI ~$2500+
Facebook $500+
Google csrf - $500, rce - $20000
PayPal sqlinj - $3000
Bounty programs list: http://goo.gl/gEFJ4
![Page 16: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/16.jpg)
16
Рынок киберкрайма
Black hats
- Исследования в области ИБ- reward-программы, bounty hunting- Разработка и продажа эксплойтов- Кража аккаунтов- Кража/использование данных- Ботнет- Ифрейм-траффик- Спам, партнерки- Кардинг- «конкурентная разведка»- Кража виртуальных артефактов
![Page 17: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/17.jpg)
17
Рынок киберкрайма
Сценарий: сайт взломан
site
Dump all data, leave
Inject code, leave
Hide and wait
Resell access
![Page 18: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/18.jpg)
18
Рынок киберкрайма
пользователи
- 90% - низкий уровень знаний - Избегают сложностей- Склонны доверять знакомой среде
![Page 19: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/19.jpg)
19
Рынок киберкрайма
Цель: аккаунт пользователя
USER
Hacked site
Bruteforced accs
Reused accs
Phishing
Trojan
Social engineering
![Page 20: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/20.jpg)
20
Рынок киберкрайма
Phishing
![Page 21: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/21.jpg)
21
Рынок киберкрайма
Сценарий: аккаунт взломан
Социальный спам
Перс. данные
Платежные данные
«виртуальная собственность»
USER
![Page 22: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/22.jpg)
22
Модель угроз
Интернет-магазин
- Продажа шин- Форма заказов: ввод имени, телефона, адреса- Возможность зарегистрироваться- Платежный инструмент: наличные, выставление
счета, прием оплаты по карте- Статистика по заказам
![Page 23: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/23.jpg)
23
Модель угроз
Интернет-магазин
обьекты
сервер
заказы
пользователи
Платежные инструменты
сайт
злоумышленник
![Page 24: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/24.jpg)
24
Модель угроз
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
- конкурент- хакер- бот
сайт
Интернет-магазин
![Page 25: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/25.jpg)
25
Модель угроз
Интернет-магазин
обьекты
сервер
заказы
пользователи
Платежные инструменты
злоумышленник
нарушение работы
кража денег
получение доступа
перехват заказов
- конкурент- хакер- бот
сайт
![Page 26: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/26.jpg)
26
Модель угроз
Интернет-магазин
нарушение работы
серверСайт: форма заказов
конкурент
![Page 27: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/27.jpg)
27
Модель угроз
Интернет-магазин
нарушение работы
серверСайт: форма заказов
CaptchaIp blacklist
Облакопровайдер
конкурент
![Page 28: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/28.jpg)
28
Модель угроз
Интернет-магазин
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
хакер
![Page 29: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/29.jpg)
29
Модель угроз
Интернет-магазин
кража денег
Платежные инструменты: данные карт
Платежные инструменты:
счета
Отправка формы платежа по email НЕ процессить карты
хакер
![Page 30: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/30.jpg)
30
Модель угроз
Интернет-магазин
Получение доступа
серверсайт
Хакер, бот
![Page 31: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/31.jpg)
31
Модель угроз
Интернет-магазин
Получение доступа
серверсайт
Поддержка обновлений П.О.Security review кодаОграничения аутентификацииwaf, ips
Поддержка обновлений сервераНе использовать shared hostingОграничения аутентификации
Хакер, бот
![Page 32: Безопасность лекция 1 весна 2014](https://reader036.fdocuments.net/reader036/viewer/2022062514/557c9067d8b42a6c788b4c00/html5/thumbnails/32.jpg)
32
Модель угроз
Домашнее задание: image hosting
- Регистрации нет.- Форма ввода url либо загрузки файла- Возвращает короткую ссылку на изображение и
html-код для вставки.