tag:blogger.com,1999:blog-5399811056563385935.post5459392922384358750..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Como se defendió la SGAE de 'Anonymous'Yago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger60125tag:blogger.com,1999:blog-5399811056563385935.post-86601237369480724712012-01-20T01:00:57.824+01:002012-01-20T01:00:57.824+01:00El gran problema para mitigar una denegación de se...El gran problema para mitigar una denegación de servicio es el no poder diferenciar entre peticiones validas y peticiones "invalidas", vamos, hasta hace poco bastaba con matar las conexiones embrionicas (en las que solo teníamos un SYN por parte del cliente y un ACK por parte del servidor, el servidor se quedaba esperando respuesta hasta que se llenaba su tabla de conexiones y no aceptaba más), una medida es en el header del ACK agregar una "cookie" la cual cierra la conexión en el server, si es válida, regresará y con la cookie poder generar la conexión, y si por el contrario se hace el ataque a nivel HTTP? en la cual si se completa el Three Way Handshake? como determinas, muchos hasta ahora limitan el número de sesiones TCP por IP origen, pero y si hay alguna institución válida con 30000 usuarios detrás de un FW con un NAT?? entretenido el problema ...Oscar P.noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-5509233032793064382011-07-23T13:08:15.123+02:002011-07-23T13:08:15.123+02:00Yago, uno de los motivos por los que anonymus cae ...Yago, uno de los motivos por los que anonymus cae bastante bien (a mí, por lo menos; espero que no se me asimile con un simpatizante de alkaeda) es que sólo golpea a los "malvados", y lo hace sólo en sus maldades (no contra colaterales inocentes) y de forma más propagandística que otra cosa (como el zapato que tiraron a Bush). Creo que Anonymus cumplió al 100% su objetivo.Naponoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-71803194266507291162011-04-05T00:21:00.836+02:002011-04-05T00:21:00.836+02:00Puedes quitar las rutas si quieres pero la cuestió...Puedes quitar las rutas si quieres pero la cuestión es que accesible sigues sin estar. si el ataque hubiese continuado durante una semana, una semana que te pasas sin servicio. El problema de las denegación de servicio distribuidas es la imposibilidad de distinguir las peticiones auténticas de las que no lo son y este problema tiene difícil (por no decir imposible) solución al menos hasta donde yo se.<br><br>Enhorabuena por el Blog y Un Cordial saludo.Miguel Ángel Hernández Ruizhttp://www.blogger.com/profile/03230636759150361427noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-15383261601758729792011-04-05T00:20:59.899+02:002011-04-05T00:20:59.899+02:00Anonymous insistio en atacar a la actual IP del do...Anonymous insistio en atacar a la actual IP del dominio y no a este. Asi que por mucho que cambie el dominio, si la pagina esta en la misma IP el ataque sigue funcionando.MarioQuartzhttp://www.blogger.com/profile/09520171342691593452noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-44186794065325752602011-04-05T00:20:59.600+02:002011-04-05T00:20:59.600+02:00Pero esta medida sigue afectando a las páginas que...Pero esta medida sigue afectando a las páginas que estén compartiendo alojamiento en ese servidor ¿no? Vamos, que también se quedarían sin servicio.<br><br>Aún así es una buena forma de no perjudicar al servidor.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-70823871476085128122011-04-05T00:20:58.558+02:002011-04-05T00:20:58.558+02:00Falta una 'a' en el título. Y si me apuras...Falta una 'a' en el título. Y si me apuras una tilde.Cinquettonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-76019934338342863892011-04-05T00:20:58.322+02:002011-04-05T00:20:58.322+02:00SiD: Pues habrás obviado mi comentario. Si te pare...SiD: Pues habrás obviado mi comentario. Si te parece muy teórico pregúntale a NTT y a Twitter :-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-29127178068200254402011-04-05T00:20:57.981+02:002011-04-05T00:20:57.981+02:00Anónimo, son 45 comentarios (muchos "apersona...Anónimo, son 45 comentarios (muchos "apersonales") anteriores al mio... pero gracias por pensar que hablaba de ti :)SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-17003868784085159942011-04-05T00:20:57.633+02:002011-04-05T00:20:57.633+02:00Supongo que el tipo de contrato que tiene la SGAE ...Supongo que el tipo de contrato que tiene la SGAE con ACENS no refleja que sea necesario que el servicio funcione en alta disponibilidad y estará contemplado que ante una amenaza como ésta, Acens puede decidir desenrutarles para evitar daños a Acens. Hasta aquí, bien por Acens que apagan SGAE y siguen trabajando.<br>Mi duda es si puede darse algún caso en el que Acens tenga que comerse el ataque y no pueda decidir desenrutar.<br>Por otro lado, si la web de acens residiese en la nube (en google, por ejemplo): ¿este tipo de ataques no se quedarían en un facturón enorme para SGAE por el consumo de ancho de banda en un momento puntual y un servicio funcionando sin problemas?<br><br>Un saludo.Juannoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-47029323732904190832011-01-15T03:15:41.001+01:002011-01-15T03:15:41.001+01:00¿Que paso con Anonymous? Hace much no escucho nada...¿Que paso con Anonymous? Hace much no escucho nada de ellos...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-72193981016887341412010-10-20T14:39:16.370+02:002010-10-20T14:39:16.370+02:00Supongo que el tipo de contrato que tiene la SGAE ...Supongo que el tipo de contrato que tiene la SGAE con ACENS no refleja que sea necesario que el servicio funcione en alta disponibilidad y estará contemplado que ante una amenaza como ésta, Acens puede decidir desenrutarles para evitar daños a Acens. Hasta aquí, bien por Acens que apagan SGAE y siguen trabajando.<br />Mi duda es si puede darse algún caso en el que Acens tenga que comerse el ataque y no pueda decidir desenrutar.<br />Por otro lado, si la web de acens residiese en la nube (en google, por ejemplo): ¿este tipo de ataques no se quedarían en un facturón enorme para SGAE por el consumo de ancho de banda en un momento puntual y un servicio funcionando sin problemas?<br /><br />Un saludo.Juannoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-56322728216833861132010-10-16T14:59:30.898+02:002010-10-16T14:59:30.898+02:00Anónimo, son 45 comentarios (muchos "apersona...Anónimo, son 45 comentarios (muchos "apersonales") anteriores al mio... pero gracias por pensar que hablaba de ti :)SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-27102619621648811212010-10-14T23:58:27.836+02:002010-10-14T23:58:27.836+02:00SiD: Pues habrás obviado mi comentario. Si te pare...SiD: Pues habrás obviado mi comentario. Si te parece muy teórico pregúntale a NTT y a Twitter :-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-9029463084128018802010-10-12T18:10:28.815+02:002010-10-12T18:10:28.815+02:00Falta una 'a' en el título. Y si me apuras...Falta una 'a' en el título. Y si me apuras una tilde.Cinquettonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-36655542420466576142010-10-11T18:07:43.203+02:002010-10-11T18:07:43.203+02:00Después de leer los 45 comentarios... sobre todo l...Después de leer los 45 comentarios... sobre todo los del principio... me da la impresión de que estoy leyendo mucha "física teórica" pero de "manzanas cayendo al suelo" poco, la verdad.<br /><br />Pongamos el siguiente caso: Si alguno de mis esfínteres se dilata hasta los 19cm... algo con 25cm me va a hacer sangrar... me ponga como me ponga. Y no me sirve de mucho que alguien me diga que "si te pones esta pomada" "PUEDE" no haber desgarro.<br /><br />En esos casos necesito un 100% de seguridad ya que de lo contrario, si intento defenderme y no lo consigo, amplificaré el resultado del sangrado (por la mezcla de fluidos y todo eso)<br /><br />En mi humilde opinión, tal y como está diseñado todo el tinglado ese del ipv4... si mucha gente te quiere hacer pupita a la vez... te lo van a hacer... te guste o no.SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-42847898231416726302010-10-10T15:38:54.698+02:002010-10-10T15:38:54.698+02:00Me hacen gracia los ilusos que hablan de IPS y fir...Me hacen gracia los ilusos que hablan de IPS y firewalls para este tipo de ataques. Una vez el trafico a llegado a tu firewall es _demasiado tarde_. Este tipo de DoS es un ataque por volumen, y ese volumen de datos aunque lo pare tu firewall ya _ha llegado_ a tu red. Y para los que hablan de intentar geolocalizar la proteccion... Estamos hablando de internet!!, tu publicas una ruta (que se propagara) o no la publicas, no tienes mucho mas control que ese. Asi que la opcion elegida (aunque muchos lo vean como una traicion) es la mas acertada.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-28992136908133908452010-10-10T13:19:21.828+02:002010-10-10T13:19:21.828+02:00Mi opinion es q el ataque fue un exito, logro q se...Mi opinion es q el ataque fue un exito, logro q se hablara en todo el mundo, y ademas logro q tener la web de SGAE alojada en tu servidor sea un riesgo. A mi no me molaria q mi web estubiera en el mismo servidor q la de SGAE, por el riesgo q conlleva.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-77393052779502992832010-10-09T23:37:21.836+02:002010-10-09T23:37:21.836+02:00En los ultimos años he pasado por varios clientes,...En los ultimos años he pasado por varios clientes, algunas entidades bancarias y operadores de telefonía movil. En ninguno de ellos están preparados para un ataque de DDos ni siquiera a pequeña escala. Bastaria no mas de una decena de usuarios con una conexion normal para tirar mas de una web. Algunos de ellos no cuentan ni con un secillo IPS.<br /><br />Creo que la solución de ASCENS era a unica posible. Un ataque de este tipo y a gran escala acaba por tumbar cualquier dispositivo de red que trabaje con una tabla de estados, sea un firewall, un balanceador o lo que sea.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-25669166550715549622010-10-09T00:15:47.017+02:002010-10-09T00:15:47.017+02:00Yo creo que la SGAE no ha salido muy mal parada co...Yo creo que la SGAE no ha salido muy mal parada con esto, lo único que han conseguido es que ACENS incumpla el SLA que pueda tener con la SGAE y deban pagarle una indemnización.<br /><br />Si de verdad quieren atacar a la SGAE deberían haberlo hecho directamente contra ACENS, para que deje de hospedar a la SGAE, de otra forma, el unico perjudicado es ACENS.<br /><br />Por otra parte, el ataque realmente no buscaba un DoS sobre sgae.es, de verdad pensáis que para la SGAE tener la web tirada dos horas supone algo? Su negocio esta en cobrar impuestos ilegales y chantajear a muchos negocios, asociaciones, etc.<br /><br />Desde mi punto de vista, lo que han conseguido es que todo el mundo en España sepa quienes son Anonymous y 4chan.<br /><br />SaludosAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-63176181348906952802010-10-08T23:20:06.362+02:002010-10-08T23:20:06.362+02:00Bueno yo quiero dar mi pekeñisima opinión técnica ...Bueno yo quiero dar mi pekeñisima opinión técnica y hacer una reflexión:<br /><br />Punto 1, sgae: Se sabe cual es la arquitectura (física/lógica) que tiene montada esta empresa para venderse en internet ??? router-s, firewall-s (capacidad de cpu=importante, memoria, anchodebanda=importante, ...). <br /><br /> Y ahora hago otra pregunta: La arquitectura de red que tiene montada sgae esta sobredimensionada de forma coherente para poder soporta un ataque DDoS de medio mundo ??? (yo opino que no, la gente no es consciente de estas situaciones hasta que le toca ..)<br /> <br /> Y otra pregunta: Conoceis alguna empresa que tenga contratado servidores con ISP-s y que su arquitectura de red y Seguridad del cliente estén lo suficientemente sobredimensionados para recibir todo este volumen de tráfico ??? (yo creo ke no ...)<br /><br />Punto 2, acens: Sobre este ISP opino varias cosas:<br /><br /> **Puesto que la mayoria de los usuarios no técnicos iban a utilizar la aplicación DDoS que se habia hecho publica ... entiendo que con un IPS bien configurado y su correspondiente actualización de firmas personalizadas con los patrones de los ataques hubiese ayudado a mitigar el ataque sin tirar la página ...<br /> <br /> **Se ha hablado de salvaguardar la infraestructura del ISP, alguién sabe como tiene montado el chiriguito este ISP ?? hubiese aguantado su red ¿? (yo no lo sé). <br /> <br /> **(última reflexión) En este post se habla de una posible modificación de rutas, etc, ... Alguién sabe cuales han sido las medidas de seguridad aplicadas por el ISP ?? ;)<br /><br />Termine !!gorritsunoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-10348464536420552892010-10-08T13:16:26.238+02:002010-10-08T13:16:26.238+02:00@rustyloo Lo que hicieron fue eliminar la ruta has...@rustyloo Lo que hicieron fue eliminar la ruta hasta la dirección IP de la SGAE, de forma que cuando tu ISP intentaba localizar 'como llegar' simplemente no encontraba como hacerlo. Nada de DNS (hubiera sido muy burdo, con haberle dado a la IP hubiese bastado). Sobre el tema de mitigar ataques DoS, prometido que seguiremos escribiendo, de momento hoy ha publicado Lorenzo uno http://www.securitybydefault.com/2010/10/como-mitigar-ataques-de-denegacion-de.htmlYago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-48087861946650645332010-10-08T13:01:07.751+02:002010-10-08T13:01:07.751+02:00Hola! He llegado a tu post desde menéame y me pare...Hola! He llegado a tu post desde menéame y me parece muy interesante, sin embargo me faltan los conocimientos necesarios para entender bién el procedimiento que realizón ACENS... He entendido que "tiraron" ellos mismos la página de la SGAE para no tener repercusiones, pero ¿Los paquetes mandados directamente a la IP llegaban? O simplemente eliminaron el servicio DNS que conecta nombre de dominio con IP?<br /><br />Espero con impaciencia tus posts sobre como defenderse de ataques DDoS :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-91785129114290726342010-10-08T12:29:56.420+02:002010-10-08T12:29:56.420+02:00Sería una especie de "DoS At home"... va...Sería una especie de "DoS At home"... vaya perla que estas hecho :-)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-80489411393427417032010-10-08T10:36:27.631+02:002010-10-08T10:36:27.631+02:00Titular sensacionalista: no fue la SGAE la que se ...Titular sensacionalista: no fue la SGAE la que se defendio, sino Acens. Lo que pasa es que un titular con SGAE vende mucho.<br /><br />Por otra parte, vaya solucion por parte del proveedor ...<br /><br />Los primeros comentarios de MNM al respecto son bastante aclaratorios: http://www.meneame.net/story/como-defendio-sgae-anonymousAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-9043982969077428792010-10-08T09:34:36.039+02:002010-10-08T09:34:36.039+02:00Estoy con Julio. A mi no me parece la mejor manera...Estoy con Julio. A mi no me parece la mejor manera.<br /><br />Con el dinero que ganan ya podían haberse buscado métodos para replicarse en otros sitio...kitaihttp://apache-es.orgnoreply@blogger.com