RSS

Anonymous Mineduc.cl TANGO DOWN !!!

viernes, 8 de julio de 2011

Comentarios: pramirezh[at]gmail_dot_com

Hola, después de varios días sin postear algo, trabajo trabajo trabajo, hoy estuve muy de cerca en el ataque organizado por Anonymous y la idea es poder describirles el modus operando de este DDoS realizado a MINEDUC, partiendo por la publicidad generada para la organización:


Después de esto estuve de forma activa en el canal IRC, los bot! No informaban nunca el target, todos los pedían y lo pedían, hasta que llegó la hora, 9:59 am GMT-4 y Colkra informaba del target:



Ahí comenzó el ataque con la herramienta LOIC, de la cual ya hablé en algún momento, después de eso, no pasaron más de 7 minutos cuando comenzó a caer el sitio:


Y no solamente el sitio de Mineduc, si no que varios otros sitios alojados en el mismo server:



Se notaba que los muchachos de seguridad (llamados *****) estaban tratando de hacer lo posible por mantener el sitio arriba, ya que el LOIC estaba comenzando a dar errores en algunos momentos:


Pero no, el sitio estaba lentísimo:


Al fin del día, de igual forma colapsó, y quizás las medidas de mitigación fueron correctas, pero no realizaron un sizing adecuado para soportar el DDoS de los pingüinos… me reía mucho en el canal de IRC, ya que decían, “Sigamos tirando piedrazos al servidor”…

Pero bueno… aparte de mostrar la noticia me gustaría contarles que ya están en práctica varias medidas de mitigación, tanto a nivel metodológico como a nivel técnico, y para ello partiré con la metodología (Solo el big picture, no en detalle, ya que me puede hacer ganar dinero J)

1.       Preparación: Objetivo: Establecer contactos, definir los procedimientos, y recopilar información para ahorrar tiempo durante un ataque.
2.       Identificación: Objetivo: Detectar el incidente, determinar su alcance, e involucrar a las partes apropiadas.
3.       Contención: Objetivo: Mitigar los efectos del ataque sobre el medio ambiente de destino.
4.       Remediación: Objetivo: Llevar a cabo acciones para detener la denegación de servicio.
5.       Secuelas: Objetivo: Documentar detalles del incidente, analizar las lecciones aprendidas, y ajustar los planes y las defensas.
6.       Recuperación: Objetivo: Volver el estado funcional anterior.

Este trabajo no es tarea de un día para otro, sino que requiere de una buena planificación estratégica y en un futuro espero poder escribir del workflow a seguir.

A nivel técnico existen variadas opciones, y muchos sabores de fabricantes, hoy solo plantearé las medidas cuando estamos en contra del tiempo.

1.       Aislar el entorno objetivo, esto quiere decir sacar el web server de la DMZ y pasarlo a otro enlace para no afectar a toda la infraestructura y a nuestros enlaces principales… de gran ayuda es nuestro ISP para rutear todo ese tráfico a otro enlace y no tener que cambiar registros DNS, NAT, ETC.
2.       Poner un Web Application Firewall para mitigar ataques que puedan provocar defaced, ya que en el canal de IRC a cada rato solicitan la modificación del sitio (Recomiendo IMPERVA)
3.       Poner un IPS que detecte las peticiones de LOIC (TippingPoint lo hace), para así mitigar las conexiones concurrentes, y establecer umbrales de SYN Flood, recordemos que LOIC ataca por TCP, UDP y HTTP.
4.       Poner un firewall con buena capacidad de conexiones concurrentes… cuando realicé una prueba con el LOIC, contra un web server sin protección, se detectaron 250 conexiones concurrentes, así que es cosa de dividir las conexiones concurrentes que soporta tu firewall, por las 250 que ya nombre, así tendrán una métrica de cuantos atacantes podrán soportar
5.       Poner un Sniffer para capturar el ataque y en un futuro estudiarlo, les recomiendo un buen almacenamiento si el ataque dura varias horas
6.       Poner el sitio web en modo texto, así las consultas al portal serán más pequeñas y no tendrán que cargar imágenes, flash y todas esas cosas pesadas

Por otra parte tenemos a un actor de Cloud, que últimamente se ha hecho famoso por su gran capacidad de procesamiento y comerse varios millones de zombis LOIC, estoy hablando del AKAMAI, un servicio de Anti DDoS, que si bien es cierto, es caro… para organizaciones que realizaron la metodología que presento, sabrán cual es el riesgo y las pérdidas que les puede traer este tipo de ataques.

Finalmente, les dejo algunos screen de TippingPoint, aunque no me gusta mucho hablar de marcas, pero funciona:

Vacunas Anti LOIC J


Detectando y deteniendo el ataque:

Espero poder postear pronto y muchas gracias por la gran cantidad de visitas en el Blog.

Welcome

Con la tecnología de Blogger.