lunes, octubre 20, 2014

¿Quieres saber si tu conexión a Internet está en una botnet?

Durante el último Security Innovation Day 2014, una de las cosas que contamos es el acuerdo que hemos llegado desde Eleven Paths y Telefónica con la Digital Crime Unit de Microsoft para compartir información. Bajo ese acuerdo nosotros desde Telefónica compartiremos información desde el Big Data que utiliza el servicio de Vigilancia Digital y les daremos acceso a nuestra plataforma de investigación de malware para smartphones "Path 5", además de colaborar en la respuesta ante incidentes.

Figura 1: Cómo saber si una dirección IP está en una botnet detectada por Microsoft

Por otro lado, Telefónica & Eleven Paths se convierte en la primera empresa privada que firma con Microsoft un acuerdo como éste y estamos recibiendo ya un feed con los incidentes de malware que están siendo detectados por la Digital Crime Unit. El objetivo final de este acuerdo es mejorar la seguridad de los clientes conjunto de Microsoft y Telefónica a nivel mundial y para ello vamos a comenzar un trabajo de análisis de datos y cruce de información para ver qué puntos podemos unir en esta lucha.

 
Figura 2: Acuerdo entre Microsoft Digital Crime Unit & Telefónica - Eleven Paths

Otra de las entidades que está recibiendo este feed de información es INTECO desde hace tiempo. En su feed, ellos reciben todos los incidentes que tienen que ver con botnets en equipos detrás de conexiones desde direcciones IP de España y para conseguir que los usuarios tomen medidas, se ha creado un servicio desde la Oficina de Seguridad del Internauta, que permite consultar si tu conexión IP a Internet ha aparecido dentro de las redes detectadas como infectadas.

Figura 3: Servicio AntiBotnet de la OSI 

El servicio es muy sencillo, basta con Aceptar las condiciones del servicio y recibirás si desde la dirección IP desde la que te estás conectando Microsoft tiene información de algún equipo infectado o no.

Figura 4: Comienzo de acceso al servicio

Recibirás una respuesta que te dirá, además, qué información relativa a ese incidente hay disponible y enlaces con más detalles sobre la dirección IP y la infección detectada para tomar acciones al respecto.

Figura 5: Resultados. Mi conexión no aparece en ese feed.

Otra de las opciones que hay disponibles es la de llevar la consulta a esta información mediante un plugin de navegador que te permita tener una alerta en cualquier conexión en la que te estés conectando.

Figura 6: Plugin OSI AntiBotnet para Google Chrome

Esto es útil para entender cuándo una red a la que te estás conectando no es lo segura que debería y tomes las medidas oportunas. Si la conexión aparece en el feed, además se podrá tener información del sistema operativo en concreto que estaba infectado, por lo que si eres una empresa deberás comenzar a tomar medidas.

Figura 7: Información del plugin para Google Chrome

Nosotros ahora, desde Eleven Paths vamos a comenzar a analizar esta maravilla de información para ver qué podemos construir que desde que cerramos el acuerdo estamos analizando los detalles concretos para sacar el máximo de ella. Además, gracias a un acuerdo de este año con Kaspersky contamos con otra fuente de información a cruzar que seguro que nos ayuda a entender mejor las amenazas.

Saludos Malignos!

21 comentarios:

  1. Cada cuanto se actualiza la información? Es decir. Si aparezco como parte de una botnet y hago lo necesario para eliminar todo rastro de malware, a cuánto tiempo puedo volver a chequear y ver si ya no formo parte de esta botnet ya con info actualizada.

    Por otro lado a darle un vistazo a las condiciones de servicio, nunca está de más. Buena iniciativa

    ResponderEliminar
  2. ¿El servicio es sólo para redes de España o la base de datos de bot nets es aplicable para otros países?

    ResponderEliminar
  3. a la gente sólo le preocupa que funcione internet, no si su ordenador está infectado y forma parte de una botnet, sólo cuando su conexión a internet empieza a ir muy lenta, muy lenta, entonces mueve un dedo.

    ResponderEliminar
  4. Pero casi todo el mundo tiene direcciones IP dinámicas no sabes si es tu máquina la que está infectada o es la de alguien que vive cerca de ti.

    Si quieres saber si estas infectado tienes que utilizar un buen antivirus que conozca el troyano que tienes instalado.

    Afortunadamente ya no hay tanta gente que sepa programar una buen motor de polimorfismo o un buen rootkit que consiga Ring0 y convierta al sistema operativo en un sistema mentiroso que engañe incluso a los antivirus. El malware ha perdido mucha calidad, pero ha ganado cantidad.

    Eso significa que es posible que muchos troyanos sean detectados por algunos antivirus incluso aunque no esté en su base de datos.

    Pero como esté programado por alguien que sabe puedes darte por jodido. Aunque eso es improbable, casi todos han abandonado el mundillo o trabajan para algún servicio de inteligencia o similar.

    Y tampoco estoy tan seguro que los que trabajan para la CIA o la NSA sean de los que saben. He oído que el carnívore es una chapuza.

    ResponderEliminar
  5. Pero donde esta el enlace???????

    ResponderEliminar
  6. Los q no estamos en Territorio Español q opciones similares a esta (q ofrezacn un servicio asi sea de lo mas basico) tenemos?

    ResponderEliminar
  7. Osea que la herramienta la proporciona o es en colaboración con Kaspersky.........yo he trabajado en esa compañia y lo cierto es que la llevais clara....y mas teniendo en cuenta que la mayoria del codigo malicioso proviene de su pais de origen Rusia.

    Ademas de que el software proporcionado no es malo ni cutre..es lo siguiente

    ResponderEliminar
  8. @Anonimo de Kaspersky, la ira no te ha dejado leer. Lee el post y no digas tonterías que la info es de Microsoft y la proporciona INTECO.

    Saludos!

    ResponderEliminar
  9. @Anonimo de Kaspersky, la ira no te ha dejado leer. Lee el post y no digas tonterías que la info es de Microsoft y la proporciona INTECO.

    Saludos!

    ResponderEliminar
  10. >descargar plugin para no estar en botnets

    Que ironía

    ResponderEliminar
  11. Pues para linux cuando vas a desscargar antivirus te lleva a uno de windows. No he sido capaz de encontrarlo.

    ResponderEliminar
  12. Personalmente tengo mis dudas que este servicio sea o no legal. Al final no se tiene la certeza que solo busquen eso o algo mas, o se use para otras cosas ese servicio. Al final la infraestructura ya esta montada y usarla para otros fines seria MUY FACIL.
    Estoy de acuerdo con algunas cosas que se dicen en este post cuando se habla de este servicio: https://pacientecero.wordpress.com/2014/10/17/antibotnet-inteco/
    un saludo

    ResponderEliminar
  13. Me hace gracia ver esto cuando la semana pasada le pregunte a mi profesor de seguridad si había manera alguna de saber si mi ordenador formaba parte de una botnet y el me contesto que no que era imposible.

    ResponderEliminar
  14. El Lado del Mal realmente ya se convirtió en el verdadero lado del mal.
    La publicidad de Telefonica ya viene de seguido bajo previo pago multimillonario.
    Cuanto dejas de desear, vendido de ******.

    ResponderEliminar
  15. Muchas gracias a todos los paletos que deciden acceder a semejante vulnerabilidad de su privaciadad. Desde ITECO (Gobierno de España) seguro que se lo agradecen enormemente.
    Realmente alguién es conocedor para quien trabaja este elemento? Leyendo los comentarios lo dudo.

    ResponderEliminar
  16. @maligno habrá gente con ira (si tu lo dices) pero a gentuza como tu le ha perdido el dinero.
    Reconocelo por lo menos.
    (ya sabemos que eso de aceptar críticas no es lo tuyo pero para eso cobras mas de seis cifras al año de nuestro dinero, campeón)
    PD. Saludo a Rato si le ves por las oficinas.

    ResponderEliminar
  17. @Anónimo, gracias por tus últimos 3 inteligentes comentarios. Yo también los firmaría en anónimo si fuera tú para que no avergonzarme.

    Saludos!

    ResponderEliminar
  18. Quisiera saber de un servicio similar pero para IP de fuera de España.

    ResponderEliminar
  19. esto cacheara grandes botnets ¿no? si un niño te cuela un virus no creo que salte ninguna alarma...¿me explico?
    además el tema de las IP dinamicas... no me convence nada este servicio...

    ResponderEliminar
  20. Muy buen post,me encanta tu blog...
    Quería saber si tienes algún vídeo en el que hables de la vulnerabilidad de las cuentas de redes sociales ante ataques ajenos.Me refiero a que no haga falta conectarse a la red de la víctima y pueda descubrir su contraseña.
    Muchas gracias!!!

    ResponderEliminar
  21. ["...Nosotros ahora, desde Eleven Paths vamos a comenzar a analizar esta maravilla de información para ver qué podemos construir que desde que cerramos el acuerdo estamos analizando los detalles concretos para sacar el máximo de ella..."]

    Ya un año después, Chema, habeis sacado en coclusión, seguí dandole forma a algo, o algo de lo que habeis sacado no he caído que tiene que ver con esto? Gracias

    ResponderEliminar