desnudando a anonymous: defensa de aplicativos web
TRANSCRIPT
![Page 1: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/1.jpg)
Desnudando a Anonymous: Defensa de Aplicativos web
April 2012
José Alejandro Guízar Senior Security Engineer [email protected]
![Page 2: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/2.jpg)
Fuentes
2
![Page 3: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/3.jpg)
Diferente Motivación
Hacking
Hacktivism • Hackeo originado y llevado a través de redes
sociales.
•De tintes políticos y/o descontento civil
• El reporte reciente “Verizon Data Breach report”
sostiene que el 58% de los registros robados en
el 2011 se debieron a Hacktivismo. En años
previos, esta cantidad era 0%.
3
• Hackeo por reputación, ganancias financieras,
estratégicas o militares. Grupos underground
sumamente furtivos que buscan no atraer
atención a sus actividades criminales.
•Una entrada de dinero para el crimen
organizado
![Page 4: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/4.jpg)
Tipos de Atacantes
Hackers con talento — Éste grupo de personas tiene experiencia y habilidades reales de Hackeo, saben cómo atacar y explotar aplicaciones web.
Personas comunes y corrientes sin inclinación técnica — Este grupo puede ser bastante grande, desde un par de docenas hasta varios cientos. Bajo la dirección de los Hackers con experiencia, su rol es sólo participar en ataques DDoS mediante la descarga y uso de herramientas de software especializadas o customizadas, de “un sólo click”.
4
![Page 5: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/5.jpg)
Anonymous
![Page 6: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/6.jpg)
Percepcion
“[Anonymous es] el primer grupo de superconciencia basado en internet.”
— Opinión en un diario de USA
• Hacktivistas luchando por causas morales.
• El 99%.
Realidad
“Anonymous es un paraguas para que cualquiera pueda atacar a cualquier cosa por cualquier razón.”
—New York Times, 27 Feb 2012
Los objetivos incluyen los sitios de pornografía, los carteles de la droga mexicanos, Sony, agencias gubernamentales, bancos, iglesias, policía y Vladimir Putin. Cualquiera puede ser un objetivo.
Anonymous
![Page 7: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/7.jpg)
Argentina
7
![Page 8: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/8.jpg)
Brazil
8
![Page 9: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/9.jpg)
Perú
9
![Page 10: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/10.jpg)
Chile
10
![Page 11: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/11.jpg)
Colombia
11
![Page 12: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/12.jpg)
México
12
![Page 13: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/13.jpg)
Republica Dominicana
- CONFIDENTIAL - 13
![Page 14: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/14.jpg)
Anatomía de un Ataque de Anonymous: Método
- CONFIDENTIAL - 14
Fase 1: Reclutamiento
Fase 2: Estudio del Objetivo y
explotación de Vulnerabilidades.
Fase 3: DDoS
![Page 15: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/15.jpg)
Fase 1a: Videos Inspiracionales
15
![Page 16: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/16.jpg)
Fase 1b: Redes Sociales
16
![Page 17: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/17.jpg)
Fase 2: Tipos de Ataques
17
0
500
1000
1500
2000
2500
3000
3500
4000
Day 19 Day 20 Day 21 Day 22 Day 23
#a
lert
s
Date
Directory Traversal
SQL injection
DDoS recon
XSS
SQLi
DT
XSS
![Page 18: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/18.jpg)
Fase 3: DDoS Social vs DDoS Industrial
DDoS Aplicativo tradicional – requiere de un esfuerzo significativo por parte del hacker, comprando y/o construyendo herramientas de Control&Comando, descubrimiento de vulnerabilidades&exploits, y la adquisición de un botnet lo suficientemente grande para ejecutar el DDoS. Da la ventaja de que el hacker tiene el control y la discreción en el lanzamiento de cualquier ataque sin necesidad de depender en terceros.
DDoS de Hacktivismo – El DDoS, en su mayor parte, es ejecutado por simpatizantes de la causa que indica quien dirije el ataque, pero requiere que haya suficientes voluntarios antes de que pueda ser ejecutado. El único esfuerzo consiste en crear herramientas fáciles de usar (de “un click”) y ponerlas a disposición de los participantes.
18
For more: http://blog.imperva.com/2011/12/top-cyber-security-trends-for-2012-7.html
![Page 19: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/19.jpg)
Fase 3: DDoS en acción
19
0
100000
200000
300000
400000
500000
600000
700000
Day 19 Day 20 Day 21 Day 22 Day 23 Day 24 Day 25 Day 26 Day 27 Day 28
DDOS en acción
Tra
nsa
ction
s p
er
Se
co
nd
Tráfico Promedio
25% del tráfico
mitigado fue de IPs
maliciosas
conocidas
![Page 20: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/20.jpg)
Las Herramientas
![Page 21: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/21.jpg)
La Automatización es método y meta
En un foro de hackers, uno de ellos se jactó de haber comprometido 5012 sitios con un barrido automatizado de una sola herramienta.
Nota:
• Gracias a la automatización, los
hackers pueden ser muy
efectivos aún en pequeños
grupos. (como Lulzsec)
• La automatización tiene una
implicación importante: no se
discrimina entre entidades
atacadas, por lo que afectan a
organizaciones conocidas y
desconocidas.
![Page 22: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/22.jpg)
Más automatización (kit de Anonymous)
Hoy en día hay kits y herramientas para casi todo
![Page 23: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/23.jpg)
1: Búsqueda de Vulnerabilidades
Herramienta #1: Vulnerability Scanners
Propósito: Detección rápida de vulnerabilidades web
Costo: $0-$1000 por license
Acunetix nombrado “Visionario” en el MQ de Gartner 2011
23
![Page 24: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/24.jpg)
2: Robo de Información
Herramienta #2: Havij
Propósito:
+ Inyección SQL automatizada y minado de datos.
+ Desarrollada específicamente para extraer los datos de los aplicativos.
Desarrollada en Iran
24
![Page 25: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/25.jpg)
3: Si todo lo anterior falla…
Low-Orbit Ion Canon (LOIC)
Propósito:
+ DDoS
+ Variantes en Mobil y Javascript
+ Típicamente crea 200 requests por segundo por cada cliente o ventana de navegador
25
![Page 26: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/26.jpg)
Demostración Técnica
26
![Page 27: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/27.jpg)
Laboratorio
DB Server Linux
10.0.0.22
Laptop 10.0.0.1
Web Server Linux
10.0.0.11
V-Switch
V-Switch
SecureSphere VM Gateway &
Management 10.0.0.90
WEB Traffic
DB Traffic
![Page 28: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/28.jpg)
Imperva SecureSphere Product Lines
Web Application Security + Protection against large scale Web attacks with
reputation controls, automated management and drop-in deployment
+ Threat Radar
Database Security + DAS – Discovery & Assessment Server + URM – User Rights Management + DAM – Database Activity Monitoring + DBF – Database Firewall
File Security
+ Auditing, protection for unstructured data + FAM – File Activity Monitoring + File URM – User Rights Management
![Page 29: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/29.jpg)
Imperva Cloud WAF Overview Powered by Incapsula
- CONFIDENTIAL - 29
![Page 30: Desnudando a Anonymous: Defensa de Aplicativos web](https://reader031.vdocuments.site/reader031/viewer/2022020621/61e712993605d40c7f5783d5/html5/thumbnails/30.jpg)
Imperva Cloud DDOS Protection
Load distribution, scaling to multi-gigabit throughput, preserves uptime
Load distributed on Imperva Cloud
DDoS attack traffic is blocked
Websites
2 Gbps
20 Mbps