Nuevo informe: Honeypotting (permanente), un oído en Internet

La tecnología Honeypot nos permite poner un oído a la escucha en Internet con el objeto de tomar el pulso a las últimas amenazas de primera línea. Esto es, registrar y analizar los pasos preliminares que da un atacante (tanto como si se trata de un automatismo como un humano) previo a la penetración o infección del sistema. Esta infraestructura ha sido ampliamente usada desde mediados de la década de los noventa como punta de lanza en el descubrimiento de nuevos vectores de ataque.

Actualmente, los honeypots representan una línea más en la vanguardia de acceso a datos que facilitan la labor de investigación y desarrollo de soluciones orientadas a paliar las amenazas de seguridad. Además, también nos permiten disponer de un sistema que facilite o complemente la labor de detección de intrusiones en los sistemas defensivos de las organizaciones.

Hemos efectuado un pequeño repaso a una selección de eventos registrados en una sonda recogiendo el tráfico y expuesta durante algo menos de dos meses. Aunque el experimento no es nuevo, sí que puede llegar a suponer una puesta al día de qué y cómo se ataca de forma indiscriminada hoy en día. Hemos desgranado un autentico vertido de tráfico no solicitado, bots que escanean aleatoriamente (o interesadamente en determinados casos) para ver cómo se realiza en internet la «pesca de arrastre».

La tecnología Honeypot es un elemento común, desplegada tanto en laboratorios como por investigadores individuales. Es un valioso sensor que nos ayuda a componer una fotografía del estado de Internet en su modo más primitivo o salvaje: máquinas encontrando otras máquinas para intercambiar mensajes. Con un simple experimento, hemos podido comprobar que:

• SIP es un protocolo muy abusado en la red. Se buscan servidores vulnerables para atacar o realizar ataques a través de ellos. La herramienta más utilizada para conseguirlo es SIP Vicious, detectable por su user-agent «friendly-scanner« y con el método OPTIONS. Las direcciones IP vienen principalmente de Francia. 
• SSH, con más de 36.000 peticiones (2.560 direcciones únicas), es el protocolo del que más tráfico se ha recibido con diferencia. Estados Unidos lidera la lista de países de origen del tráfico SSH recibido. Le sigue China y a menor distancia Holanda, Vietnam, India, Francia y Rusia.
• En los ataques contra servidores SSH, no se está buscando un ataque por fuerza bruta que agote por completo un diccionario de contraseñas habituales. Lo que los atacantes de este servicio buscan es el servicio mal configurado o por defecto, probando un puñado de combinaciones de contraseñas y usuarios conocidos.
  
• Los usuarios intentados más repetidos son ‘root’ y ‘admin’ son, con diferencia, seguidos a distancia por ‘user’ y ‘pi’, ‘test’, ‘ubnt’, ‘guest’ o ‘ftpuser’.
  
• El tráfico restante lo componen protocolos comunes: DNS, HTTP, SNMP y algunos curiosos para Internet como DHCP 

Las conclusiones, si bien no desvelan grandes revelaciones, vienen a recordar la importancia de abordar la seguridad desde todas sus perspectivas. El verdadero reto, quizás, no está en recopilar esta información, sino en enfocar el esfuerzo del investigador para discernir qué parte de este tráfico es producido por agentes con una clara intencionalidad maliciosa, aprender de ello y articular este conocimiento para comenzar a idear soluciones que ayuden a mejorar la seguridad. Ahora bien, esta fotografía no puede ser estática. Para aprovechar al máximo el honeypot como tecnología de seguridad, es necesario realizar de forma permanente, y ligado al resto de soluciones de la compañía. Un honeypotting permanente que replique o simule la infraestructura concreta de una compañía (para centrar y eliminar falsos positivos) utilizado como elemento de seguridad directamente conectado a las soluciones de seguridad críticas, puede ayudar a estar al día en las últimas amenazas.

El informe completo está disponible aquí: