Cloudflare Radar: Open (Security & Network) Data para CERTs & CSIRTs

La empresa Cloudflare tiene disponible para todos los equipos de seguridad, especialmente para los CERTs y los CSIRTs, el servicio Cloudflare RADAR de datos abiertos sobre lo que está pasando en su red y en sus servicios de seguridad, y te permite tener una visión de lo que está pasando en la seguridad de Internet desde sus servicios, lo que complementa la información que tengas desde otras fuentes de datos. Al final, la colaboración y la compartición de datos entre los equipos de ciberseguridad es fundamental para protegernos entre todos.

Figura 1: Cloudflare Radar - Open (Security & Network)

Data para CERTs & CSIRTs

Los servicios de ciberseguridad de Cloudflare ofrecen protección para los activos que las empresas tienen en Internet, que van desde proteger los sitios web o sus plataformas de e-commerce expuestos en la red frente a ataques de DDOS, hasta proteger el e-mail, pasando por WAFs, protección contra interceptación de conexiones de red, protección de servicios de DNS, protección contra técnicas de WebScrapping como vimos con AI Labirynth, o los más modernos servicios de monitorización y protección de servicios digitales basados en arquitecturas de Inteligencia Artificial.

Figura 2: Servicios de Seguridad de Cloudflare

Si te interesa este mundo del las fuentes abiertas de datos, o quieres tener información de seguridad desde un punto de vista privilegiado, Cloudflare Radar te puede ayudar a completar tus dashboards de OSINT para tus servicios de CERT o para tus investigaciones en un CSIRT.

Figura 3: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Toda esta información puede ser consumida vía API, mediante un Dashboard web/mobile, o mediante el uso de un Asistente AI al que se le puede preguntar por datos concretos, informes, e información en las bases de datos de Cloudflare Radar.

Figura 4: Consola de Cloudflare Radar

En este panel tienes datos de todos esos servicios, procesados, filtrados, destilados y disponibilizados para que puedas interactuar con ellos y sacar detalles que puedan ayudarte en tu trabajo en ciberseguridad, o entender mejor qué está pasando o qué va a pasar.

Figura 5: GPTBot lidera los escaneos recientes como USER-Agent

Como los datos de Cloudflare están centrados en Ciberseguridad, y debido a que muchos de ellos proceden de sus servicios de protección, el curado de los datos está orientado a ello, por lo que se pueden obtener datos de ataques, informes de incidentes recientes, estadísticas de dominios atacadas, bots maliciosos, etcétera.

Figura 6: Informe de un Phishing de ayer mismo

(aún activo a día de hoy)

Todos los datos están procesados, pero están los detalles disponibles, por lo que si ves este informe de Phishing de ayer mismo, puedes ver incluso los ficheros de la web que se han descargado, y absolutamente todos los datos disponibles.

Figura 7: Detalles del incidente de Phishing

La información completa y detallada de la API la tienes en la web para Devevelopers de Cloudflare, donde por ejemplo tienes APIs para tener datos de anuncios de BGP - uno de los ataques Nation State que hemos visto en el pasado - que pueden alterar la seguridad de las redes a nivel de conexión. 

Figura 8: Descripción de las APIs de BGP en

el portal de developers de Cloudflare

Esa información, también la puedes analizar directamente desde la consola de Cloud Radar, y ver si todo está como debe, si hay una actividad maliciosa o si se ha producido un Hijacking de una determinada ruta de interconexión de redes que pueda ser un riesgo, o que explique cómo se ha producido un ataque.

Figura 9: Información de las rutas BGP las últimas 48 horas

Los datos también dan información sobre el DNS, o los incidentes detectados por los productos de seguridad de e-mail security (recordad que sigue siendo el principal vector de ataque en las empresas), teniendo datos en tiempo real de cuando una campaña de ataque ha comenzado.

Figura 10: Información de E-mail Security en Cloudflare Radar

Y datos de dominos más peligrosos, cabeceras de seguridad de cada mensaje, y datos de las protecciones SPF, DKIM y DMARC de estos mensajes, para detectar las debilidades que los atacantes están explotando en sus campañas.

Figura 11: Los TLDs más vistos en los sistemas que originan más ataques

Y si además del Dashboard de Cloudflare Radar o de las APIs de Cloudflare Radar quieres encontrar algo usando lenguaje natural, puedes usar el Asistente AI que tienes disponibles, donde puedes interactuar con él para aprender todo lo que necesites de los datos disponibles.

Figura 12: Asistente AI de Cloudflare Radar

Al final, es una fuente de información que tienes disponible para utilizar en cualquier momento, y si te gusta este mundo, merece la pena que entres en Cloudflare Radar y mires todos datos que tienes disponibles, listos para utilizar en tus sistemas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Office 365: Cómo reducir el spam y el ruido en tu e-mail y sacar más tiempo a tu vida.

Hace tiempo que gestiono y mis buzones de correo electrónico y mis redes sociales en modo "Whitelist" o "Lista Blanca". Es decir, no contesto ningún mensaje de correo electrónico que no venga de alguien que tenga en mi lista blanca de contactos. Personas con las que trabajo en mi compañía, o colegas con los que llevo años colaborando de manera fluida. Todos los demás, son borrados y bloqueados, porque mi buzón de correo es una herramienta de trabajo que tiene que serme útil para sacar mis tareas y permitiendo que cualquiera pueda robarme tiempo y atención escribiéndome un e-mail no me ayudaba a eso.

Figura 1: Office 365: Cómo reducir el spam y el ruido

en tu e-mail y sacar más tiempo a tu vida.

Para todo lo demás, tengo un canal de comunicaciones abierto a todo el mundo, donde todo el que quiera para algo que sea importante para él, que quiera presentarme algo, invitarme a algo, o contarme algo, puede hacerlo. Es un canal que, como los otros, también gestiono en Inbox Zero, es decir, que contesto en un plazo de tiempo súper corto: Es mi buzón de MyPublicInbox, donde está abierto a todos.

Figura 2: He contestado 1420 mensajes por mi buzón de MyPublicInbox

Gracias a esta disciplina de trabajo con mi correo electrónico y redes sociales, yo hago Inbox Zero, si no todos los días, casi todos los días, dejando que las tareas importantes de mi trabajo se lleven mi tiempo, y no contestar mensajes. Y para ello, la regla número uno es proteger qué correos entran en tu buzón de Office 365, especialmente desde que hay empresas que se dedican a vender tu contacto, como la empresa que os conté que vendía mis datos y con la que tuve mis más y mis menos.

Protegiendo los correos que entran en el inbox de mi Office 365

Así, cuando llega un mensaje a mi buzón de correo electrónico personal o del trabajo de alguien que no está en mi "Whitelist" de destinatarios, he configurado una regla que envía un mensaje de respuesta que dice:

[Respuesta Automática - English below ] 

¡Hola! 

Gracias por contactar conmigo, pero como bien sabes, el tiempo es oro, y para proteger el mío, te escribo este mensaje automático para informarte de que este buzón solo acepta los mensajes que están dentro de la lista blanca. Y esta dirección no está entre ellas. 

No respondo mensajes por este buzón ni ninguna otra plataforma social. Este tipo de mensajes los contesto a través de la plataforma de comunicaciones responsables con el tiempo de las personas MyPublicInbox, donde tengo un buzón público en la siguiente dirección. 

    • https://www.mypublicinbox.com/ChemaAlonso 

 

Si quieres proponerme algo, tener una reunión de trabajo, o buscar oportunidades de colaboración juntos, no dudes en contactarme. Puedes reservar tiempo para una reunión virtual conmigo aquí: 

    • https://www.mypublicinbox.com/chemaalonso/videocall

Espero que comprendas que el tiempo que puedo dedicar a responder mensajes diariamente es muy limitado. 

¡Gracias! 

[English Version] 

 

Hi! 

 

Thanks for reaching me, but as you probably know, time is gold, and to protect mine, this is an automatic reply to inform you that I do only answer messages from a whitelist, and your address is not on it. 

 

I do this kind of communications using MyPublicInbox, a responsible communications platform. I have a public Inbox at: 

 

    • https://www.mypublicinbox.com/ChemaAlonso 

 

You can also book time in my agenda for a Virtual Meeting here: 

    • https://www.mypublicinbox.com/chemaalonso/videocall 

 

If you want to propose a collaboration, a meeting, or any professional opportunity, you can reach me there. I hope you may understand my daily time to answer messages is limited and I need to protect it. 

Thanks!

Al final, es una manera directa para contactar conmigo, pero claro, está protegido por Tempos, que es lo que defiende mi tiempo. Una barrera insalvable para quien realmente no tiene tanto interés en mi tiempo como para no contactarme, así que me ayuda mucho. 

Figura 3: En las opciones del correo de Office365 sólo se puede

bloquear a nivel de e-mail address y no a nivel de dominio.

Además de la respuesta, la regla de Office365 me envía el mensaje a una carpeta donde puedo revisarlos antes de bloquearlos, y es aquí donde comienza lo que os quería contar, ya que el bloqueo, como podéis ver en la imagen anterior es a nivel de e-mail address ni a nivel de domino. Claro, esto los spammers profesionales se lo saben y utilizan diferentes e-mail addresses con el mismo dominio para ir cambiando y evitando los bloqueos. 

Bloqueando dominios de correo en Office365

Queriendo evitar esto, después de haberme dado cuenta de que varios tipos de correo los había bloqueado, decidí revisar si era mi imaginación, o estaban haciéndome este truco, así que para saber si esto te ha pasado, es tan sencillo como irse a las Opciones de Configuración de Office 365 e ir a la parte de "Junk e-mail" para buscar por el dominio que crees que has bloqueado varias veces, y buscar ese dominio a ver si es cierto que está haciendo el cambio de e-mail address para cada nuevo envío.

Figura 4: Ahí está, cada envío al mes, un nombre nuevo.

Pues nada, desde esa misma pantalla de configuración, puedes bloquear directamente un dominio, así que cuando te pase esto, al zurrón y todos a la playa para próximos envíos, que esto es algo muy común de los más "heavy spammers".

Figura 5: Bloquear un dominio de correo en Officer365

Para hacerlo basta con poner el nombre del dominio y luego darle al botón de +Add y listo. Ya te has zapado todos los remitentes de ese dominio. 

Revisando la Cuarentena con Defender

Claro, puede pasar que en una de estas se te haya ido la mano y hayas bloqueado algo gordo que quieras revisar. Para ello, además de irte a ver las direcciones de correo electrónico y los dominios que has bloqueado en las opciones del Mail en Office 365 (la ruta de la Figura 5), puedes irte a Microsoft 365 Defender a ver la carpeta de Cuarentena y revisar qué no te ha entregado el sistema de seguridad.

Figura 6: Microsoft 365 Defender en Security.Microsoft.com

Ahí en la cuarentena puedes ver todos los correos que el sistema de seguridad de Microsoft 365 Defender junto con tus reglas de bloqueo han puesto en cuarentena durante 30 días, y buscar, si quieres, a ver si algo se te ha ido de madre por exceso de restricción.

Figura 7: Mi Cuarentena en Office 365

La verdad es que no me ha pasado nunca que haya algo en la Cuarentena que haya bloqueado por exceso de protección de mi tiempo, pero sí que es cierto que una vez al mes me paso a verlo por curiosidad, a ver si aprendo algo o puedo mejorar el sistema.  

Figura 8: Un mensaje de promoción en mi cuarentena

Ahí puedes revisar el correo, mirar el mensaje original, las cabeceras, revisar los resultados de las pruebas de SPF, el DKIM, el DMARC, y ver el valor SCL (Spam Confidence Level) que ha recibido cada mensaje para acabar en esa carpeta, como podéis ver en este caso.

Figura 9: SCL 9. Todo un sobresaliente como Spam

Por supuesto, lo puedes liberar de la cuarentena, bloquear o desbloquear ese remitente (si no lo tenías bloqueado antes), etcétera, pero ya os digo que suele funcionar todo bastante fino.

Figura 10: Acciones con los mensajes en la cuarentena

Al final, lo que me sucedía es lo que probablemente os pasa a muchos de vosotros. Habéis interiorizado la tarea de hacer esto manualmente, y os pasáis el día borrando mensajes de correo, leyendo mensajes de gente que os roba tiempo por el e-mail, de una manera tan rutinaria que ya no sois conscientes de la cantidad de tiempo que perdéis en ello. Yo decidí trabajar en proteger mi e-mail y para mí es gestionar el buzón no es algo que me quite casi tiempo, donde además yo tengo un montón de reglas para evitar la burocracia personal. Leeros este artículo de hace tiempo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Check Azul en Gmail: Cómo conseguir que tus mensajes estén verificados y reducir el riesgo de ser Spam y el Phishing

Si eres un usuario de MyPublicInbox, habrás visto que las alertas y mensajes de comunicación, cuando te llegan a tu cuenta de Gmail, llegan con el un check azul verificado que identifica que el mensaje llega realmente de MyPublicInbox. Para ello, el equipo técnico ha implementado el estándar BIMI, que permite registrar la marca y garantizar que se han configurado correctamente los servidores que envían correo legítimo de de MyPublicInbox.

Figura 1: Check Azul en Gmail: Cómo conseguir que tus mensajes

estén verificados y reducir el riesgo de ser Spam y el Phishing

He hablado mucho de seguridad en el correo electrónico, ya que este caos maravilloso que es el e-mail hace que tenga muchas "goteras" por las que pasa el malware, el cibercrimen, el phishing, el spam, el spoofing, y muchas otras cosas. No es casual que por eso creáramos MyPublicInbox. Pero hoy quería contaros cómo es el proceso de poner ese Check Azul en los mensajes de correo electrónico legítimos de tu empresa cuando llegan a Gmail y servidores de correo que implementan el estándar BIMI.

Figura 2: Mensaje verificado de MyPublicInbox en Gmail

El proceso implica, primero, hacer los BASICS, y estos son los que ya conocéis de muchos artículos pasados. Hay que configurar correctamente los registros SPF, DKIM y DMARC, para conseguir pasar a la siguiente fase.

Figura 3: Configuración BASIC para BIMI

SPF o Sender Policy Framework le indica al servidor de correo electrónico del destinatario qué debe de hacer cuando reciba un mensaje que venga de una dirección IP de un servidor de correo electrónico saliente que no esté en la lista de los autorizados. Esto es, subir el SCL (Spam Confidence Level), descartarlo o darlo por bueno. Y el registro es de tipo TXT que tienes que configurar en DNS.

Figura 4: Registro SPF de MyPublicInbox.com

DKIM (Domain Key Identified Mail) es un sistema por el cual el correo electrónico, cuando sale del servidor de correo saliente, es firmado por una clave que está en el DNS de la organización del remitente. Así, cuando llega el mensaje, en el código del mensaje se puede ver qué clave de firma se utilizó.

Figura 5: Firma DKIM en código de mensaje recibido.

Se usa la calve domabs

Y por supuesto, se debe poder verificar esa clave en el registro DKIM correspondiente del servidor DNS de la organización, así que hay que configurar correctamente DKIM siguiente las especificaciones del servidor de correo saliente que estés utilizando.

Figura 6: Clave domabs de DKIM en DNS de MyPublicInbox

Por último, hay que configurar DMARC (Domain-based Message Authentication, Reporting & Conformance) que implica una coordinación de qué hacer con el mensaje en caso de diferentes situaciones con SPF y DKIM. Es decir, es un proceso de validación en cadena donde primero se obtiene el resultado de la validación SPF, luego la validación DKIM y en función de eso, se aplica la política DMARC. Lo expliqué en el artículo que le dediqué al registro DMARC.

Figura 7: Registro DMARC en DNS de MyPublicInbox

Si quieres que tu organización tenga el "Check Azul" de Gmail, tienes que configurar correctamente DMARC también en tus servicios DNS, para que se pueda comprobar correctamente. Y si es así, cuando envíes un correo electrónico a un destinatario de Gmail, en el código fuente del mensaje obtendrás un resultado similar a este.

Figura 8: SPF, DKIM y DMARC pasados. Vamos a por el BIMI

Ahora tienes que ir a la siguiente fase, que es registrar y certificar el logo de tu marca. Para ello, debes primero subir el formato gráfico del logo de tu marca que tienes registrado en el registro de marcas, así que si no has registrado tu marca, debes comenzar por ese paso. Luego, registra y sube el SVG de tu marca, como se explica en este artículo.

Figura 9: Sube el SVG del Logo de tu marca

Pero aún no has acabado, debes conseguir el certificado del registro de tu marca, que permita validar digitalmente que tu imagen está registrada a tu nombre. El VMC (Verified Mark Certificate), que puedes conseguir con el proceso que te explica este artículo.

Figura 10: Consigue el VMC

Perfecto, si ya tienes todo lo anterior, el siguiente paso es hacer el registro BIMI en tu DNS, que debe apuntar al SVG de tu marca certificada en el VMC, así que si intentas algún cambio, te van a denegar el proceso, porque siempre es un double-check.

Figura 11: Añadir registro BIMI al dominio

Con todo ello, y peleándote un poco con los equipos de soporte de Gmail, conseguirás el Check Azul para los correos electrónicos que envías desde tu empresa y acaban en buzones de Gmail y otros proveedores que soportan el estándar BIMI. 

Figura 12: Registro BIMI en DNS de MyPublicInbox

Si no lo tienes en tu empresa, ya tienes algo que hacer. Y si necesitas ayuda, contacta con nosotros que te podemos echar un cable, y así conseguirás el Verified Azul de Gmail para tus correos. Contacta con Leire en MyPublicInbox y te ayudamos con todo el proceso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)

Como hemos visto en la parte anterior de este artículo, ya habíamos solucionado los problemas de usabilidad e interconexión entre los diferentes ecosistemas de usuarios, para que todos ellos pudieran enviar y recibir correos utilizando todo tipo de clientes de escritorio, web, móviles, etcétera a usuarios que se encontraran en cualquier otro destino. Se había conseguido una infraestructura global e interconectada, algo que desde luego no han fomentado las redes sociales en versiones posteriores y de lo que hablaremos un poco más adelante.

Figura 4: El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)a

Con la construcción de esta infraestructura global interoperable y compatible para la comunicación, aparecieron los primeros problemas de seguridad, que tenían que ver más con las comunicaciones sobre Internet, un medio que se definió de forma insegura sin un modelo de amenazas claro desde el principio, lo que nos llevó a aplicar las primeras soluciones de cifrado y firma digital para garantizar la integridad y confiabilidad de la información que sobre el e-mail se envía.

Para el cifrado y la firma digital de los correos electrónicos aplicamos túneles SSL a los protocolos de red, y para el cifrado y la firma digital de los mensajes se puede utilizar a día de hoy S/MIME (certificados digitales para e-mail) o PGP (Pretty Good Privacy), que permiten firmar y cifrar extremo a extremo - sin contar con que los servidores de correo electrónico aplican una capa de seguridad o no -. Los clientes de correo electrónico, por su parte, avisan a los usuarios del nivel de cifrado y privacidad utilizado en cada uno de los mensajes. Pero no es suficiente ni mucho menos para todas las amenazas que fueron apareciendo.

Más soluciones de seguridad para saber de dónde viene un correo:
Reverse MX Lookup, SPF, SenderID, DKIM & DMARC

Con el escenario de envío masivo de mensajes no solicitados a direcciones de correo electrónico comenzamos a poner un montón de soluciones para ir tapando la sangría de problemas que supone para una persona y una organización – no olvidemos que el 90% de los APTs de seguridad han provenido por un correo electrónico en un ataque de spear phihing enviado a una persona de la empresa - que su buzón de correo electrónico esté abierto y disponible para cualquiera que conozca la dirección.

En esta primera remesa de soluciones vamos a intentar centrarnos en el problema de la suplantación del remitente o e-mail Spoofing, que da lugar a los ataques de Phishing y Spear Phishing. Por supuesto, la firma digital S/MIME y PGP son lo ideal, pero como hemos dicho repetidas veces, no es muy popular en el mundo global.

Reverse MX Lookup

Para evitar que suplantaran las direcciones de correo electrónico de nuestra organización, es decir, que nadie pudiera enviar mensajes de correo en nuestro nombre como se hace en los ataques de phishing, comenzamos a indicar cuáles eran los servidores de correo electrónico que pueden enviar mensajes con un remitente de nuestro dominio. La primera solución fue sencilla, pero inútil. Como al principio el servidor de correo entrante - donde están los buzones y se implementan POP3 - era el mismo que por el que salían los correos electrónicos - donde se implementa SMTP - algunos servidores de correo comenzaron a aplicar el filtro de Reverse MX Lookup.

Para saber dónde está el servidor de correo entrante de una organización, en el servidor DNS de esa organización se crea un registro especial llamado MX (Mail eXchanger) que apunta a la dirección IP o hostname del servicio que recibe el correo electrónico de ese dominio. Lo que hacían algunos servicios de correo electrónico entrante es rechazar cualquier correo electrónico que viniera de @otrodominio.com si el servidor que entregaba ese mensaje no tenía la dirección que tenía alguno de los registros MX del dominio otrodominio.com.

Como os podéis imaginar, cuando los servidores de correo saliente se separaron físicamente de los servidores de correo electrónico entrante, este filtro dejó de ser útil, ya que nunca coincidían las direcciones IP de los servidores que entregaban los mensajes con los registros MX. Por eso, hubo que crear otro registro. El registro SPF, donde se da la lista de cuáles son los servidores autorizados desde nuestra organización para entregar correos electrónicos que tengan como remitente uno de nuestros usuarios.

SPF (Sender Policy Framerwork)

Creando los famosos registros SPF (Sender Policy Framework) - también conocido como SPFv1 - se identifican los servidores de correo saliente que usa esa organización y qué debería hacer el servidor de correo entrante de un tercero si recibe un mensaje de este dominio que no viene de esos servidores identificados en SPF. A priori, suena como una medida útil, pero tiene muchos "peros" a la hora de su implementación y uso.

Figura 5: Registro SPF de Gmail.com.

Por desgracia, como las empresas tienen cedidos "alias" de correo de sus dominios a campañas de de marketing que se envían desde servidores externos a la organización o que no son controlados por ellos, la política de seguridad suele ser “Softfail” que se identifica con un "~". Para que os hagáis una idea, cuando usamos SPF lo que hacemos es irnos al DNS de nuestra empresa y decir algo como:

"Estos son los servidores que pueden enviar correo de @miempresa.com o @mibanco.com. Si te llega un correo de alguien que dice que es de @mibanco.com debes aplicar esta política."

La política más férrea debería ser “Hardfail” (-), o lo que es lo mismo, “tíralo y no lo entregues al destinatario, que es falso”, pero por desgracia sucede lo que he comentado antes, y las políticas son “Softfail” o lo que es lo mismo:

 “Míralo bien y ponlo un poco en alerta, pero no estoy seguro de que no sea mío”.

La cosa se complica a la hora de detectar si un registro realmente viene de una organización o no, yo que hay muchas variantes. Muchas personas tienen delegada la gestión de su buzón de correos a terceros, por lo que hay casuísticas en las que una persona manda un mensaje en nombre de otra.

SenderID o SPFv2 (antes conocido como CallerID)

Así, en un e-mail tenemos los campos from, pero también sender y también resent-from y resent-sender. y es ahí donde apareció el estándar SenderID, empujado por Microsoft, y conocido como SPFv2. Su idea es garantizar que el remitente de un correo viene realmente de la organización que tiene el servidor de correo electrónico que lo entrega.

Así que, determinar si un correo electrónico viene o no de una organización realmente es complejo. SenderID intentó centrarse en identificar esa casuística del emisor, pero no consiguió ser un estándar de facto, y su aplicación fue residual en el mundo de Internet, así que encontrar registros SPFv2 con políticas Hardfail fue como localizar un unicornio o un mirlo blanco.

De hecho, al final, se utilizan otras cabeceras como Return-Path y X-Return-Path (las cabeceras X- no son parte del estándar oficial y son introducidas por servidores de correo electrónico para dejar información extra que consideran útil hasta que son estandarizadas... o no.)

DKIM (Domain Keys Identified Mail)

Intentar determinar que un mensaje no es legítimo cuando la situación es tan completo hizo que SPF no fuera el único estándar que salió para evitar la suplantación de los remitentes en los mensajes de correo. Y así nació DKIM, con una aproximación distinta, tratando de decir algo como:

"No sé si este correo electrónico que viene de un servidor que no conozco y un resent-from o resent-sender extraño es un correo electrónico legítimo de esta organización o no, pero este otro que viene firmado por uno de mis servidores de correo saliente sí que es mío y puedes estar más que seguro de que su contenido es legítimo."

Como veis, la idea de DKIM (Domain Key Indentified Mail) es que cada correo electrónico que ha salido de un servidor autorizado de la organización, va firmado por una clave privada que tiene configurado el servidor de correo saliente y cuyo par de clave pública está accesible para todo el mundo en el servidor DNS de la organización y se puede consultar.

Figura 6: Clave DKIM usada por un servidor de yahoo.com

Es decir, recibo un correo de paco@yahoo.com y en el texto del mensaje aparece una cabecera DKIM con un HASH, que se supone que ha generado el servidor de correo saliente de Yahoo.com que ha entregado el correo. Así que se mira qué servidor ha entregado el correo, nos vamos al servidor DNS de Yahoo.com, pedimos la clave pública DKIM de ese servidor y comprobamos que el hash que nos han entregado es correcto.

Figura 7: Correo de Ebay firmado correctamente por DKIM

Como veis, la aproximación es diferente, mientras que con Reverse MX Lookup, SPF o SenderID se trata de eliminar lo que no venga entregado desde el dominio correcto, con DKIM se trata de indicar que, si el correo ha llegado desde la IP correcta, el usuario lo sepa con un icono especial, tal y como podéis ver en esta captura con correos de Ebay tiempo atrás. Pero como la mayoría no lo usa, pues otro intento fallido para diferenciar los correos legítimos de los no legítimos.

Como veis, el uso de Reverse MX Lookup, SPF, SenderID y DKIM hace que haya mucha información en el cuerpo de un mensaje para analizar un correo electrónico. Esta información no es concluyente ninguna por sí misma, ya que los casos son muchísimos, y es lo que hizo que los clientes de correo electrónico no se atrevieran a marcar definitivamente un mensaje como malo o como bueno.

El Proyecto "Apolo"

Para poder dar más información al usuario, nosotros creamos en Informática 64, un plugin para el navegador que se leía el cuerpo de los mensajes en el cliente web de Gmail y Hotmail, buscaba la información SPF, DKIM, SenderID, las direcciones IP en los registros MX y hacía las comprobaciones desde el propio navegador, y luego mostraba información de ayuda al usuario sobre los mensajes de correo electrónico que estaban en su bandeja de entrada. Fue un proyecto de investigación más que una verdadera herramienta, pero lo llamamos el Proyecto Apolo.

Figura 8: Información del proyecto Apolo

Si el registro SPF era correcto en el mensaje, mostramos un icono verde. Si no cumple DKIM, ni Sender ID, ni SPF, ni MX Reverse Lookup, lo poníamos en alerta roja. Una prueba para dar más información a los usuarios avanzados.

DMARC (Domain-based, Message Authentication, Reporting & Conformance)

Al final, lo que nosotros hicimos en el Proyecto Apolo tenía todo el sentido. Había que hacer algo que mezclara todo, y así, tiempo después, nació DMARC. El funcionamiento de este protocolo es el que se ve en la figura siguiente. En él se puede ver en la fila del medio del gráfico que, cuando llega el mensaje al destinatario, el servidor valida la información DKIM, valida la información SPF y después, con estas dos comprobaciones previas, valida la información DMARC para aplicar una de las políticas que se pueden ver en la fila inferior.

Figura 9: Flujo de funcionamiento de DMARC

Por último, si un mensaje de correo electrónico cumple todas las validaciones correctamente, es decir, viene firmado por DKIM correctamente con una clave de firma que está en el DNS de la organización y pasa la comprobación SPF al ser enviado desde una de las direcciones IP marcadas en el registro SPF como una de las autorizadas, entonces el proveedor podrá tener las máximas garantías de legitimidad del mensaje posibles - que aún así siempre inferiores a que el mensaje venga firmado digitalmente con una clave de remitente -, para lo que vamos a necesitar alguna tecnología extra.

PCL (Phishing Confidence Level)

Al final, ni con DMARC se garantiza que un mensaje no sea malicioso. Existen casos concretos en los que es posible pasar DMARC o no hay información suficiente para tomar una decisión firme. En algunos mensajes habrá información de Return-Path o X-Return-Path útil. En otros habrá información de direcciones IP que podremos consultar en bases de datos de salud que nos dirán si son de hosters que nunca hacen ataques o de otros con "mala reputación". Además, si miramos el cuerpo del mensaje podremos ver si tienen textos utilizados normalmente en ataques de phishing o no, etcétera.

Figura 10: Configuración de umbrales PCL en Microsoft Outlook

Es decir, que si independientemente de los estándares que intentan garantizar que un mensaje viene o no viene de un determinado dominio, podemos aplicar técnicas avanzada de Machine Learning a los mensajes que utilicen toda la información en el mensaje disposnible, y todo el conocimiento histórico que tengamos de nuestro correo electrónico para generar un índice, que llamamos PCL (Phishing Confidence Level) y que generar mi servidor de correo para clasificar el mensaje en función del número que salga.

Así, creamos unos umbrales para decidir qué mensajes entran en la carpeta de entrada, cuáles entran en ella pero con funcionalidad limitada - carga de imágenes, alertas mostradas y deshabilitación de funciones -, cuáles van a la carpeta de Spam y cuáles no se entregan al buzón.

Es un trabajo avanzado e ímprobo, y muchas veces tiene errores, pero es la solución que aglutina todos los intentos anteriores existentes para sacar el máximo de la información disponible. Además, para poder tener la información actualizada y el PCL vaya ajustándose, es necesario contar con la colaboración de los usuarios, que deberán ir reportando aquellos mensajes sospechosos. Pero esto es solo para los ataques de Phishing.

Y aún así no son suficientes y se intentan cosas nuevas.

Aún nos queda el SPAM por donde vienen la mayoría de los problemas de malware, robo de tiempo de las personas para convertir el e-mail en improductivo y molesto para las personas. Y mucho peor, los problemas de identidad asociados a las direcciones de correo electrónico, así que nos queda mucho por hablar todavía de la muerte y resurrección del e-mail.

Como os podéis imaginar, a pesar de todas estas tecnologías, el correo electrónico sigue siendo un caos. Al final un mensaje puede entrar en el buzón de entrada de un destinatario o no dependiendo de la configuración de estas tecnologías en su servidor de correo, lo que permite que un mensaje de Spam o un Phishing puedan entrar o no dependiendo de la configuración que tengas.

Nos quedan muchas cosas, y lo iremos viendo en las partes siguientes de este artículo. Espero que estéis disfrutando la lectura tanto como yo la escritura.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

********************************************************************************************************
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 1 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 2 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 3 de 4)
- El e-mail ha muerto. ¡Larga vida al e-mail! (Parte 4 de 4)
********************************************************************************************************

¿Cómo están las protecciones contra ataques de phishing en las entidades bancarias latinoamericanas?

Los cibercriminales usan las técnicas que más beneficios económicos les generen, sin importar que esta técnica sea antigua. Siempre que siga siendo efectiva será usada para obtener sus objetivos. Este es el caso de los ataques de phishing a los bancos, una técnica muy usual para engañar a los usuarios tanto en ataques de Spam Phishing (masivos y a día de hoy altamente detectados) o de Spear Phishing (dirigidos y mucho más peligrosos).

Para que sea más efectiva esta vieja técnica, los delincuentes utilizan otro mecanismo también con mucha antigüedad, que es la suplantación o "Spoofing" de direcciones de correo electrónico, con el cual los cibercriminales se hacen pasar por entidades o empresas reconocidas, principalmente del sector bancario.

Figura 1: ¿Cómo están las protecciones contra ataques de
phishing en las entidades bancarias latinoamericanas?

Para atenuar el impacto de estas técnicas, desde hace mucho tiempo se han venido desarrollando tecnologías de protección para detectar la suplantación de direcciones de e-mail, como los los mecanismos SPF (Sender Policy Framewok), SenderID, DKIM (Domain Keys Identified Mail) o DMARC (Domain-based Message Authentication, Reporting & Conformance).

Estas medidas de atenuación deben ser configuradas por todas las empresas, pero especialmente por las entidades bancarias, quienes son las principales víctimas de la suplantación de sus direcciones de correo electrónico.

Un estudio con la banca en Latinoamérica

Como estos ataques siguen generando impactos económicos y reputacionales muy grandes uno espera que todos estos controles estén correcta y estrictamente configurados. Para comprobar si esto era así, me decidí a hacer un análisis de estas medidas en las 25 principales entidades financieras de Latinoamérica, que por nacionalidad son:

Figura: Distribución por países de las organizaciones en el estudio

El análisis no es muy complicado ya que basta con mirar la configuración de los registros adecuados en el DNS, y para automatizarlo utilicé la herramienta de SpoofCheck, que permite validar la posibilidad de suplantar estos dominios de correo. Los resultados no fueron buenos, ya que como se puede ver desafortunadamente estas medidas no están implementadas de forma adecuada en la mayoría de los casos, pues solo 2 entidades tienen correctamente implementadas las medidas de SPF y DMARC.

Figura: Resutado de las pruebas con SpoofCheck en las 25 entidades

Al entrar al detalle de las configuraciones, es posible darse cuenta que la mayoría de las entidades sí configuran las medidas de mitigación que técnicamente se pueden implementar, pero no realizan un proceso de fortificación para hacer que estás sean robustas y que garanticen un control efectivo.

Como se puede ver en la gráfica solo existen 2 entidades que tienen ambos controles configurados de forma robusta, pero es más crítico que existen 3 entidades que no tienen implementado ninguno de los controles. Esto lo que evidencia que la implementación de los controles en el DNS no son correctamente configurados, exponiendo a los usuarios a ser víctimas de una suplantación.

Figura: Nivel de seguridad brindado por las medidas SPF y DMARC

En la Figura 4 se puede apreciar que los controles se marcan con una implementación débil, por lo que se revisan las sentencias en el DNS de cada uno de los dominios para sacar la característica que genera esta calificación en cada una de las herramientas.

En el caso de SPF, que es la medida de seguridad más veces configurada, se permite registrar dominios y direcciones IP autorizados para ser emitir correos electrónicos a nombre del dominio de la entidad y al final de la sentencia se indica la severidad con la que se debe tratar a los correos que no cumplan las anteriores características de origen descritas para ser rechazados.

Figura: Ejemplo de configuración de un registro SPF

Este mensaje final tiene cuatro niveles de calificación, desde que cualquiera pueda enviar hasta totalmente restrictiva, por lo que al analizar las sentencias de DNS configuradas por las entidades financieras se detecta que la mayoría tienen la configuración en lo que se denomina “softfail” que se interpreta usualmente como que es posible que ese origen sea un remitente válido.

La configuración de DMARC es mucho menos usada y solo 2 entidades la configuraron de forma que garantiza que la política aplicada por los receptores cuando un mensaje no contenga los datos de autenticación, reporte y conformidad, sea rechazada o puesta en cuarentena. Esta política es la que se configura en la sentencia de DNS donde se configura el DMARC.

Figura: Flujo de funcionamiento de DMARC

Al revisar la configuración en los dominios de las entidades financieras, se encuentra que solo dos entidades tienen configurada la política que implica rechazo o cuarentena y en 10 entidades la política esta marcada como “none” lo que permite que el correo fraudulento pase sin que se le aplique una restricción.

Reflexiones finales

En conclusión, las principales entidades financieras de Latinoamérica tienen controles implementados para evitar que sus clientes sean víctimas de ciberdelincuentes que usando el correo electrónico, sin embargo, la efectividad de estos controles no es todo lo robusta que podría ser debido a que usan configuraciones que no garantizan la implementación de políticas de restricción para los servidores que reciben correos fraudulentos. Cuanto mejor estén las medidas de seguridad, más alto será el PCL (Phishing Confidence Level) de los mensajes de correo y más fácil será detectarlos en los sistemas de seguridad de los servidores de correo electrónico.

Figura: Valores PCL utilizados en Outllook para detectar Spam/Spear Phishing

En muchos clientes, con nuestro sistema de pentesting persistente, detectamos la misma situación, y esto suele ser debido a una mala gestión de los canales de comunicación vía e-mail de la empresa. Es decir, se suelen dar casos en los que las newsletters, las listas de distribución de e-mails o campañas concretas de comunicación vía correo electrónico, se delegan en terceras empresas, que envían mensajes desde servidores no corporativos, que adolecen de medidas de seguridad similares, lo que hace al final que haya que rebajar la configuración global de seguridad.

Y esto genera muchos problemas en las empresas que se preguntan después ¿por qué mi correo llega como spam? Una configuración robusta y segura de las medidas de seguridad no solo ayuda a mitigar el Spam Phishing, el Spear Phishing y el Spoofing, sino que además reduce los SCL (Spam Confidence Level) de los mensajes que son enviados desde la compañía lo que ayuda a tener un mejor negocio electrónico.

Por último, hay que recalcar que estos mecanismos de seguridad no son nada más que una pequeña pieza dentro de la estrategia de seguridad contra el fraude y los ataques de phishing dentro de una organización financiera, ya que se utilizan muchos otros sistemas de vigilancia digital, alerta y detección temprana desde los SOCs y controles en el uso de credenciales robadas, así que no se puede tomar estas configuraciones como una medida final de seguridad global de la entidad, aunque su configuración robusta ayuda, como ya se ha dicho, a mejorar las protecciones globales.

Autor: Diego Samuel Espitia Montenegro
Chief Security Ambassador – CSA (Colombia) @ElevenPaths