Анализ защищенности интернет-проектов
DESCRIPTION
TRANSCRIPT
Анализ защищенности интернет-проектов
Дмитрий Евтеев (Positive Technologies) Web Application Security Consortium (WASC) Contributor
Хакеры сфокусировали свое внимание на веб-сервисах
– 75% всех атак направлено на уровень Web-приложений (Gartner)
– 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS)
Большинство веб-приложений уязвимы
– 90% сайтов являются уязвимыми (Watchfire)
– 78% уязвимых Web-приложений могут быть легко атакованы (Symantec)
– 80% организаций в 2010 году столкнутся хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner)
Согласно последним данным аналитиков IBM 75% атак приходиться на Web-приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.
IBM X-Force 2009 Trend and Risk Report: http://www.servicemanagementcenter.com/main/pages/IBMRBMS/SMRC/ShowCollateral.aspx?oid=74711
Динамика обнаруженных уязвимостей в веб-приложениях с 1998 года
По данным компании Positive Technologies за 2009 год
– 79% сайтов содержат критические уязвимости
– 58% сайтов содержат уязвимости средней степени риска
– вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом при использовании некоторых уязвимостей достигает 100%
http://ptsecurity.ru/analytics.asp
Данные основываются на проведении 6239 автоматических сканирований, детальном анализе 77 Web-приложений, преимущественно с использованием методики «черного-ящика».
Уязвимости веб-приложений
Вероятность обнаружения уязвимостей различной степени риска (по данным за 2009 год) http://ptsecurity.ru/analytics.asp
Уязвимости веб-приложений
Классификация уязвимостей в web-приложениях
Web Application Security Consortium WASC-TCv2 / OWASP Top 10
CWE/SANS Top 25 Most Dangerous Programming Errors 2010
Threat Classification References Mapping Proposal
http://projects.webappsec.org/Threat%20Classification%20References%20Mapping%20Proposal
http://projects.webappsec.org/Threat-Classificationhttp://www.owasp.org/index.php/Category:OWASP_Top_Ten_Projecthttp://cwe.mitre.org/top25/archive/2010/2010_cwe_sans_top25.pdf
22%
38%
21%
38%
49%
27%
0% 10% 20% 30% 40% 50% 60%
Подбор
Уязвимые конфигурации сервера
Предсказуемое расположение ресурсов
Утечка информации
Внедрение операторов SQL
Межсайтовое выполнение сценариев
Наиболее часто встречающиеся уязвимости веб-приложений при проведении анализа методом «черного ящика» (данные за 2009 год, http://ptsecurity.ru/analytics.asp)
Наиболее часто встречающиеся уязвимости
"Лаборатория Касперского" предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки
ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web-сайтов, зараженных одним и тем же интернет-червем
Распределение критических уязвимостей по инфицированным сайтам (по данным Positive Technologies за 2009 год) http://ptsecurity.ru/analytics.asp
Массовые заражения интернет-ресурсов
Подходы по снижению угроз
Директивный подход (Directive)
• Software Development Life Cycle (SDLC), «бумажная безопасность», выстраивание высокоуровневых процессов
Детективный подход (Detective)
• Тестирование функций (black/white-box), фаззинг (fuzzing), статический/динамический/ручной анализ исходного кода
Профилактический подход (Preventive)
• Intrusion Detection/Prevention Systems (IDS/IPS), Web Application Firewall (WAF)
Корректирующий подход (Corrective)
• Ведение журналов событий, обработка инцидентов
Подход к восстановлению (Recovery)
• Резервное копирование, стратегия обеспечения непрерывности бизнес-процессов (BS25999)
Способы обнаружения уязвимостей
Тестирование функций
• Метод «черного ящика» (black-box)
• Метод «серого ящика» (gray-box)
• Метод «белого ящика» (white-box)
Фаззинг (fuzzing)
Анализ исходного кода
• Статический анализ
• Динамический анализ
• Ручной анализ
Бинарный анализ приложения (binary analysis)
Что такое анализ веб-приложения методикой «черного ящика»?
Web-сервер
Рабочее место аудитора
Проверка 1
Проверка N
Найдена уязвимость
Уязвимость 1: подбор пароляImpact: доступ к приложению (с ограниченными привилегиями)
Уязвимость 2: внедрение операторов SQLImpact: только чтение файлов (включена опция magic quotes)
Уязвимость 3: выход за каталогImpact: только чтение файлов (потенциально LFI)
Уязвимость 4: предсказуемое значение идентификатора загружаемого файлаУязвимость 3 + Уязвимость 4 = Impact: выполнение команд на сервере
http://www.ptsecurity.ru/maxpatrol.asp
Пример автоматизированного тестирования функций методом «черного ящика»
Сканирование с использованием MaxPatrol
Более 40% паролей можно взломать из-за простоты
Статистика по паролям низкой стойкости у администраторов:
Данные основываются на анализе более чем 185 тысяч паролей пользователей (http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf).
Статистика используемых паролей в России
Что такое анализ веб-приложения методикой «белого ящика»?
Web-сервер
Рабочее место аудитора
Проверка 1
Уязвимости на первом этапе: внедрение операторов SQL, межсайтовое выполнение сценариев, различные варианты утечки информации и пр.
Уязвимости на втором этапе: логические уязвимости, предсказуемое значение идентификатора сессии, подделка HTTP-запросов и пр.
Уязвимости на других этапах: небезопасные конфигурации, уровень соответствия архитектуры приложения отраслевым стандартам и пр.
Проверка N
Найдены уязвимости
Найдены недостатки
Распределение узлов по максимальному уровню уязвимости (% сайтов по данным за 2009 год) http://ptsecurity.ru/analytics.asp
Уязвимости веб-приложений
Анализ исходного кода web-приложения
Статический анализ
• Минусы
Ошибки первого рода (false negative — «ненайденные уязвимости») при использовании статического анализа возникают в силу следующих причин:
• при программировании web-приложения используется сложный синтаксис;
• проверки переменных происходят с использованием собственных функций приложения;
• отсутствуют соответствующие сигнатуры.
В силу фундаментальных ограничений сигнатурного поиска возникает множество ошибок второго рода (false positive — «ложные сообщения об уязвимостях»).
• Плюсы
Простота в реализации.
Наиболее известные разработчики коммерческих продуктов
Armorize Technologies, Fortify, Ounce Labs
Анализ исходного кода web-приложения
Динамический анализ
• Минусы
Присущи те же недостатки, что и сканерам безопасности. Например, невозможно выявить уязвимости «Небезопасное восстановление паролей», «Отсутствие тайм-аута сессии», «Логические атаки» и пр.
Сложность в реализации.
• Плюсы
Наиболее качественная оценка исходного кода.
Наиболее известные разработчики коммерческих продуктов
Coverity, Valgrind, Fortify PTA
Уязвимости веб-приложений
Распределение уязвимостей согласно классам WASC WSTCv2 (обобщенные результаты по данным Positive Technologies за 2009 год) http://ptsecurity.ru/analytics.asp
Критические уязвимости можно встретить даже на широко известных и крупных интернет-ресурсах
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
РАБОЧИЕ СТАНЦИИ
ГОЛОВНОЙ ОФИС
ФИЛИАЛРАБОЧИЕ СТАНЦИИ
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
WEB-СЕРВЕР
Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
РАБОЧИЕ СТАНЦИИ
ГОЛОВНОЙ ОФИС
ФИЛИАЛРАБОЧИЕ СТАНЦИИ
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
MP SERVER
Рабочее место
аудитора
WEB-СЕРВЕР
ПОДОБРАН ПАРОЛЬ
ПРОВЕДЕНИЕ ПРОВЕРОК
ПРОВЕДЕНИЕ ПРОВЕРОК
Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
Сканирование сети
Успешно подобран пароль!– Эксплуатация SQL Injection– Выполнение команд на
сервере– Повышение привилегий– Атака на внутренние ресурсы
Сканирование сети
Успешно подобран пароль!– Эксплуатация SQL Injection– Выполнение команд на
сервере– Повышение привилегий– Атака на внутренние ресурсы
Внутренний пентест– Установка сканера MaxPatrol– Поиск уязвимостей– Эксплуатация уязвимостей
Перемещение в ИС ЦО– Проведение атаки на ресурсы
ЦО
Получение максимальных привилегий во всей сети!
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
РАБОЧИЕ СТАНЦИИ
ГОЛОВНОЙ ОФИС
ФИЛИАЛРАБОЧИЕ СТАНЦИИ
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
MP SERVER
Рабочее место
аудитора
WEB-СЕРВЕР
ПОДОБРАН ПАРОЛЬ
ПРОВЕДЕНИЕ ПРОВЕРОК
ПРОВЕДЕНИЕ ПРОВЕРОК
Внутренний пентест/аудит по результатам пентеста
Внутренний пентест/аудит по результатам пентеста
Как безопасность Web-приложения может поставить под угрозу безопасность всей сети?
Концепция безопасного интернет-проекта
Уязвимость не является свойством интернет-проекта!
Безопасность должна быть разумной
Безопасность должна быть комплексной
Безопасность – это непрерывный процесс
• Из чего складывается защищенность веб-ресурса?
Процесс разработки Web-приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения)
Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации (CIS, etc) Обеспечение доступности
Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP)
Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)
Концепция безопасного интернет-проекта
Positive Technologies
7 лет работы в области информационной безопасности
Основные направления деятельности:• разработка одного из лучших сетевых сканеров XSpider;• разработка уникального продукта - системы контроля защищенности и
соответствия стандартам MaxPatrol;• предоставление консалтинговых и сервисных услуг в области
информационной безопасности; • развитие специализированного портала Securitylab.
Positive Technologies – лаборатория безопасности• постоянный мониторинг новых уязвимостей;• внутренняя система описания уязвимостей;• одна из наиболее профессиональных команд в Европе;• MaxPatrol – ежедневные обновления.
