Date post: | 28-Jan-2016 |
Category: |
Documents |
Upload: | nicolae-dorel-constantinescu |
View: | 55 times |
Download: | 3 times |
Securitatea aplicaţiilor web
cu accent pe aspecte practice
Cursul 1
Structura cursului1. Securitatea în lumea contemporană. Securitatea informaţiilor, securitatea informatică, securitatea aplicaţiilor web2. Tehnologiile aplicaţiilor web 3. Principiile de securitate a aplicaţiilor web. Autentificare, autorizare, managementul sesiunilor, principii de securitate browser 4. Securitatea bazelor de date 5. Securitatea fisierelor6. Dezvoltarea şi instalarea de aplicaţii sigure7. Detectarea vulnerabilităţilor prin inspectarea codului sursă si folosind unelte specifice8. Structura unui atac asupra unui site web. Căi de atac, modalităţi de răspuns
Cursul 1
Structura laboratoarelor si proiectului 2 sesiuni cu titlu de Laborator1. Funcţionarea unei aplicaţii web, obiectivele şi
anatomia unui atac. Clase de vulnerabilităţi, identificarea şi corectarea acestora în codul sursă (white box)
2. Unelte de analiză (black box). Intocmirea raportului de audit
2 sesiuni cu titlu de Proiect1. Prezentarea aplicaţiei de test, a cerinţelor şi
modalităţii de lucru2. Sesiune de întrebări şi răspunsuri
Cursul 1
Evaluare
20% teste fulger (pe parcurs) 30% test final 50% proiect
Cursul 1
Cursul 1
Securitatea în lumea contemporană. Securitatea informaţiilor, securitatea
informatică, securitatea aplicaţiilor web
Cursul 1
Agenda Securitatea in lumea contemporana Securitatea informatiei. Coordonate Securitatea aplicatiilor web
Viziunea simplista a inceputurilor WWW asupra securitatii
Tipul de dezvoltare a web-ului si consecintele asupra securitatii
Functionarea web-ului si surse de insecuritate
Cursul 1
Securitatea in lumea contemporana Ce este securitatea? (cu cuvintele noastre) De ce avem nevoie de securitate? Unde avem nevoie de securitate? Este securitatea un domeniu nou? Este securitatea un domeniu foarte dinamic?
Cursul 1
Securitatea in lumea contemporana (2) In lumea contemporana, tehnologia este
omniprezenta. “Pentru a-şi atinge obiectivele de
securitate, Europa (si lumea in general) trebuie să profite de posibilităţile sale tehnologice.”
“Tehnologia de una singură nu poate garanta securitatea, dar fără suportul tehnologiei securitatea nu se poate realiza.”
Cursul 1
Information security, information assurance sau cyber-security
Informatia in zilele noastre “traieste” cel mai adesea electronic iar securitatea informatiei este direct legata de securitatea informatica
In sens complet, securitatea informatiei implica si alte aspecte, de exemplu securitatea fizica a sistemelor sau securitatea informatiei scrise pe hartie, retinute in memoria angajatilor etc.
Securitatea informatiei
Cursul 1
Securitatea informatiei – scop sau mijloc?
Securitatea informatiei intr-o organizatie reprezinta un nivel intermediar intre securitatea tehnologiilor utilizate si securitatea strategica
Securitatea nu e o stare, ci se realizeaza printr-un proces continuu
Cadrul legal exista si este menit sa ne protejeze si sa responsabilizeze
Aliante profesionalePerfectionare profesionala, cursuriEtc...
Securitatea retelelorDetectarea intruziuniiSecuritatea aplicatiilor webSoftware antivirus
CriptografieInfrastructuri de chei publiceEtc...
Integritate, confidentialitate, autenticitate, disponibilitate, non-repudiere Respectarea standardelor
Managementul riscurilorContinuitatea afacerii/Planificarea pt. dezastruEtc...
Terorism, cyber-crimeDezastre naturaleSpionajStrategii, politici, jurisprudenta
Modelul ierarhic al securitatii unei organizatii, din punct de vedere informational
Cursul 1
Cele mai des întâlnite infracţiuni informatice în România1. Phishing (clonarea de website-uri şi trimiterea de link-uri)2. Licitaţii fictive pe site-uri de comerţ electronic3. Compromiterea conturilor de utilizator pe site-uri de comerţ electronic, ale unor insitituţii financiare ori reţele de socializare4. Acces neautorizat în sisteme informatice şi utilizareafrauduloasă a datelor confidenţiale obţinute5. Compromiterea bancomatelor şi facilitarea copierii de date deidentificare de pe benzile mgnetice ale cardurilor bancare6. Falsificarea instrumentelor de plată electronică
Observatie: Majoritatea au legatura directa cu site-urile sau aplicatiile web
Cursul 1
Situaţia fenomenului criminalităţii informatice în România 2011 Cauze penale soluţionate - 873 (cu
62,87% mai mult decât în 2010) Cauze finalizate cu trimitere în judecată - 133 (cu
29,13% mai mult decât în 2010) Număr inculpaţi - 333 Număr inculpaţi în arest preventiv - 105
Sursa: DIICOT, www.diicot.ro
Cursul 1
LEGISLAŢIA ROMÂNEASCĂ PRIVIND NOILE TEHNOLOGIIReprezintă o implementare la nivel naţional a aquis-ului comunitar, dar, în mare parte, se rezumă la o traducere ad literam a prevederilor europeneAspecte pozitive• similitudinea cu directivele sau convenţiile europene• uşurinţa interpretării/comparării cu actele normative din alte state• facilitarea cooperării internaţionale în combaterea criminalităţii informaticeAspecte negative• lipsă de coordonare (ajustare) între actul normativ emis şi restul legislaţiei în vigoare – ceea ce duce adesea la contradicţii / neclarităţi• (uneori) se remarcă dificultăţi în punerea în practică a dispoziţiilor, ţinând cont de noutatea şi tehnicitatea noilor prevederi
Cursul 1
LEGISLAŢIA ROMÂNEASCĂ PRIVIND NOILE TEHNOLOGIICele mai importante (semnificative) definiţii sunt cuprinse în
Legea 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, TITLUL III – prevenirea şi combaterea criminalităţii informaticeLegea 365/2002 a comerţului electronicLegea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilorLegea 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice decomunicaţii
Cursul 1
INFRACŢIUNI CUPRINSE ÎN LEGEA 161/2003Infracţiuni contra confidenţialităţii şi integrităţii datelor şi sistemelor informatice
• Accesul ilegal la un sistem informatic
• Interceptarea ilegală a unei transmisii de date informatice
• Alterarea integrităţii datelor informatice
• Perturbarea funcţionării sistemelor informatice
• Operaţiuni ilegale cu dispozitive sau programe informatice
Infracţiuni informatice
• Falsul informatic
• Frauda informatică
Pornografia infantilă prin intermediul sistemelor informatice
Constituie infractiune si se pedepseste cu inchisoare de la 1 la 6 ani detinerea de echipamente sau programe informatice in scopul savarsirii vreuneia dintre faptele de mai sus.
Cursul 1
Alte infractiuni cuprinse in legea 161 / 2003 ART. 48
Fapta de a introduce, modifica sau sterge, fara drept, date informatice ori de a restrictiona, fara drept, accesul la aceste date, rezultand date necorespunzatoare adevarului, in scopul de a fi utilizate in vederea producerii unei consecinte juridice, constituie infractiune si se pedepseste cu inchisoare de la 2 la 7 ani.
ART. 49Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau stergerea de date informatice, prin restrictionarea accesului la aceste date ori prin impiedicarea in orice mod a functionarii unui sistem informatic, in scopul de a obtine un beneficiu material pentru sine sau pentru altul, constituie infractiune si se pedepseste cu inchisoare de la 3 la 12 ani.
Si tentativa se pedepseste.
Cursul 1
Nu este considerat acces ilegalNu este considerat acces ilegal• transmiterea de fişiere sau de mesaje email• accesarea unei hiperconexiuni (link)• accesul unei pagini web• utilizarea de aplicaţii ajutătoare (cookies) sau care folosesc pentru asigurarea unei comunicaţii mai bune (şi care nu sunt rejectate de către ţintă)
Se consideră a fi acces autorizat (legal):
• accesul permis de utilizatorul de drept sau de proprietar• accesul în scopul asigurării securităţii sau pentru teste (iniţial autorizate)
Cursul 1
Securitatea aplicatiilor web WWW – World Wide Web nu a fost de la
inceput gandit ca un mediu care sa permita protejarea informatiei
Aspectele simplitate si functionalitate imediata au fost primordiale
WWW este denumirea primului browser creat de Tim Berners-Lee si Dan Connolly, capabil sa parseze HTML si sa comunice prin HTTP – fundamental nesigure
Cursul 1
Viziunea simplista a inceputurilor WWW asupra securitatii 1945 – Memex 1960 – GML 1980 – SGML 1991 – WWW: HTML + HTTP 1993 – Mosaic, apoi Mosaic Netscape (ulterior
Netscape Navigator) si SpyGlass Mosaic (ulterior Internet Explorer); Opera; Lynx, w3m
1994 – infiintarea World Wide Web Consortium (W3C)
1996 – Internet Explorer 2003 – Safari 2004 – Mozilla Firefox 2008 – Google Chrome
Cursul 1
Tipul de dezvoltare al WWW Puternic competitiv Rapid Adesea supra-politizat si dezordonat Fara viziune unificatoare Fara un set unificat de principii de securitate Surse de probleme:
majoritatea utilizatorilor nu sunt specialisti in informatica, din contra
Internetul este un mediu distribuit si deschis lipsa unei viziuni convergente interactiunea browser-ului cu restul sistemului perimarea diviziunii client - server
Cursul 1
Tipul de dezvoltare al WWW
Cotele de piata ale principalelor browsere web, decembrie 2012 (sursa http://www.w3counter.com/ )
Cursul 1
Sondaj Sunteti familiarizati cu HTML? Ati dezvoltat vreodata aplicatii folosind:
Apache? PHP? Python? SQL? JavaScript? CSS? HTML5? Ajax? JSON?
Vizitati: http://www.w3schools.com/
Scopurile securitatii web
Navigarea sigura pe Internet Utilizatorii trebuie sa poata vizita diferite site-uri
web, fara a intampina consecite negative precum: Informatie furata (preluata fara permisiunea
utilizatorului) Site-ul A nu trebuie sa poata compromite o sesiune a
Site-ului B Aplicatii web sigure
Aplicatiile oferite pe internet trebuie sa indeplineasca aceleasi caracteristici de securitate cerute pentru aplicatiile standalone
Alte idei?
Cursul 1
Cum functioneaza aplicatiile web
Cursul 1
Atacator retea
Intercepteaza si controleaza comunicatia in reteaAlice
Sistem
Securitatea retelei
Cursul 1
Atacator web
Controleaza un site de rea
credinta vizitat de victima; fara
control asupra retelei
Alice
Sistem
Securitatea web
Cursul 1
Exemplu de atac
Cursul 1
Atacator web Controleaza atac.com Poate obtine certificare SSL/TLS pentru atac.com Utilizatorul viziteaza atac.com
sau: ruleaza o aplicatie Facebook sau mobile a atacatorului
Atacatorul retea Pasiv: Ascultare trafic wireless Activ: Router compromis, DNS poisoning
Atacator Malware Atacatorul escaladeaza mecanismele de izolare
in browser si ruleaza cod in cadrul OS
Modele de amenintari web
Cursul 1
Atacator Malware
• Browser-ele (ca orice aplicatii software) contin defecte (bug-uri) ce rezulta in vulnerabilitati exploatabile– Pot permite executarea de cod de la distanta de
catre site-uri– Studiu Google: “The ghost in the browser”
• Troieni identificati pe 300,000 pagini web (URLs)• Adware pe 18,000 pagini web (URLs)
• Chiar si daca browserele nu ar avea bug-uri, exista vulnerabilitati de care pot suferi aplicatiile web:– Toate vulnerabilitatile pe care le vom trata in acest
curs: XSS, SQLi, CSRF, …
Cursul 1
http://www.google.com/search?btnI&q=allinurl:http://www.yahoo.com/
http://www.chevron.com/media/VideoPlayer.aspx?videoid=WeAgreeGrowth%22%20onmouseover=alert%28%22Aceasta-este-o-vulnerabilitate-XSS%22%29%20a=%22
Daca vi se pare interesant, reveniti si la cursul urmator
Se intampla si la case mari
Cursul 1
Desi in bara de adresa am scris un link incepand cu http://www.google.com/...
Cursul 1
O mica joaca cu parametrii pe site-ul Chevron – no harm done