Como son los sitios web son hackiados
-
Upload
salvador-aguilar-lion- -
Category
Technology
-
view
354 -
download
1
Transcript of Como son los sitios web son hackiados
Organización deesta charla
COMOSONHACKIADOS LOS SITIOSWEB
1. ¿Quién es SalvadorAguilar?2. ¿Paraquien es esta charla?3. Estadisticas generales4. Tipos deinfección &losimpactos5. Unambiente complejo6. Tipos deataques7. Flujo delosataques8. Vectores deataque9. ¿Pensando sobre seguridad?10. Preguntas yrespuestas
SalvadorAguilar|@riper81
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Papá deunniño de8yuna niñade1.5años.
• Entusiasta deWordpress.• Conexperiencia trabajando
paraempresas como SEARSMexico,Site5.com&Sucuri.net
• Analista deseguridad enSucuri.net
• ImplementadordeWordpress• CoFundador &SysAdmin de
SenorCoders.com
Quién es SalvadorAguilar?
Paraquien es esta charla?
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Paracualquier personaque tiene unsitio web• Paraprofesioanles que diseñan sitios web• Parapersonasque han sido infectadas• Parapersonasque tienen su stiio webenuna lista negra• Parapersonasque quieren sabercomo loshackiaron• Parapersonasque quieren sabersobre losdiferentes vectores deataque
Estadísticas Generales
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
ABRIL2016=1.02Billones deSitios Web
Sitios webconCMS Cobertura deCMS
33% 73%
EstadísticassobreWordpress
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
25%MOTORDE
LAWEB
ELCMS+POPULAR
59%VSLOSDEMAS
MUCHOSPLUGINS
42000+Gratisymásde100PluginsPREMIUM
EstadísticasdeInfecciones:Enero–Marzo2016
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
11,000Sitios Webinfectados
75%àWordpress (8250)50%Wordress Desactualizados
+80%Sitios webinfectadosà desactualizados
+
EstadísticasdeGoogle
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
50Millones deWarnings
Sitios webxsemana enLista Negra xMalware
Sitios webxsemana enLista Negra Phishing
20,000 50,000 95%Reduccióndetráfico
EstadísticassobrePluginsdeWordpress
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• RevSlider representa el10%deltotaldelas infecciones.
• ElbugdeTimThumb tiene 4añosdeestarafectandositiosweb.
• ElproblemadeRevSlideresquevieneincrustadoenthemespagados.
Tipos deInfección
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Malware
Envenamientoderesultadosdebúsqueda
Phishing
DDoS/Bots/Backdoors
Tipos deInfección
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• SpamEmail• Defacement• Ransomware
LosImpactos delcompromiso detu sitio web
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
COMERCIALES TECNICOS
UnAmbiente Complejo
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Computadora:Trojanos,keyloggers, computadora desenllavada,etc
LAN/WIF:Sniffers, trafficloggers, etc
User:Passwordsinseguros, passwordsenpostips,agendas,etc.
UnAmbiente Complejo
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Wordpress:XSS,SQLEnjections fingerprinting
cPanel:bugs, crosssitecontamination,etc.
UnAmbiente Complejo
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Linux:bugsenkernel.Fingerprinting, passworddebil root.
Librerias:buscomo Imagemagick,ssl,etc
Windows:bugs, fingerprinting.
PHP:bugs,writepermissions.etc
UnAmbiente Complejo
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Acceso alosservidores
Puertos USB
PortHijacking, IPHijackingetc.
Redes:Sniffing, DDoS
Unambiente seguro
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Tiene que tener políticassegurasencadaambiente
Tienen alguna pregunta hastaahora?
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
NO?Oksigamos…
(horadetomar unpoco agua)
Tipos deataque
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Ocurre 0.01%delas veces• Hayunobjetivo especifico• Noseconoce lavulnerabilidad alinicio,sino
que sedefinedespues depruebas• AutomatizadaoManual• Altonivel deexpertiseohabilidades• Motivos personales:politicos,
rivales/competencia,odio,financieros.
• Ocurre 99.99%delas veces• Nohayunobjetivo especifico• Seataca una vulnerabilidad especifica
conocida.• Mayoritariamente automatizada• Nivel bajo/intermedio dehabilidades• Noes personal
Ataques Dirigidos Ataques Oportunistas
Flujo delataque
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Reconocimiento Identificación Explotacióndevulnerabilidad Sustentabilidad Compromiso Limpieza
Flujo delataque
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
FASE ATAQUEDIRIGIDO ATAQUEOPORTUNISTA
RECONOCIMIENTO Explorar unambiente especifico Explorar lawebpor un problemaespecifico
IDENTIFICACION Identificar losposibles vectores deataque enlared Ocurre enlafase dereconocimiento
EXPLOTACIONDE VULNERABILIDAD Explota vulnerabiliades basada enlosservicios que contenga elambiente Explota vulnerabilidades conocidas
SUSTENTABILIDAD Aseguramiento deque elatacante pueda seguir entrando alsistema
COMPROMISO Cumplir objectivo
LIMPIEZA Reducir probabilidades dedeteccion yborar huellas N/D
Flujo delataque
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
FASE CONSIDERACIONES CONTROLESDESEG.
RECONOCIMIENTO ¿Comoestamos reduciendo lasuperficie deataque?
Desactivar servicios/sitios websinuso,puertos,aplicaciones.
IDENTIFICACION ¿Cómosabemosquehayvulnerabilidades?
AdministracióndeVulnerabilidades(wpscan,sitecheck,etc)
EXPLOTACIONDE VULNERABILIDAD ¿Cómoestámosmitigando losintentosdeexplotarvulnerabilidades? Usar unWAF/IPSbasado enlanube
SUSTENTABILIDAD ¿Cómosabemosquenohaybackdoors? Usar sistemas IDS
COMPROMISO ¿Cómosabemosquenoestamoscomprometidos?
Usar IDSpara revisar integridad delsistema
LIMPIEZA ¿Estamos reteniendo las bitacorasremotamente ybackups?
Revision delogsyrealización debackups
¿Cómo sonhackiados lossitios web?
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
ControldeAcceso
VulnerabilidadesdeSoftware
Contaminacióncruzadadesitios
Integraciónconaplicacionesde
3ros
Hosting
ControldeAcceso
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Serefiere alcomo seaccesa aciertas areas,lugares ocosas
• ElcontroldeAcceso asitioswebseextiende atodas las aplicaciones quebrindanalgúntipodeaccesoalambienteweb• PaneldecontroldelCMS(WP-ADMIN)• Panelcontroldehosting(cPanel,Plesk,Parallels,etc)• Nodos deacceso (SSH,sFTP,Email,etc)
• Cuando pensemos encontroldeacceso,pensemosmasalládelsitioweboambienteaplicativo.
• Losataques alControldeAcceso vienen enformadeataques bruteforce.
Vulnerabilidades deSoftware
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Serefiere losbugsenelcódigodelosaplicativosquepuedenserabusados.Incluyencosascomo:• InyecciónSQL,Cross-SiteScripting(XSS),RemoteCodeExecution(RCE),RemoteFileIntrusion(RFI),etc.
• LosCMSluchan conlas vulnerabilidades desus extensiones:plugins,temas,modulos,componentes,etc.
• Sugerencia familiarizarse conlosproyectos ysuscribirse aalertas deseguridad.
Contaminación Cruzadadesitiosweb
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Serefiere almovimiento lateraldelas infecciones una vez que entra aunservidor.
• Estees unataque interno ynoexterno.Elatacante entra alservidor atravez deunsitio vulnerableyluego lousa como piedeamigoparainfectar elresto delositioswebenelservidor.
• Es larazón#1paralareinfeccióndesitiosweb,lospropiertariosdesitioswebsedeconcentranenelsitiowebafectadoylossintomas,peronorevisanlossitioswebquenomuestranseñalesexternasovisiblesdecompromiso.
• Estemétodoessuperexitosoenlosambientesquenoutilizanmétodosfuncionalesdeaislamientenelservidor,oqueusanlospermisosoconfiguracionesincorrectas.
Integracióncon3ros
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Serefiere unsinnumero decosas,pero últimamentelomásprevalentesonlosserviciosdeAnuncios(Ads)ysusnetworksdeanunciosasociados.
• Estas integraciones introducen uneslabon debil enlacadena deseguridad.EstosNetworksdeAnuncios sonatacados,infectados yutilizados parapenetrar otros sitiosweb.Malvertising.
• Malvertising,es elacto demanipular losanunciosparadistribuirmalware,amenudoenlaformaderedireccionamientomaligno ydownloadsnosolicitados.
• Sonextremadamente dificiles dedetectar debido asu naturaleza condicional,yque estánfueradelambientedelsitioweb.
Hosting
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
• Hace muchos añosquenosehadadouncompromisomasivodeunproveedordesharedhostinggrande.LaúltimavezfueGoDaddyen2011(.htaccessredirect)
• Elmayorproblema ennuestros días,nosonestosproveedores,sinoorganizacionesqueintentanofrecerunasolucióncompleta:Marketing,Desarrollo,Seguridad,Hosting,SEO,etc. • Proveedoresconpocaexperenciaqueintroducenconfusiónyruidounecosistemadeporsiyasaturado.
• Sabenlosuficienteparaserpeligrosos,perolesfaltanhabilidadesyconocimiento
• Contribuyenaungrannumerodecontaminacióncruzadadebidoamalasconfiguraciones.
¿Pensando sobre seguridad?
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Ideassobre comomejorar tu postura sobre seguridad ensitios web
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
LaSEGURIDADnoes unproceso estático,EsunPROCESOCONTINUO
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Protección
DetecciónRespuesta
MANTENIMIENTOMEJORESPRACTICASOPRINCIPIOS
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
LatecnologíaNUNCAREEMPLAZARAturesponsabilidadcomodueñodeunsitioweb
COMOSONHACKIADOS LOS SITIOSWEB
SalvadorAguilar|@riper81
Laseguridad NOESunProyectoHazlo Tu Mismo(DIY– DoItYourself)