Desnudando a Anonymous: Defensa de Aplicativos web

April 2012

José Alejandro Guízar Senior Security Engineer alejandro.guizar@imperva.com

Fuentes

2

Diferente Motivación

Hacking

Hacktivism • Hackeo originado y llevado a través de redes

sociales.

•De tintes políticos y/o descontento civil

• El reporte reciente “Verizon Data Breach report”

sostiene que el 58% de los registros robados en

el 2011 se debieron a Hacktivismo. En años

previos, esta cantidad era 0%.

3

• Hackeo por reputación, ganancias financieras,

estratégicas o militares. Grupos underground

sumamente furtivos que buscan no atraer

atención a sus actividades criminales.

•Una entrada de dinero para el crimen

organizado

Tipos de Atacantes

Hackers con talento — Éste grupo de personas tiene experiencia y habilidades reales de Hackeo, saben cómo atacar y explotar aplicaciones web.

Personas comunes y corrientes sin inclinación técnica — Este grupo puede ser bastante grande, desde un par de docenas hasta varios cientos. Bajo la dirección de los Hackers con experiencia, su rol es sólo participar en ataques DDoS mediante la descarga y uso de herramientas de software especializadas o customizadas, de “un sólo click”.

4

Anonymous

Percepcion

“[Anonymous es] el primer grupo de superconciencia basado en internet.”

— Opinión en un diario de USA

• Hacktivistas luchando por causas morales.

• El 99%.

Realidad

“Anonymous es un paraguas para que cualquiera pueda atacar a cualquier cosa por cualquier razón.”

—New York Times, 27 Feb 2012

Los objetivos incluyen los sitios de pornografía, los carteles de la droga mexicanos, Sony, agencias gubernamentales, bancos, iglesias, policía y Vladimir Putin. Cualquiera puede ser un objetivo.

Anonymous

Argentina

7

Brazil

8

Perú

9

Chile

10

Colombia

11

México

12

Republica Dominicana

- CONFIDENTIAL - 13

Anatomía de un Ataque de Anonymous: Método

- CONFIDENTIAL - 14

Fase 1: Reclutamiento

Fase 2: Estudio del Objetivo y

explotación de Vulnerabilidades.

Fase 3: DDoS

Fase 1a: Videos Inspiracionales

15

Fase 1b: Redes Sociales

16

Fase 2: Tipos de Ataques

17

0

500

1000

1500

2000

2500

3000

3500

4000

Day 19 Day 20 Day 21 Day 22 Day 23

#a

lert

s

Date

Directory Traversal

SQL injection

DDoS recon

XSS

SQLi

DT

XSS

Fase 3: DDoS Social vs DDoS Industrial

DDoS Aplicativo tradicional – requiere de un esfuerzo significativo por parte del hacker, comprando y/o construyendo herramientas de Control&Comando, descubrimiento de vulnerabilidades&exploits, y la adquisición de un botnet lo suficientemente grande para ejecutar el DDoS. Da la ventaja de que el hacker tiene el control y la discreción en el lanzamiento de cualquier ataque sin necesidad de depender en terceros.

DDoS de Hacktivismo – El DDoS, en su mayor parte, es ejecutado por simpatizantes de la causa que indica quien dirije el ataque, pero requiere que haya suficientes voluntarios antes de que pueda ser ejecutado. El único esfuerzo consiste en crear herramientas fáciles de usar (de “un click”) y ponerlas a disposición de los participantes.

18

For more: http://blog.imperva.com/2011/12/top-cyber-security-trends-for-2012-7.html

Fase 3: DDoS en acción

19

0

100000

200000

300000

400000

500000

600000

700000

Day 19 Day 20 Day 21 Day 22 Day 23 Day 24 Day 25 Day 26 Day 27 Day 28

DDOS en acción

Tra

nsa

ction

s p

er

Se

co

nd

Tráfico Promedio

25% del tráfico

mitigado fue de IPs

maliciosas

conocidas

Las Herramientas

La Automatización es método y meta

En un foro de hackers, uno de ellos se jactó de haber comprometido 5012 sitios con un barrido automatizado de una sola herramienta.

Nota:

• Gracias a la automatización, los

hackers pueden ser muy

efectivos aún en pequeños

grupos. (como Lulzsec)

• La automatización tiene una

implicación importante: no se

discrimina entre entidades

atacadas, por lo que afectan a

organizaciones conocidas y

desconocidas.

Más automatización (kit de Anonymous)

Hoy en día hay kits y herramientas para casi todo

1: Búsqueda de Vulnerabilidades

Herramienta #1: Vulnerability Scanners

Propósito: Detección rápida de vulnerabilidades web

Costo: $0-$1000 por license

Acunetix nombrado “Visionario” en el MQ de Gartner 2011

23

2: Robo de Información

Herramienta #2: Havij

Propósito:

+ Inyección SQL automatizada y minado de datos.

+ Desarrollada específicamente para extraer los datos de los aplicativos.

Desarrollada en Iran

24

3: Si todo lo anterior falla…

Low-Orbit Ion Canon (LOIC)

Propósito:

+ DDoS

+ Variantes en Mobil y Javascript

+ Típicamente crea 200 requests por segundo por cada cliente o ventana de navegador

25

Demostración Técnica

26

Laboratorio

DB Server Linux

10.0.0.22

Laptop 10.0.0.1

Web Server Linux

10.0.0.11

V-Switch

V-Switch

SecureSphere VM Gateway &

Management 10.0.0.90

WEB Traffic

DB Traffic

Imperva SecureSphere Product Lines

Web Application Security + Protection against large scale Web attacks with

reputation controls, automated management and drop-in deployment

+ Threat Radar

Database Security + DAS – Discovery & Assessment Server + URM – User Rights Management + DAM – Database Activity Monitoring + DBF – Database Firewall

File Security

+ Auditing, protection for unstructured data + FAM – File Activity Monitoring + File URM – User Rights Management

Imperva Cloud WAF Overview Powered by Incapsula

- CONFIDENTIAL - 29

Imperva Cloud DDOS Protection

Load distribution, scaling to multi-gigabit throughput, preserves uptime

Load distributed on Imperva Cloud

DDoS attack traffic is blocked

Websites

2 Gbps

20 Mbps

Gracias!

adminunam@seguridad.unam.mx

31