¿Cuales han sido los principales ataques a la seguridad de las páginas web en 2013 ?

En el estudio, en primer lugar Incapsula divide los ataques DDoS en dos categorías, los realizados en el nivel de red , y los dirigidos al nivel de aplicación
Ataques a nivel de red
En 2013 se observó un incremento del volumen de los ataques DDoS debido principalmente a la aparición de nuevos métodos (amplificación NTP, e inundación de paquetes SYN largos) y al desarrollo del uso de internet; en concreto por los servicios en la nube
El 81% de los ataques fueron multivector. La combinación de diferentes técnicas de ataque permite crear “cortinas de humo” para desviar la atención de otro ataque que se está aplicando en otro punto. Además este tipo de ataques permite explotar agujeros en el perímetro de seguridad del objetivo causando conflictos en sus políticas de seguridad, y sembrando la confusión de los administradores de seguridad. que tienen la ventaja de tener más posibilidades de éxito. porque las distintas ofensivas crean el efecto de cortinas de humo. Mientras un ataque hace ruido, distrae la atención de otro ataque.
En la siguiente imagen se puede ver un gráfico de los ataques de DDoS registrado según el numero de vectores atacados

  Multi-vector-ddos-attacks

A continuación vemos la distribución de ataques recogida por el servicio de Incapsula a lo largo del año; en la que observamos que la potencia de los ataques ha ido aumentando. Siendo el mayor el producido por una ataque de amplificación NTP de 180 Gbps en febrero de 2014

Network-ddos-attacks

El protocolo NTP es un protocolo que usan la mayoría de los sistemas informáticos para sincronizar sus relojes. Existen muchos servidores horarios en Internet que facilitan la sincronización horaria mediante este protocolo. Un ataque de amplificación NTP (Network Time Protocol) aprovecha una vulnerabilidad propia del protocolo NTP; el cual permite enviar y recibir datos sin verificar la conexión con el origen y el destino. Gracias a esta carencia, es posible modificar las direcciones IP del originen y el destino (IP Spoofing) de un transmisión manteniendo su validez; y facilitando la suplantación del emisor de la comunicación. El ataque consiste en provocar un número de respuestas NTP muy largas (provocadas por una consulta de monitorización) y de forma masiva dirigidas al objetivo; de forma que éste sea incapaz de gestionarlas.
La prevención de este tipo de ataques se deber realizar en el lado de los servidores horarios NTP, Se recomienda:
1.- Mantener actualizado la versión de software NTP
2.- Deshabilitar el modo monitor, o restringir su uso para redes internas
El otro tipo de ataque más numeroso el último año ha sido el ataque por inundación de paquetes SYN (SYN Flood). Aunque este tipo de ataque se lleva realizando desde los años 90, la novedad es que ahora se emplea la combinación simultánea de un ataque con paquetes de tamaño regular con otro ataque de paquetes de tamaño grande; provocando la saturación de la red. Un ataque de tipo Syn Flood lo que hace es empezar un numero especialmente alto de inicios de conexión que nunca son finalizados, dejando al receptor a la espera de la respuesta del emisor, y por tanto consumiendo recursos de forma desproporcionada. Esto se agrava si además el tamaño del paquete enviado es demasiado grande.
Ataques a nivel de aplicación
Incapsula ha sido testigo a lo largo de 2013 de una evolución de los bots maliciosos. Mientras que a principios de año los bots eran relativamente sencillos, y se podían detectar mediante reglas basadas en firmas, en la segunda mitad del año se sofisticaron y empezaron a ser inmunes a los métodos de filtros genéricos; siendo únicamente posible su bloqueo mediante la combinación de reglas de seguridad y reputación.
A diferencia de los ataques DDoS de red, los ataques de nivel de aplicación no se pueden realizar mediante suplantación de IP; sino que se realizan mediante la infección de los objetivos con virus troyanos que añaden a la víctima a una red de bots ó red zombie.
En los últimos tres meses Incapsula ha registrado que más del 50% de bots llegan desde un grupo de 10 países, con China, India, e Irán a la cabeza del tráfico malicioso.
En el estudio se observa que hay un gran número de víctimas que son plataformas WordPress particulares; pero también empresas de alojamiento web, instituciones educativas e instituciones gubernamentales. La lista de recursos comprometidos en estas botnets incluye una amplia gama de dispositivos, como circuitos cerrados de televisión; la mayoría de los cuales son vulnerables por la debilidad de sus contraseñas. Además Incapsula ha comprobado que el 29% de ellos efectúan más de 50 ataques al mes.
Las redes de bots están evolucionando mediante el desarrollo de inmunidad frente a desafíos cookie y Javascript. Por lo que los navegadores son ahora más vulnerables. El modo de operar de las botnets es que se hacen pasar por un navegador conocido como Internet Explorer o Chrome para que las barreras de seguridad de bajo nivel no les puedan detener. Los navegadores más falsificados son por este orden:
Baidu 2.0
Internet Explorer 6
Google
Internet Explorer 7.0
Internet Explorer 7.1
Internet Explorer 8.0
Firefox 8.0

Ante estas nuevos desafíos en los ataques de denegación de servicio, Incapsula está invirtiendo en el desarrollo de nuevas técnicas multinivel basadas en el análisis de comportamiento y en la reputación de las visitas web. Esto junto con la actualización de su infraestructura de red, que ha sido ampliada con tres nuevos datacenters (con una protección de 630 Gbps), constituye un servicio de protección integral que ayuda a sus clientes a afrontar los desafíos actuales y futuros.

Y tú, ¿Has tenido alguna vez una caída del servicio de tu página web? ¿sabes si tu sitio web está suficientemente protegido contra este tipo de ataques? Si utilizas alguna solución de seguridad específica para proteger tu aplicación web nos gustaría saber cual es y tu experiencia con ella. 


Compartir en :


Noticias relacionadas




Comentarios