¿Qué hizo Facebook para defenderse con éxito contra LulzSec?

La respuesta de Tom tiene mucha información, saltando aquí para un A2A con algunas ideas más.

Ejecuté Incident Response en Facebook y nos coordiné durante esos días. Por lo general, alrededor del 5 de noviembre nos enteramos de una amenaza pública de Anónimo. Fue una gran cantidad de trabajo de los medios, pero no un gran esfuerzo en la respuesta real, porque el pánico público generó más trabajo que cualquier ataque real.

Algo interesante es que muchos de nuestros empleados tenían cierto sabor a antecedentes de hackers. Nos defenderíamos vigorosamente, pero respetábamos mucho a cualquier grupo de ataque que fuera para protestar en lugar de obtener ganancias.

Estábamos acostumbrados a estados nacionales hostiles, grupos de APT, spammers criminales, etc. Así que este era un tipo interesante de defensa contra el cual parecía más desinteresado.

Además, estos ataques casi siempre estaban relacionados con la “Toma de control de cuenta”. Estos no fueron ataques a nuestra infraestructura o empleados, como verías en las amenazas APT más modernas de un adversario bien financiado. Entonces, la mayor parte de este análisis gira en torno a esa limitación.

2010 (?)

Recuerdo una amenaza legítima de Anónimo cuando se encontraron con una gran base de datos de credenciales y planearon ataques basados ​​en ella. Esto se realizó en un canal público de IRC, por lo que rápidamente recibimos una copia de estos datos y restablecimos de manera proactiva a los usuarios con contraseñas comprometidas. Respuesta técnica bastante simple.

Nota al margen, esta táctica de recopilación de credenciales se convirtió en nuestra estrategia general para recopilar contraseñas filtradas y mitigarlas automáticamente.

2011 y adelante

Realmente nunca tuvimos que hacer mucho cuando escuchamos sobre grandes amenazas publicitadas. Por dos razones:

Primero: la mayoría de los anuncios de #OpFacebook no tenían soporte. Casi anualmente, alguien adoptaría algunas imágenes de Anonymous en un video de YouTube mal hecho que Anonymous “derribará Facebook”. Algunos reporteros ingenuos aceptan esto como verdad y lo informan, y emiten correcciones cuando el resto de Anonymous lo refuta. Ejemplo:

Segundo: con el tiempo, nuestros sistemas se volvieron extremadamente sofisticados al bloquear cualquier tipo de abuso a gran escala, especialmente con el correo no deseado, el compromiso de la cuenta, el volcado de credenciales, ese tipo de cosas. Esto hace la vida complicada para un nuevo atacante. Como dije, la mayoría de estas amenazas estaban usando estas técnicas.

Para que un “chico malo” tenga realmente una verdadera posibilidad de éxito con un gran ataque, tendría que ser un actor de amenazas que siguiera con la carrera armamentista abusiva desde aproximadamente 2007 en adelante, a menos que hayan sido pioneros en alguna técnica nueva.

Entonces, cada vez que se anuncie un gran ataque coordinado como este, casi siempre fracasaría por falta de apoyo o falta de éxito temprano. Este análisis se aplica principalmente a las tácticas que usaron en torno a la toma de control de la cuenta. Si se hubieran acercado a operaciones similares a un grupo APT, las cosas podrían haber sido muy diferentes, pero no estaban organizadas en ese momento para ser tan exitosas como un grupo de intrusión y nos atacaron en un área profundamente invertida de nuestra seguridad.

La pregunta era sobre LulzSec. Estoy hablando mucho sobre las primeras amenazas de Anónimo, pero esos tweets (que desde entonces han sido eliminados) son de LulzSec.

Bueno, la verdad es que no recuerdo que LulzSec haya apuntado específicamente a FB. En retrospectiva, ahora sabemos que casi todos ellos participaron en el famoso Anonymous #Ops, y probablemente estuvieron expuestos a cómo mejoramos nuestras defensas a lo largo de los años y desarrollamos algún tipo de opinión positiva al respecto. Topiary parece haber manejado la cuenta de Twitter, por lo que él sería el hombre que preguntaría al respecto, y me gustaría saber qué inspiró exactamente a los Tweets sobre nuestros brazos Anti-Hacker. Ciertamente nos halagó.

Related Content

¿Cómo nacen los keygens?

Seguridad de la información: ¿Cuáles son algunas historias intrigantes interesantes?

¿Cuál es todo el proceso para convertirse en un hacker ético certificado? ¿Cómo se aprende? ¿Dónde debería uno comenzar?

¿Hay alguna buena herramienta de piratería visual?

¿Han disminuido los huevos de Pascua en el software a lo largo de los años?

Uno de sus otros tweets proporciona una pista: https://twitter.com/#!/LulzSec/s

El equipo de seguridad de Facebook adopta una serie de enfoques cuando ocurren infracciones a gran escala como esta (Gawker, Sony, etc.). Un paso rápido es obtener la lista de cuentas expuestas y obligar a esos usuarios a pasar por un proceso más riguroso la próxima vez que intenten iniciar sesión en Facebook.

La mayoría de las personas en Internet reciclan sus correos electrónicos / contraseñas cuando se registran para cada servicio. Una vez que los actores maliciosos tienen combinaciones de correo electrónico / contraseña, intentan usarlos para iniciar sesión como esos usuarios en otros sitios, de los cuales Facebook es un gran objetivo. Perder el control de una cuenta de Facebook puede ser vergonzoso (exponer conversaciones / fotos privadas a terceros) o extremadamente perjudicial para una marca (es decir, si el administrador de una página de Facebook de alto perfil se ve comprometido, y esa cuenta se utiliza para publicar contenido no deseado en un Página con millones de seguidores).

Sin embargo, restablecer las sesiones de usuario / contraseñas no es suficiente. La mayoría de las veces los atacantes podrán acceder a las cuentas de Gmail / Hotmail e iniciar el restablecimiento de la contraseña utilizando la misma contraseña para acceder a la cuenta de correo web.

Facebook tiene algunas formas de responder a esto, pero cosas como las captchas sociales ( https://www.facebook.com/blog.ph …) son un enfoque que hace que sea cada vez más difícil para los atacantes aleatorios en Internet obtener acceso a las cuentas que han tenido credenciales filtradas por otras entidades de Internet.

Christopher Palow

More Interesting

¿Quién es el hacker peligroso del mundo?

Ciberguerra: ¿Es serio el gobierno de los EE. UU. Cuando afirma en la "Estrategia internacional para el ciberespacio" recientemente publicada que "Cuando esté justificado, Estados Unidos responderá a los actos hostiles en el ciberespacio como lo haría con cualquier otra amenaza para nuestro país"?

¿Puede técnicamente robar físicamente o leer datos que son electrónicamente seguros?

¿Qué medidas de seguridad usan los hackers para mantener seguras sus interacciones en línea y computadoras?

¿Qué tan seguros son los teclados virtuales basados ​​en la web?

¿Qué lenguaje de programación usan los hackers?

¿Hay alguna prueba de la participación del gobierno chino en los ataques cibernéticos contra redes y sitios web en los Estados Unidos?

Mis instintos dicen que mi esposo me está engañando, pero quiero pruebas antes de acusarlo. ¿Cómo puedo descifrar su cuenta de correo electrónico? Usa instrucciones amigables para los novatos, si puedes.

¿Qué lenguaje de scripting basado en web es el mejor para hackear?

¿Cuáles son algunas de las mejores películas de "piratería"?

¿Cuáles son algunos de los grandes problemas de seguridad móvil que aún no se han resuelto (agosto de 2012)?

¿Cuál es la mejor manera de asegurar un sistema operativo que resista el análisis forense?

¿Por qué todavía existe la piratería si las vulnerabilidades están expuestas? ¿Las vulnerabilidades son interminables?

¿Los hackers descubren vulnerabilidades por prueba y error? Si no, ¿cuál es un método sistemático para identificar vulnerabilidades?

¿Por qué se extiende ampliamente el rumor de que los sistemas Linux no pueden ser pirateados? ¿Hasta qué punto es verdad?