Desnudando a Anonymous: Defensa de Aplicativos web
April 2012
José Alejandro Guízar Senior Security Engineer [email protected]
Fuentes
2
Diferente Motivación
Hacking
Hacktivism • Hackeo originado y llevado a través de redes
sociales.
•De tintes políticos y/o descontento civil
• El reporte reciente “Verizon Data Breach report”
sostiene que el 58% de los registros robados en
el 2011 se debieron a Hacktivismo. En años
previos, esta cantidad era 0%.
3
• Hackeo por reputación, ganancias financieras,
estratégicas o militares. Grupos underground
sumamente furtivos que buscan no atraer
atención a sus actividades criminales.
•Una entrada de dinero para el crimen
organizado
Tipos de Atacantes
Hackers con talento — Éste grupo de personas tiene experiencia y habilidades reales de Hackeo, saben cómo atacar y explotar aplicaciones web.
Personas comunes y corrientes sin inclinación técnica — Este grupo puede ser bastante grande, desde un par de docenas hasta varios cientos. Bajo la dirección de los Hackers con experiencia, su rol es sólo participar en ataques DDoS mediante la descarga y uso de herramientas de software especializadas o customizadas, de “un sólo click”.
4
Anonymous
Percepcion
“[Anonymous es] el primer grupo de superconciencia basado en internet.”
— Opinión en un diario de USA
• Hacktivistas luchando por causas morales.
• El 99%.
Realidad
“Anonymous es un paraguas para que cualquiera pueda atacar a cualquier cosa por cualquier razón.”
—New York Times, 27 Feb 2012
Los objetivos incluyen los sitios de pornografía, los carteles de la droga mexicanos, Sony, agencias gubernamentales, bancos, iglesias, policía y Vladimir Putin. Cualquiera puede ser un objetivo.
Anonymous
Argentina
7
Brazil
8
Perú
9
Chile
10
Colombia
11
México
12
Republica Dominicana
- CONFIDENTIAL - 13
Anatomía de un Ataque de Anonymous: Método
- CONFIDENTIAL - 14
Fase 1: Reclutamiento
Fase 2: Estudio del Objetivo y
explotación de Vulnerabilidades.
Fase 3: DDoS
Fase 1a: Videos Inspiracionales
15
Fase 1b: Redes Sociales
16
Fase 2: Tipos de Ataques
17
0
500
1000
1500
2000
2500
3000
3500
4000
Day 19 Day 20 Day 21 Day 22 Day 23
#a
lert
s
Date
Directory Traversal
SQL injection
DDoS recon
XSS
SQLi
DT
XSS
Fase 3: DDoS Social vs DDoS Industrial
DDoS Aplicativo tradicional – requiere de un esfuerzo significativo por parte del hacker, comprando y/o construyendo herramientas de Control&Comando, descubrimiento de vulnerabilidades&exploits, y la adquisición de un botnet lo suficientemente grande para ejecutar el DDoS. Da la ventaja de que el hacker tiene el control y la discreción en el lanzamiento de cualquier ataque sin necesidad de depender en terceros.
DDoS de Hacktivismo – El DDoS, en su mayor parte, es ejecutado por simpatizantes de la causa que indica quien dirije el ataque, pero requiere que haya suficientes voluntarios antes de que pueda ser ejecutado. El único esfuerzo consiste en crear herramientas fáciles de usar (de “un click”) y ponerlas a disposición de los participantes.
18
For more: http://blog.imperva.com/2011/12/top-cyber-security-trends-for-2012-7.html
Fase 3: DDoS en acción
19
0
100000
200000
300000
400000
500000
600000
700000
Day 19 Day 20 Day 21 Day 22 Day 23 Day 24 Day 25 Day 26 Day 27 Day 28
DDOS en acción
Tra
nsa
ction
s p
er
Se
co
nd
Tráfico Promedio
25% del tráfico
mitigado fue de IPs
maliciosas
conocidas
Las Herramientas
La Automatización es método y meta
En un foro de hackers, uno de ellos se jactó de haber comprometido 5012 sitios con un barrido automatizado de una sola herramienta.
Nota:
• Gracias a la automatización, los
hackers pueden ser muy
efectivos aún en pequeños
grupos. (como Lulzsec)
• La automatización tiene una
implicación importante: no se
discrimina entre entidades
atacadas, por lo que afectan a
organizaciones conocidas y
desconocidas.
Más automatización (kit de Anonymous)
Hoy en día hay kits y herramientas para casi todo
1: Búsqueda de Vulnerabilidades
Herramienta #1: Vulnerability Scanners
Propósito: Detección rápida de vulnerabilidades web
Costo: $0-$1000 por license
Acunetix nombrado “Visionario” en el MQ de Gartner 2011
23
2: Robo de Información
Herramienta #2: Havij
Propósito:
+ Inyección SQL automatizada y minado de datos.
+ Desarrollada específicamente para extraer los datos de los aplicativos.
Desarrollada en Iran
24
3: Si todo lo anterior falla…
Low-Orbit Ion Canon (LOIC)
Propósito:
+ DDoS
+ Variantes en Mobil y Javascript
+ Típicamente crea 200 requests por segundo por cada cliente o ventana de navegador
25
Demostración Técnica
26
Laboratorio
DB Server Linux
10.0.0.22
Laptop 10.0.0.1
Web Server Linux
10.0.0.11
V-Switch
V-Switch
SecureSphere VM Gateway &
Management 10.0.0.90
WEB Traffic
DB Traffic
Imperva SecureSphere Product Lines
Web Application Security + Protection against large scale Web attacks with
reputation controls, automated management and drop-in deployment
+ Threat Radar
Database Security + DAS – Discovery & Assessment Server + URM – User Rights Management + DAM – Database Activity Monitoring + DBF – Database Firewall
File Security
+ Auditing, protection for unstructured data + FAM – File Activity Monitoring + File URM – User Rights Management
Imperva Cloud WAF Overview Powered by Incapsula
- CONFIDENTIAL - 29
Imperva Cloud DDOS Protection
Load distribution, scaling to multi-gigabit throughput, preserves uptime
Load distributed on Imperva Cloud
DDoS attack traffic is blocked
Websites
2 Gbps
20 Mbps
Top Related