Inteligencia colectiva aplicada a la seguridad. Parte 2. ¡Las fuentes!

Estimados amigos del blog de Protegerse,

Hace unos días hablábamos  sobre la inteligencia colectiva. Introdujimos ese concepto como el uso de distintas fuentes de información de atacantes en internet (dominios, correos, direcciones ip,etc) para generar conocimiento útil para nuestras medidas defensivas.

En este capítulo del blog vamos a intentar enumerar las fuentes de información más populares en materia de seguridad informática, y sobre todo, de carácter gratuito.

Seguro que más de un lector o seguidor de redes sociales ha visto tweets publicados desde OTX AlienVault. ¿Qué es OTX? Tenemos que dejar claro que Alienvault es una compañía 100 independiente a Eset. Es un fabricante de tecnología SIEM para la gestión de eventos de seguridad. Sin embargo, de manera desinteresada, proporciona a los analistas e investigadores de seguridad un espacio de trabajo común en Internet en el que los analistas, de manera desinteresada, proporcionan información sobre sus investigaciones. Vamos a echarle un vistazo.

Como se aprecia en la imagen, podemos navegar por las distintas publicaciones al estilo de un muro de redes sociales. Vamos a pinchar sobre uno de los artículos con los que desde Eset España contribuimos desinteresadamente.

Como se puede ver, como resultado de nuestros trabajos de análisis de infecciones y amenazas en nuestros sistemas, los analistas generan información útil para el resto de investigadores. A esta información, o más bien a estos datos los llamamos IOCS (Indicators Of Compromise).

Podemos consultar los datos en detalle de cualquiera de estos IOCS. Imagina el caso de tener una alerta en un firewall, o un correo sospechoso. Podemos comprobar que ese correo, dominio, dirección ip, etc está en alguno de los artículos de la base de datos OTX para ofrecernos información previamente generada por otros. Recuerda que re-inventar la rueda…

Si quieres ir un paso más allá, puedes registrarte en la red OTX como “consumidor”. Es decir, si no pertenece a una organización que proporcione inteligencia puede registrarse para tener la información vía e-mail de manera automática para sus “follows” y sobre todo, porque en los artículos de OTX aparece la oportunidad de “Download” la lista completa de IOCS de un artículo. Es decir, como veíamos en el ejemplo anterior de Eset, podemos descargar TODA la información a un fichero CSV por ejemplo, para introducir esta lista de dominios, ip, correos, etc (IOCS) en nuestros firewalls o medidas de seguridad existentes.

Ahora es el turno de PASTEBIN. Pastebin es un servicio público, gratuito y anónimo, en el que muchos investigadores de seguridad y los propios hackers criminales publican su información para que esté disponible para todos. Por ejemplo, cuando leemos noticias de que se han comprometido cuentas de correo del fabricante XXX o tarjetas de crédito del banco YYY, suelen aparecer en PASTEBIN.

Podemos usar esta información para nuestro propósito, la defensa activa de nuestros sistemas. Vamos a ver unos cuantos PASTEBIN que me parecen interesantes.

http://pastebin.com/5pMyW2Xh En este Pastebin podemos ver una lista actualizada de User-Agents catalogados como maliciosos. El User-Agents es el identificador que usa el navegador para decirle al servidor web «eh, soy un móvil» o «soy Internet Explorer 8». Muchas herramientas de hacking descubren sus intenciones mediante este parámetro. Si bloqueamos estos «actores» de antemano, nos estamos quitando sin duda una gran fuente de dolores de cabeza.

http://pastebin.com/6cTfvtn8 En este Pastebin podemos ver una lista de las 500 contraseñas más usadas por los atacantes. Podemos hacer un ejercicio de auto-ataque, lo que se denomina pentesting. Podemos usar una herramienta de brute force contra alguno de nuestros sistemas, con una lista de usuarios conocida, y la lista de contraseñas, para verificar que ninguno de nuestros usuarios ha caído en la tentación de usar «12345» como su clave favorita.

Creo que con esto está bien para investigar un poco sobre las fuentes de inteligencia para nuestra defensa.

En los próximos capítulos aprenderemos distintas fuentes libres, muy interesantes, y sobre todo, intentaremos daros la «pincelada final», es decir, cómo implementar esta información en nuestros sistemas, ya sea un firewall personal, un firewall perimetral, un IDS, una pasarela anti-spam, etc.

¡¡Gracias por leerme!!