Un evento realizado por Olimpia, Radware, Ciberseguridad Colombia y DreamLab con la intención de dar a conocer sus productos de seguridad DefensePro, y alteon de Radware. Con este motivo, crearon el “First Hacker Challenge de Colombia 2016” para tratar de vulnerar una aplicación web protegida por estos productos de seguridad.
El evento tuvo lugar el 3 de noviembre de 1:30pm a 6:00pm en la ciudad de Bogotá, a la cual asistieron 27 hackers y 160 invitados para presenciar el evento.
El escenario del desafío se realizó dividiendo a los hackers por países, donde 3 hackers formaban 1 país, para representar de la forma más realística posible, como se puede atacar un sitio web desde cualquier parte del mundo. Los hackers podían llevar sus equipos y utilizar cualquier tipo de herramienta. Se permitía utilizar el método deseado con la finalidad de vulnerar el sistema. Además, el público también podía realizar pruebas sobre el sistema, donde se les brindaba direccionamiento IP inalámbrico para realizar ataques contra la infraestructura y la web objetivo.
Durante el evento, se configuraron en los equipos DefensePro y Alteon varios niveles de seguridad, con la intención de mostrar la defensa que se puede ofrecer a la infraestructura y a los servicios. A continuación, se relajaba el nivel de seguridad para mostrar cómo de expuesta y vulnerable puede quedar la infraestructura sin la correcta configuración e implementación de estos equipos de seguridad.
El evento mostraba mediante la monitorización y logs de los equipos Radware, todos los ataques que se llevaban a cabo en cada nivel de seguridad configurado, mostrando como se visualiza en la herramienta de gestión los ataques realizados por los hackers. Desde la organización, con la idea de mostrar de una forma más sencilla los ataques que se realizaban a la plataforma, mostraron en una pantalla una visualización del mapa del mundo donde mediante el WAF integrado en su plataforma (Alteon) detectaba qué direcciones IP estaban generando tráfico malicioso, y estas se representaban en el mapa con la bandera del país asociado a dichas direcciones IP. En otra pantalla, se mostraba la monitorización de la solución defensePro (antimalware) indicando los tipos de ataques bloqueados que alertaban al sistema.
A cada hacker se le facilitó una conexión ethernet y una conexión Wifi, donde se le administraba 10 direcciones IP estáticas, y también podían recibir IP por DHCP. La estructura de la red para el escenario de la competición, constaba de una red segmentada para cada país que simulaba carriers distribuidos alrededor del mundo. La primera línea de defensa era el DefensePro, después un firewall Checkpoint, luego un balanceador de carga que distribuía el tráfico, el cual era enviado para su análisis a un WAF, y finalmente los servidores detrás de esta infraestructura.
Cada vez que se realizaba un ataque con éxito, se recibía una puntuación de acuerdo al nivel de seguridad que se encontrara en ese momento en los equipos de Radware. Cada ronda tenía una duración de 30 minutos, y a continuación se disminuía el nivel de seguridad. Sólo los 5 hackers con mayor puntuación avanzaban a la siguiente ronda.
Los retos a los cuales nos enfrentamos eran basados en el OWASP Top 10. Se había creado un entorno controlado donde el objetivo principal era vulnerar una aplicación de banca online con múltiples vulnerabilidades, protegida con los equipos RADWARE. Estos equipos hacían aún más difícil la intrusión de los hackers participantes. El principal problema radicaba en el baneo o bloqueo de direcciones IP una vez los equipos detectaban ataques.
Durante cada fase del CTF, los administradores del entorno de pruebas, disminuían las capas de protección, generando nuevas brechas de seguridad que podían ser explotadas. Por cada ataque con éxito, el jurado asignaba puntos a los equipos, donde el que obtuviera finalmente la mayor puntución resultaba el ganador de la competición.
Por parte de
Internet Security Auditors participaron Richard Javier Oliveros Álvarez y Julián Alberto Muñoz López. Ambos reflejaron el elevado nivel de conocimientos por parte del equipo de Internet Security Auditors, destacando el excelente trabajo realizado por Julian y la obtención del
primer lugar del CTF por parte de Richard Oliveros.
Los retos:
Los principales objetivos a cumplir por parte de los equipos eran:
- Lograr identificar los puertos abiertos del servidor y enumerar posibles vulnerabilidades.
- Identificación de la base de datos y explotación de la misma a través de distintos tipos de inyecciones.
- Elevación de privilegios.
- Explotación de ataques XSS.
- Manipulación de parámetros con fines delictivos.
- Ataques de denegación de servicio.
La estrategia Ganadora:
Al igual que en el procedimiento habitual para la planificación de una auditoria a una aplicación web, se debía realizar una fase previa de recopilación de información para conocer las características del sistema objetivo. En la página del evento (
http://www.hackers-challenge.co/index.html) se describía previamente que cada participante tendría un pool de 10 direcciones IP, lo cual daba a entender que los equipos de protección (en este caso,
RADWARE), bloquearían las direcciones IP que detectaran como sospechosas. De esta forma, se prepararon varias máquinas virtuales y dos equipos físicos a los cuales se les asignó una IP fija a cada uno de ellos para tener disponibilidad en caso de que una de las máquinas fuera baneada.
Por otra parte, se descargaron los manuales de los equipos
RADWARE, con el objetivo de buscar en las especificaciones los tipos de ataques que no soportaban o mitigaban, para así planear la mejor estrategia.
Al conocer que sólo se entregaría un punto de red físico para cada participante, se llevó un switch el cual permitiría conectar los dos equipos físicos a la red.
Como era evidente que los equipos
RADWARE bloquearían cada ataque que se realizara, previo al evento, se prepararon notas, scripts, métodos de ofuscación y evasión de escaneos e inyecciones, etc. y se instalaron en la máquina KALI que se utilizaría en el CTF.
Durante el evento, se pudo apreciar el fruto de dicha preparación. Mientras otros equipos encontraban dificultades a la hora de progresar, o se veían bloqueados por los dispositivos de seguridad, el equipo de Internet Security Auditors avanzaba rápidamente.
Cabe destacar que gran parte de las pruebas se ejecutaron de forma manual, y las herramientas, salvo Burp Suite y Tamper Data para la interceptación y manipulación del tráficos HTTP, tuvieron poco peso en las pruebas.
Las herramientas empleadas:
Para el escaneo de puertos y el análisis de vulnerabilidades, se utilizó Nmap con técnicas de evasión, Acunetix con credenciales de acceso a la aplicación, Burp Suite y el plugin de Firefox Tamper Data para la manipulación de peticiones, script Hulk.py y slowloris para ataques de denegación de servicio, y visor de desarrollador de Firefox para el análisis de código.
Como parte de los equipos del CTF, se encontraba personal militar de la unidad de telemática del ejército nacional de Colombia, los cuales no se clasificaron para la ronda final.
Autores: Richard J. Oliveros & Julián A. Muñoz
Departamento Auditoría