Cloudflare Radar: Open (Security & Network) Data para CERTs & CSIRTs

La empresa Cloudflare tiene disponible para todos los equipos de seguridad, especialmente para los CERTs y los CSIRTs, el servicio Cloudflare RADAR de datos abiertos sobre lo que está pasando en su red y en sus servicios de seguridad, y te permite tener una visión de lo que está pasando en la seguridad de Internet desde sus servicios, lo que complementa la información que tengas desde otras fuentes de datos. Al final, la colaboración y la compartición de datos entre los equipos de ciberseguridad es fundamental para protegernos entre todos.

Figura 1: Cloudflare Radar - Open (Security & Network)

Data para CERTs & CSIRTs

Los servicios de ciberseguridad de Cloudflare ofrecen protección para los activos que las empresas tienen en Internet, que van desde proteger los sitios web o sus plataformas de e-commerce expuestos en la red frente a ataques de DDOS, hasta proteger el e-mail, pasando por WAFs, protección contra interceptación de conexiones de red, protección de servicios de DNS, protección contra técnicas de WebScrapping como vimos con AI Labirynth, o los más modernos servicios de monitorización y protección de servicios digitales basados en arquitecturas de Inteligencia Artificial.

Figura 2: Servicios de Seguridad de Cloudflare

Si te interesa este mundo del las fuentes abiertas de datos, o quieres tener información de seguridad desde un punto de vista privilegiado, Cloudflare Radar te puede ayudar a completar tus dashboards de OSINT para tus servicios de CERT o para tus investigaciones en un CSIRT.

Figura 3: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Toda esta información puede ser consumida vía API, mediante un Dashboard web/mobile, o mediante el uso de un Asistente AI al que se le puede preguntar por datos concretos, informes, e información en las bases de datos de Cloudflare Radar.

Figura 4: Consola de Cloudflare Radar

En este panel tienes datos de todos esos servicios, procesados, filtrados, destilados y disponibilizados para que puedas interactuar con ellos y sacar detalles que puedan ayudarte en tu trabajo en ciberseguridad, o entender mejor qué está pasando o qué va a pasar.

Figura 5: GPTBot lidera los escaneos recientes como USER-Agent

Como los datos de Cloudflare están centrados en Ciberseguridad, y debido a que muchos de ellos proceden de sus servicios de protección, el curado de los datos está orientado a ello, por lo que se pueden obtener datos de ataques, informes de incidentes recientes, estadísticas de dominios atacadas, bots maliciosos, etcétera.

Figura 6: Informe de un Phishing de ayer mismo

(aún activo a día de hoy)

Todos los datos están procesados, pero están los detalles disponibles, por lo que si ves este informe de Phishing de ayer mismo, puedes ver incluso los ficheros de la web que se han descargado, y absolutamente todos los datos disponibles.

Figura 7: Detalles del incidente de Phishing

La información completa y detallada de la API la tienes en la web para Devevelopers de Cloudflare, donde por ejemplo tienes APIs para tener datos de anuncios de BGP - uno de los ataques Nation State que hemos visto en el pasado - que pueden alterar la seguridad de las redes a nivel de conexión. 

Figura 8: Descripción de las APIs de BGP en

el portal de developers de Cloudflare

Esa información, también la puedes analizar directamente desde la consola de Cloud Radar, y ver si todo está como debe, si hay una actividad maliciosa o si se ha producido un Hijacking de una determinada ruta de interconexión de redes que pueda ser un riesgo, o que explique cómo se ha producido un ataque.

Figura 9: Información de las rutas BGP las últimas 48 horas

Los datos también dan información sobre el DNS, o los incidentes detectados por los productos de seguridad de e-mail security (recordad que sigue siendo el principal vector de ataque en las empresas), teniendo datos en tiempo real de cuando una campaña de ataque ha comenzado.

Figura 10: Información de E-mail Security en Cloudflare Radar

Y datos de dominos más peligrosos, cabeceras de seguridad de cada mensaje, y datos de las protecciones SPF, DKIM y DMARC de estos mensajes, para detectar las debilidades que los atacantes están explotando en sus campañas.

Figura 11: Los TLDs más vistos en los sistemas que originan más ataques

Y si además del Dashboard de Cloudflare Radar o de las APIs de Cloudflare Radar quieres encontrar algo usando lenguaje natural, puedes usar el Asistente AI que tienes disponibles, donde puedes interactuar con él para aprender todo lo que necesites de los datos disponibles.

Figura 12: Asistente AI de Cloudflare Radar

Al final, es una fuente de información que tienes disponible para utilizar en cualquier momento, y si te gusta este mundo, merece la pena que entres en Cloudflare Radar y mires todos datos que tienes disponibles, listos para utilizar en tus sistemas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Serverless & Bullet-Proof Web Sites (2 de 2): Web2Blocks & WebScalerAI

En la primera de este artículo: "Serverless & Bullet-Proof Web Sites (1 de 2)" terminamos hablando de cómo utilizar Web3 para hacer paneles de control para botnets o redes sociales utilizando arquitecturas Dapps, pero lo dejé ahí porque quería esperar a la RootedCON 2024 de este año para hablar de los proyectos que hicimos nosotros de continuación de estas ideas.

Figura 1:Serverless & Bullet-Proof Web Sites (2 de 2): Web2Blocks & WebScalerAI

El primero de ellos es Web2Blocks para guardar páginas web en cadenas BlockChain, y el segundo de ellos es WebScalerAI, que busca reducir el tamaño de las páginas web que hay que almacenar en una cade de bloques utilizando GenAI para amplificar texto e imágenes de páginas web. Os los enseño un poco.

Web2Blocks: Un Web back-end en BlockChain

El objetivo de este proyecto es bastante sencillo, se trata de almacenar una página web, por ejemplo un blog como éste, en una estructura de bloques de una cadena de BlockChain, que evite que se pueda censurar siempre y cuando se conozca la estructura de bloques que almacenan la web. 

Figura 2: La extensión permite anclar una web en una cadena BlockChain

Para ello hicimos una extensión que hace las dos funciones, la de guardar en bloques de la cadena de BlockChain el contenido de la web, y la de buscar una web buscando los bloques que conforman esa web para poder cargarla en el navegador.

Figura 3: Índice de bloques de la web "blog"

Así, se busca el contenido en todos y cada uno de los bloques marcados en el "índice de bloques" de una determinada web - que para nuestra PoC - almacenamos con un nombre simple, y se recompone la página en el cliente. 

Figura 4: La extensión permite buscar web por su nombre

Las posibilidades de esta arquitectura son muchas, para evitar que se borren contenidos, que se censure una web, o para evitar que pueda ser eliminada,

Figura 5: La extensión descarga la web de la cadena de Blockchain y la pinta

Por supuesto, en esta arquitectura se puede aún añadir una capa mayor de protección, permitiendo que la página web esté cifrada y cargada desde un SmartContract, y que este SmartContract solo descifre el contenido de esa web si el usuario ha decido abrir la web con un Latch Web3.

Figura 6: Uso de Latch Web3 para proteger transacciones en un SmartContract

Al final, se trata de jugar con una arquitectura web que utiliza otras estructuras de almacenamiento para, usando las tecnologías Web3 darle más control al creador del contenido de esa web.

Figura 7: Misma web cargada desde HTTP Server y BlockChain

Pero claro, almacenar una página web con muchos elementos, puede tener un tamaño que hagan muy caro utilizar estructuras BlockChain, así que se nos ocurrió que podríamos usar GenAI para reducir el tamaño de la web.

Figura 8: Demo de Web2Blocks en vídeo

Y ahí nació la idea de WebScalerAI, que ahora paso a contaros con esta pequeña PoC que tenemos a continuación.

Figura 9: Hacking Web3: Challenge Accepted! de Chema Garabito, Pablo González,

Yaiza Rubio, Leif Ferreira, Chema Alonso en 0xWord.

WebScalerAI: Comprimir y Descomprimir Webs con GenAI & DeepLearning

La idea es bastante sencilla. Se trata de reducir el texto de una web, haciendo una reducción del texto y de las imágenes que se almacenan en el backend, por ejemplo en una cadena de BlockChain como en el caso anterior de Web2Blocks.

Figura 10: Una web con imágenes a mínima calidad y texto en "Prompting"

ocupa 400 Kb

Para ello, los textos se podrían reducir por un "Prompt" para un LLM/SLM que corriera en un entorno Cloud, o como creemos nosotros que será en el futuro, que es en cada aplicación. Esto significarían que tendríamos un navegador web con un SLM como parte de sus funcionalidades.

Figura 11: Expandida esta web pesa 1.5 MB entre texto e imágenes

Así, sólo habría que enviar el Prompt y una extensión del navegador, como la que tenemos en nuestra PoC hace el "inflado" del texto para que se pueda leer.

Figura 12: Super-reducida ocupa 100Kb

Con las imágenes, la misma idea. O bien contar con una generación mediante Prompting de un algoritmos de difusión que corriera en el navegador, o bien mediante el envío de una imagen de un tamaño muy pequeño y su ampliación mediante IA.

Figura 13: Página expandida con WebScalerAI

Para nuestras pruebas hicimos todo tipo de combinaciones, y probamos incluso Transformers en el navegador con la librería transformers.js que tenéis en GitHub - que es un SLM tipo distilbert - y para ampliación de imágenes en el navegador usando DeepLearning (CNN) usamos la librería waifu2x-js que tenéis en GitHub.

Figura 14: Transformers in your browser

Al final, el resultado es el que véis en el vídeo. Una web con un texto y una serie de imágenes se puede comprimir o descomprimir usando GenAI & DeepLearning para lograr - cuando el objetivo sea el mínimo tamaño -, reducir al máximo el peso de una web.

Figura 15: WebScalerAI - Comprimir y Descomprimir Webscon GenAI & DeepLearning

Al final son sólo pruebas y propuestas de nuestro equipo de "Ideas Locas" para seguir creando pasitos que nos lleven a entender mejor este mundo, y tomar mejores decisiones en todo lo que construimos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo robar cuentas de ChatGPT con "Wildcard Web Cache Deception"

Si ayer os hablaba de tres bugs descubiertos en un Bug Bounty de ChatGPT, hoy os traigo otro que salió publicado este mes de Febrero y que habla de cómo robar cuentas de ChatGPT utilizando Wildcard Web Cache Deception , que es más que interesante, y que le valió 6.500 USD al investigador que lo descubrió.

Figura 1: Cómo robar cuentas de ChatGPT con "Wildcard Web Cache Deception"

El bug ha sido publicado una vez resuelto, pero es bastante curioso, ya que el problema se encuentra en la implementación que se hacía de la Cache de ChatGPT, y que el investigador explotó para hacer un ataque funcional que permitiera robar las cuentas de cualquier usuario que hiciera clic en un enlace malicioso, para ganarse su Bug Bounty.

Figura 2: Libro de Bug Bounty: De profesión "Cazarrecompensas"

en 0xWord, escrito por Pablo García

Según cuenta en el artículo el propio descubridor del bug, se dio cuenta porque ChatGPT le estaba cachenado una petición cuando había dado a la opción de Share para compartir una conversación. Aunque siguiera actualizando la conversación, esta se quedaba estática en el enlace de compartición, porque todo lo que estuviera bajo /share/ se cacheaba automáticamente una vez visitada esa URL, ya que el servidor estaba usando el HTTP-Header Cf-Cache-Status:HIT en esa URL.

Figura 3: El Path Share se estaba cacheando automáticamente.

Sabiendo esto, lo siguiente era ver si podía generar una URL que tuviera el Token de autenticación de un usuario, pero bajo la dirección de una URL con el path /share/, y esto es posible porque la cache no es un servidor web que esté procesando la URL, y la está tomando como una dirección para generar un

 

Figura 4: Path Transversal Confusion

ID de objeto cacheado, así que si se utilizan %2F o wildcards para construir una URL que el servidor Web sí va a procesar, el servicio de Caché no lo va a hacer.

Figura 5: Las URLs para el el ataque

Una vez comprobado eso, basta con generar la URL correcta para que el usuario entregue su Token de autenticación, pase el proceso de autenticarse (o no), y deje su Token guardado en la caché para poder ser accedido después por el atacante.

Figura 6: El esquema de ataque completo

En este caso, es necesario que la víctima haga clic en un enlace malicioso, tal y como se muestra en el esquema de ataque, pero es un 1-Click Owned! esquema, muy peligroso, que ChatGPT ya ha corregido, para eliminar este problema.

Figura 7: Hacker & Developer in the Age of GenAI LLM Apps & Services

Al final, no es un problema del LLM, y no podríamos meterlo en ningún esquema del OWASP TOP 10 de LLM Apps & Services, que el problema es la implementación del sistema de compartición, pero es más que interesante cómo funciona este bug.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

MyPublicInbox: Registra y protege tus dominios DNS de Internet con Tempos @mypublicinbox

Uno de los servicios que hemos añadido, gracias a una colaboración entre MyPublicInbox y Don Dominio, ha sido la posibilidad de descubrir qué dominios DNS de Internet que pudieran ser de valor para cada Perfil Público MyPublicInbox están libres, para que los usuarios de la plataforma puedan reservarlos y comprarlos usando los Tempos de que tengan de la plataforma.

Figura 1: Registra y protege tus dominios DNS de Internet con Tempos de MyPublicInbox

Para ello, solo debes ir a la sección de Mi Impacto en Internet -> MyPublicInbox, y ahí, en la lista de servicios que están disponibles en la parte inferior del panel, encontrarás el "Servicio de Protección de Dominios Personales".

Figura 2: Mi Impacto en Internet -> MyPublicInbox

-> Servicio de protección de dominios personales

Una vez accedas a él, dispondrás de una lista inicial de dominos que genera la plataforma a partir del nombre del Perfil Público, para encontrar aquellos disponibles que más puedan tener relación con la persona o institución. Pero si no hay interés en buscar uno concreto, hay un cuadro de diálogo para poder buscar el dominio que se desee comprobar.

Figura 3: Servicio de protección de dominios personales. Puedes

buscar tus dominios o reservarlos utilizando tus Tempos

La gracia de esta integración con Don Dominio es que, cualquier dominio que se desee contratar, se puede hacer utilizando Tempos de MyPublicInbox, así que, si quieres reservarlo, solo tienes que hacer clic en el botón del carrito de la compra y reservarlo.

Figura 4: Reserva de un domino DNS con Tempos de MyPublicInbox

Al comprar el domino, automáticamente éste apuntará por defecto a la URL del Perfil Público del usuario de MyPublicInbox, pero luego lo podrás re-configurar, transferir, o hacer con él lo que desees, ya que es una compra normal de un dominio de Internet que solo has pagado con Tempos, pero que te pertenece.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

La década de Yahoo! en el trono de la Web

El otro día vi un vídeo de esos que hacen estadísticas sobre todo, aprovechando los datos de webs como Statista, y me sorprendió ver lo que mostraba. Se trataba de ver el TOP 10 de webs con más tráfico desde el nacimiento de Internet hasta hoy en día. Los datos se muestran mes a mes y pensé que no me iba a sorprender lo que viera, pero.. sí, sí que me sorprendió.

Figura 1: La década de Yahoo! en el trono de la Web

Saber que Yahoo! había sido el WebSite con más tráfico no era algo nuevo para mí. Estuve invitado a la Yahoo! Security Week allá por el año 2009 y pude conocer de primera mano mucha de la grandeza de esa compañía. Según los datos, alcanzó el número 1 de los WebSites más visitados en el año 2.000. En Junio del año 2.000. Cuando yo cumplía 25 años. 

Está claro que Yahoo! es la ganadora de la llamada época de las ".COM", donde los portales horizontales y verticales comenzaban a inundar la red. Portales de contenido. Contenido creciendo de manera exponencial. Y como consecuencia, los buscadores, para que los usuarios llegaran de la forma más rápida a la información más precisa.

Figura 2: Top 10 de Junio de 2002

De aquella época de las .COM, con las arquitecturas de aplicaciones de tres capas, que venían con sus servidores de base de datos Oracle, sus servidores de aplicaciones en entornos como BEA WebLogic con frontales HTTP/S, y sus servidores SUN Microsystems. Una época donde las empresas ganadoras parecían auténticos monstruos que iban a ser los reyes durante mucho tiempo.

Lo cierto es que en aquella época, los datos de tráfico web son bastantes "pequeños" comparados con los que tenemos hoy en día. En aquellos momentos aún no había llegado la movilidad, no habían llegado las apps, y las nuevas formas de utilizar Internet. Lejos estaba la Web 2.0 aún. Estábamos en ".COM", a los pocos años de haber nacido la World Wide Web.

En el año 2006, justo en los albores de la Web 2.0 y la llegada masiva de la movilidad, de iPhone, el 3G, y las redes sociales con clientes móviles, Google consiguió adelantar un mes en tráfico a Yahoo!, pero volvió a ponerse por delante, y en Junio de 2006, Yahoo! estaba otra vez en al cabeza. Ya no hablábamos de .COM. Ya Sun Microsystems no era tampoco la empresa que había sido antes. Y tampoco la forma de hacer aplicaciones. 

Figura 3: Top Ten en Mayo de 2006

Ya no hablábamos de arquitecturas en tres capas, sino de BigData, de High Perfomance Computing, y los albores del Cloud Computing. Acababa de nacer apenas unos meses atrás AWS, proponiendo una nueva forma de hacer aplicaciones escalables, además de ver que el interfaz web iba a dar cada vez más paso al Internet móvil. Pero Yahoo! aguantó en la web.

Figura 4: Top Ten en Junio de 2010

Y aguantó hasta el año 2010. Junio de 2010 y Yahoo!, ya con números de 11.5 B de usuarios por mes, seguía aguantando a Google en la cabeza de lista. Ya estaba, como podéis ver, Facebook, Amazon, Youtube y Google, apretando los números.  Y desde ahí, Yahoo! ha ido perdiendo tráfico. 

En Enero de 2022, el Top 5 lo forman Google, Youtube, Facebook, Twitter e Instagram. Y Yahoo! aguanta con 3.5B , mucho menos de lo que llegó a ser, peleando por no ser adelantado por XVideos, y sobre todo teniendo en cuenta que Google va por 90B de usuarios mes. Un crecimiento brutal.

Figura 5: Top Ten en Enero de 2022

Sin embargo, el mundo ya no es "Web", ya hay mucho mundo móvil, donde otras plataformas como TikTok tienen mucho que decir en el mundo móvil, o con mundos virtuales que cierran el tráfico en sus apps, o con los nuevos mundos virtuales descentralizados que comienzan poco a poco a crecer. Hay que tomarse esta gráfica como lo que es, una simple visión puntual reflejo de un cambio, que no es todo lo que ha pasado en estos años, pero sí que es reflejo del cambio continuo y agresivo de esta era digital en la que vivimos, donde las revoluciones duran... unos años.

Al final, este artículo solo es un recordatorio para ver que cuando llegan los cambios tecnológicos, luchar con el éxito es un problema para todas las empresas. Los ganadores de la Web, de las .COM, o de la Web2.0 no tienen porque ser los ganadores en esta nueva evolución. Ya veremos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

30 años de la World Wide Web.... pero... ¿estás atento a lo nuevo?

Hoy hace ya 30 años que nació la World Wide Web un 6 de Agosto de 1991 y, por supuesto, yo no me acuerdo de ese día. Yo tenía 16 años estrenados hace poco. Ya llevaba cuatro años ordenadores, y tenía bastante claro que mi vida iba a seguir los derroteros de la informática. Creo que ya había pensado bien a qué me quería dedicar. Quería ser profesor de informática, pero también me gustaba dibujar, por lo que quería hacer algo de diseño gráfico por ordenador, y al mismo tiempo me encantaba programar, y quería hacer una empresa que hiciera programas de ordenador para las empresas. Al final no fui muy desencaminado del todo, que luego acabamos montando Informática 64 e hicimos de todo eso.

Figura 1: 30 años de la World Wide Web.... pero... ¿estás atento a lo nuevo?

Lo cierto es que en aquel día de agosto de 1991 no me enteraría de nada relacionado con esto. La actualidad iba entonces para otros acontecimientos. La guerra en Los Balcanes en Europa que nos tenía a todos escandalizados y preocupados, el servicio militar obligatorio, la guerra política por el debate del aborto, etcétera. Cosas que no tenían nada que ver con la aparición de un servicio de documentos en hipermedia a través de Internet. 

Figura 2: La primera web tampoco era muy "sexy"

... pero abría un nuevo "metaverso".

Curiosamente, el 6 de Agosto de 1991, el periódico El País recogía una curiosa noticia en la portada de ese día que tenía que ver con Estados Unidos, pero nada que ver con el World Wide Web que nacía en ese mismo instante. Se trata de "Una norteamericada de 42 años dará a luz a sus propios nietos", que a pesar del titular tan de sucesos, tenía mucho trasfondo de ciencia y caía en el debate de la maternidad, la fecundación in-vitro, la prestación subrogada, el aborto, los límites de la ciencia, etcétera que estaban de actualidad en una sociedad en pleno cambio.

Figura 3: Noticia del 6 de Agosto de 1991 en El País

Fijaos que los medios de comunicación - no solo nacionales, sino de todo el mundo - que aquel día no se hicieron eco de la web, y que pasaron tiempo temiéndola por la disrupción que supuso para el modelo de negocio que ellos tenían en aquel entonces que era la venta de periódicos, venta de anuncios en prensa impresa, y control de canal de la información hacia a los lectores, tienen la mayoría de su negocio a través de Internet, en venta de suscripciones vía WWW, anuncios que se sirven en las páginas web, y canal de información para los lectores que visitan su web.

A veces, los grandes cambios son así. Vienen sin hacer mucho ruido. Sin que se entere mucha gente. Por eso decía yo hace poco eso de "se mueve", en el artículo donde reflexionaba sobre la velocidad de los cambios y cómo si no te actualizas a la velocidad de los tiempos, cada día sabes menos, menos, menos. Y es que, una regla de oro que yo me he metido en la cabeza a fuego es que, porque yo no lo entienda no quiere decir que no está pasando. Lo comprendas, lo compartas, te guste o no, si está pasando, entonces está pasando, y es tu decisión prepararte o no, por si lo que viene es, como fue la WWW.... un Tsunami.

Figura 4: Ready Player One... Why Not?

Hoy en día ya no es la WWW,  pero tenemos, por ejemplo, la llegada de los metaversos de realidad aumentada o realidad virtual donde cada uno tendrá sus NFTs y habrá pago en sistemas virtuales basados en criptos para ir a ver un concierto en directo dado para 20 millones de personas conectadas todas a través de sus sistemas inmersivos, donde cada persona vivirá en una habitación fortaleza que le protegerá el cuerpo cómodamente mientras vive aventuras en mundos virtuales con seres que no conoce... o no.

Figura 5: Estos son tus tiempos

Y si no tienes los ojos abiertos, la próxima WWW que seguro que nació ya, va a arrasar con tu plan de negocio y de vida, por eso...además de leer las noticias para saber "más o menos" lo que pasa en la actualidad, mantén las orejas muy abiertas que el mundo está cambiando delante de tu pantalla..... o prepárate para contar historietas de esas que comienzan con ... "¡Ay hijo!, En mis tiempos..... "

Recuerda: Estos son tus tiempos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Chema Alonso en MyPublicInbox