Nuevo informe: Honeypotting (permanente), un oído en InternetElevenPaths 16 octubre, 2018 La tecnología Honeypot nos permite poner un oído a la escucha en Internet con el objeto de tomar el pulso a las últimas amenazas de primera línea. Esto es, registrar y analizar los pasos preliminares que da un atacante (tanto como si se trata de un automatismo como un humano) previo a la penetración o infección del sistema. Esta infraestructura ha sido ampliamente usada desde mediados de la década de los noventa como punta de lanza en el descubrimiento de nuevos vectores de ataque. Actualmente, los honeypots representan una línea más en la vanguardia de acceso a datos que facilitan la labor de investigación y desarrollo de soluciones orientadas a paliar las amenazas de seguridad. Además, también nos permiten disponer de un sistema que facilite o complemente la labor de detección de intrusiones en los sistemas defensivos de las organizaciones. Hemos efectuado un pequeño repaso a una selección de eventos registrados en una sonda recogiendo el tráfico y expuesta durante algo menos de dos meses. Aunque el experimento no es nuevo, sí que puede llegar a suponer una puesta al día de qué y cómo se ataca de forma indiscriminada hoy en día. Hemos desgranado un autentico vertido de tráfico no solicitado, bots que escanean aleatoriamente (o interesadamente en determinados casos) para ver cómo se realiza en internet la «pesca de arrastre». La tecnología Honeypot es un elemento común, desplegada tanto en laboratorios como por investigadores individuales. Es un valioso sensor que nos ayuda a componer una fotografía del estado de Internet en su modo más primitivo o salvaje: máquinas encontrando otras máquinas para intercambiar mensajes. Con un simple experimento, hemos podido comprobar que: SIP es un protocolo muy abusado en la red. Se buscan servidores vulnerables para atacar o realizar ataques a través de ellos. La herramienta más utilizada para conseguirlo es SIP Vicious, detectable por su user-agent «friendly-scanner« y con el método OPTIONS. Las direcciones IP vienen principalmente de Francia. SSH, con más de 36.000 peticiones (2.560 direcciones únicas), es el protocolo del que más tráfico se ha recibido con diferencia. Estados Unidos lidera la lista de países de origen del tráfico SSH recibido. Le sigue China y a menor distancia Holanda, Vietnam, India, Francia y Rusia. En los ataques contra servidores SSH, no se está buscando un ataque por fuerza bruta que agote por completo un diccionario de contraseñas habituales. Lo que los atacantes de este servicio buscan es el servicio mal configurado o por defecto, probando un puñado de combinaciones de contraseñas y usuarios conocidos. Los usuarios intentados más repetidos son ‘root’ y ‘admin’ son, con diferencia, seguidos a distancia por ‘user’ y ‘pi’, ‘test’, ‘ubnt’, ‘guest’ o ‘ftpuser’. El tráfico restante lo componen protocolos comunes: DNS, HTTP, SNMP y algunos curiosos para Internet como DHCP Las conclusiones, si bien no desvelan grandes revelaciones, vienen a recordar la importancia de abordar la seguridad desde todas sus perspectivas. El verdadero reto, quizás, no está en recopilar esta información, sino en enfocar el esfuerzo del investigador para discernir qué parte de este tráfico es producido por agentes con una clara intencionalidad maliciosa, aprender de ello y articular este conocimiento para comenzar a idear soluciones que ayuden a mejorar la seguridad. Ahora bien, esta fotografía no puede ser estática. Para aprovechar al máximo el honeypot como tecnología de seguridad, es necesario realizar de forma permanente, y ligado al resto de soluciones de la compañía. Un honeypotting permanente que replique o simule la infraestructura concreta de una compañía (para centrar y eliminar falsos positivos) utilizado como elemento de seguridad directamente conectado a las soluciones de seguridad críticas, puede ayudar a estar al día en las últimas amenazas. El informe completo está disponible aquí: Honeypotting: Un oído en Internet from ElevenPaths Innovación y laboratorio www.elevenpaths.com Security Innovation Day 2018: Game is Never OverQuiz ElevenPaths: ¿Qué tipo de hacker eres?
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...