Como son los sitios web son hackiados

BIENVENIDOS!Una charla de

SalvadorAguilar@riper81

[email protected]

COMOSONHACKIADOS LOS SITIOSWEB

Organización deesta charla


1. ¿Quién es SalvadorAguilar?2. ¿Paraquien es esta charla?3. Estadisticas generales4. Tipos deinfección &losimpactos5. Unambiente complejo6. Tipos deataques7. Flujo delosataques8. Vectores deataque9. ¿Pensando sobre seguridad?10. Preguntas yrespuestas

SalvadorAguilar|@riper81



• Papá deunniño de8yuna niñade1.5años.

• Entusiasta deWordpress.• Conexperiencia trabajando

paraempresas como SEARSMexico,Site5.com&Sucuri.net

• Analista deseguridad enSucuri.net

• ImplementadordeWordpress• CoFundador &SysAdmin de

SenorCoders.com

Quién es SalvadorAguilar?

Paraquien es esta charla?



• Paracualquier personaque tiene unsitio web• Paraprofesioanles que diseñan sitios web• Parapersonasque han sido infectadas• Parapersonasque tienen su stiio webenuna lista negra• Parapersonasque quieren sabercomo loshackiaron• Parapersonasque quieren sabersobre losdiferentes vectores deataque

Estadísticas Generales



ABRIL2016=1.02Billones deSitios Web

Sitios webconCMS Cobertura deCMS

33% 73%

EstadísticassobreWordpress



25%MOTORDE

LAWEB

ELCMS+POPULAR

59%VSLOSDEMAS

MUCHOSPLUGINS

42000+Gratisymásde100PluginsPREMIUM

EstadísticasdeInfecciones:Enero–Marzo2016



11,000Sitios Webinfectados

75%àWordpress (8250)50%Wordress Desactualizados

+80%Sitios webinfectadosà desactualizados

+

EstadísticasdeGoogle



50Millones deWarnings

Sitios webxsemana enLista Negra xMalware

Sitios webxsemana enLista Negra Phishing

20,000 50,000 95%Reduccióndetráfico

EstadísticassobrePluginsdeWordpress



• RevSlider representa el10%deltotaldelas infecciones.

• ElbugdeTimThumb tiene 4añosdeestarafectandositiosweb.

• ElproblemadeRevSlideresquevieneincrustadoenthemespagados.

Másestadísticassobreinfecciones



Tipos deInfección



Malware

Envenamientoderesultadosdebúsqueda

Phishing

DDoS/Bots/Backdoors

Tipos deInfección



• SpamEmail• Defacement• Ransomware

LosImpactos delcompromiso detu sitio web



COMERCIALES TECNICOS

UnAmbiente Complejo



Computadora:Trojanos,keyloggers, computadora desenllavada,etc

LAN/WIF:Sniffers, trafficloggers, etc

User:Passwordsinseguros, passwordsenpostips,agendas,etc.

UnAmbiente Complejo



Wordpress:XSS,SQLEnjections fingerprinting

cPanel:bugs, crosssitecontamination,etc.

UnAmbiente Complejo



Linux:bugsenkernel.Fingerprinting, passworddebil root.

Librerias:buscomo Imagemagick,ssl,etc

Windows:bugs, fingerprinting.

PHP:bugs,writepermissions.etc

UnAmbiente Complejo



Acceso alosservidores

Puertos USB

PortHijacking, IPHijackingetc.

Redes:Sniffing, DDoS

Unambiente seguro



Tiene que tener políticassegurasencadaambiente

Oseremos víctimas de…



Tienen alguna pregunta hastaahora?



NO?Oksigamos…

(horadetomar unpoco agua)

Tipos deataque



• Ocurre 0.01%delas veces• Hayunobjetivo especifico• Noseconoce lavulnerabilidad alinicio,sino

que sedefinedespues depruebas• AutomatizadaoManual• Altonivel deexpertiseohabilidades• Motivos personales:politicos,

rivales/competencia,odio,financieros.

• Ocurre 99.99%delas veces• Nohayunobjetivo especifico• Seataca una vulnerabilidad especifica

conocida.• Mayoritariamente automatizada• Nivel bajo/intermedio dehabilidades• Noes personal

Ataques Dirigidos Ataques Oportunistas

Flujo delataque



Reconocimiento Identificación Explotacióndevulnerabilidad Sustentabilidad Compromiso Limpieza

Flujo delataque



FASE ATAQUEDIRIGIDO ATAQUEOPORTUNISTA

RECONOCIMIENTO Explorar unambiente especifico Explorar lawebpor un problemaespecifico

IDENTIFICACION Identificar losposibles vectores deataque enlared Ocurre enlafase dereconocimiento

EXPLOTACIONDE VULNERABILIDAD Explota vulnerabiliades basada enlosservicios que contenga elambiente Explota vulnerabilidades conocidas

SUSTENTABILIDAD Aseguramiento deque elatacante pueda seguir entrando alsistema

COMPROMISO Cumplir objectivo

LIMPIEZA Reducir probabilidades dedeteccion yborar huellas N/D

Flujo delataque



FASE CONSIDERACIONES CONTROLESDESEG.

RECONOCIMIENTO ¿Comoestamos reduciendo lasuperficie deataque?

Desactivar servicios/sitios websinuso,puertos,aplicaciones.

IDENTIFICACION ¿Cómosabemosquehayvulnerabilidades?

AdministracióndeVulnerabilidades(wpscan,sitecheck,etc)

EXPLOTACIONDE VULNERABILIDAD ¿Cómoestámosmitigando losintentosdeexplotarvulnerabilidades? Usar unWAF/IPSbasado enlanube

SUSTENTABILIDAD ¿Cómosabemosquenohaybackdoors? Usar sistemas IDS

COMPROMISO ¿Cómosabemosquenoestamoscomprometidos?

Usar IDSpara revisar integridad delsistema

LIMPIEZA ¿Estamos reteniendo las bitacorasremotamente ybackups?

Revision delogsyrealización debackups

¿Cómo sonhackiados lossitios web?



ControldeAcceso

VulnerabilidadesdeSoftware

Contaminacióncruzadadesitios

Integraciónconaplicacionesde

3ros

Hosting

ControldeAcceso



• Serefiere alcomo seaccesa aciertas areas,lugares ocosas

• ElcontroldeAcceso asitioswebseextiende atodas las aplicaciones quebrindanalgúntipodeaccesoalambienteweb• PaneldecontroldelCMS(WP-ADMIN)• Panelcontroldehosting(cPanel,Plesk,Parallels,etc)• Nodos deacceso (SSH,sFTP,Email,etc)

• Cuando pensemos encontroldeacceso,pensemosmasalládelsitioweboambienteaplicativo.

• Losataques alControldeAcceso vienen enformadeataques bruteforce.

Vulnerabilidades deSoftware



• Serefiere losbugsenelcódigodelosaplicativosquepuedenserabusados.Incluyencosascomo:• InyecciónSQL,Cross-SiteScripting(XSS),RemoteCodeExecution(RCE),RemoteFileIntrusion(RFI),etc.

• LosCMSluchan conlas vulnerabilidades desus extensiones:plugins,temas,modulos,componentes,etc.

• Sugerencia familiarizarse conlosproyectos ysuscribirse aalertas deseguridad.

Contaminación Cruzadadesitiosweb



• Serefiere almovimiento lateraldelas infecciones una vez que entra aunservidor.

• Estees unataque interno ynoexterno.Elatacante entra alservidor atravez deunsitio vulnerableyluego lousa como piedeamigoparainfectar elresto delositioswebenelservidor.

• Es larazón#1paralareinfeccióndesitiosweb,lospropiertariosdesitioswebsedeconcentranenelsitiowebafectadoylossintomas,peronorevisanlossitioswebquenomuestranseñalesexternasovisiblesdecompromiso.

• Estemétodoessuperexitosoenlosambientesquenoutilizanmétodosfuncionalesdeaislamientenelservidor,oqueusanlospermisosoconfiguracionesincorrectas.

Integracióncon3ros



• Serefiere unsinnumero decosas,pero últimamentelomásprevalentesonlosserviciosdeAnuncios(Ads)ysusnetworksdeanunciosasociados.

• Estas integraciones introducen uneslabon debil enlacadena deseguridad.EstosNetworksdeAnuncios sonatacados,infectados yutilizados parapenetrar otros sitiosweb.Malvertising.

• Malvertising,es elacto demanipular losanunciosparadistribuirmalware,amenudoenlaformaderedireccionamientomaligno ydownloadsnosolicitados.

• Sonextremadamente dificiles dedetectar debido asu naturaleza condicional,yque estánfueradelambientedelsitioweb.

Hosting



• Hace muchos añosquenosehadadouncompromisomasivodeunproveedordesharedhostinggrande.LaúltimavezfueGoDaddyen2011(.htaccessredirect)

• Elmayorproblema ennuestros días,nosonestosproveedores,sinoorganizacionesqueintentanofrecerunasolucióncompleta:Marketing,Desarrollo,Seguridad,Hosting,SEO,etc. • Proveedoresconpocaexperenciaqueintroducenconfusiónyruidounecosistemadeporsiyasaturado.

• Sabenlosuficienteparaserpeligrosos,perolesfaltanhabilidadesyconocimiento

• Contribuyenaungrannumerodecontaminacióncruzadadebidoamalasconfiguraciones.

¿Pensando sobre seguridad?



Ideassobre comomejorar tu postura sobre seguridad ensitios web



LaSEGURIDADnoes unproceso estático,EsunPROCESOCONTINUO



Protección

DetecciónRespuesta

MANTENIMIENTOMEJORESPRACTICASOPRINCIPIOS



LatecnologíaNUNCAREEMPLAZARAturesponsabilidadcomodueñodeunsitioweb



Personas Procesos Tecnología

SEGURIDAD



Laseguridad NOESunProyectoHazlo Tu Mismo(DIY– DoItYourself)



P &RPreguntas yRespuestas

Como son los sitios web son hackiados

Technology

Transcript of Como son los sitios web son hackiados