Cloudflare Radar: Open (Security & Network) Data para CERTs & CSIRTs

La empresa Cloudflare tiene disponible para todos los equipos de seguridad, especialmente para los CERTs y los CSIRTs, el servicio Cloudflare RADAR de datos abiertos sobre lo que está pasando en su red y en sus servicios de seguridad, y te permite tener una visión de lo que está pasando en la seguridad de Internet desde sus servicios, lo que complementa la información que tengas desde otras fuentes de datos. Al final, la colaboración y la compartición de datos entre los equipos de ciberseguridad es fundamental para protegernos entre todos.

Figura 1: Cloudflare Radar - Open (Security & Network)

Data para CERTs & CSIRTs

Los servicios de ciberseguridad de Cloudflare ofrecen protección para los activos que las empresas tienen en Internet, que van desde proteger los sitios web o sus plataformas de e-commerce expuestos en la red frente a ataques de DDOS, hasta proteger el e-mail, pasando por WAFs, protección contra interceptación de conexiones de red, protección de servicios de DNS, protección contra técnicas de WebScrapping como vimos con AI Labirynth, o los más modernos servicios de monitorización y protección de servicios digitales basados en arquitecturas de Inteligencia Artificial.

Figura 2: Servicios de Seguridad de Cloudflare

Si te interesa este mundo del las fuentes abiertas de datos, o quieres tener información de seguridad desde un punto de vista privilegiado, Cloudflare Radar te puede ayudar a completar tus dashboards de OSINT para tus servicios de CERT o para tus investigaciones en un CSIRT.

Figura 3: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Toda esta información puede ser consumida vía API, mediante un Dashboard web/mobile, o mediante el uso de un Asistente AI al que se le puede preguntar por datos concretos, informes, e información en las bases de datos de Cloudflare Radar.

Figura 4: Consola de Cloudflare Radar

En este panel tienes datos de todos esos servicios, procesados, filtrados, destilados y disponibilizados para que puedas interactuar con ellos y sacar detalles que puedan ayudarte en tu trabajo en ciberseguridad, o entender mejor qué está pasando o qué va a pasar.

Figura 5: GPTBot lidera los escaneos recientes como USER-Agent

Como los datos de Cloudflare están centrados en Ciberseguridad, y debido a que muchos de ellos proceden de sus servicios de protección, el curado de los datos está orientado a ello, por lo que se pueden obtener datos de ataques, informes de incidentes recientes, estadísticas de dominios atacadas, bots maliciosos, etcétera.

Figura 6: Informe de un Phishing de ayer mismo

(aún activo a día de hoy)

Todos los datos están procesados, pero están los detalles disponibles, por lo que si ves este informe de Phishing de ayer mismo, puedes ver incluso los ficheros de la web que se han descargado, y absolutamente todos los datos disponibles.

Figura 7: Detalles del incidente de Phishing

La información completa y detallada de la API la tienes en la web para Devevelopers de Cloudflare, donde por ejemplo tienes APIs para tener datos de anuncios de BGP - uno de los ataques Nation State que hemos visto en el pasado - que pueden alterar la seguridad de las redes a nivel de conexión. 

Figura 8: Descripción de las APIs de BGP en

el portal de developers de Cloudflare

Esa información, también la puedes analizar directamente desde la consola de Cloud Radar, y ver si todo está como debe, si hay una actividad maliciosa o si se ha producido un Hijacking de una determinada ruta de interconexión de redes que pueda ser un riesgo, o que explique cómo se ha producido un ataque.

Figura 9: Información de las rutas BGP las últimas 48 horas

Los datos también dan información sobre el DNS, o los incidentes detectados por los productos de seguridad de e-mail security (recordad que sigue siendo el principal vector de ataque en las empresas), teniendo datos en tiempo real de cuando una campaña de ataque ha comenzado.

Figura 10: Información de E-mail Security en Cloudflare Radar

Y datos de dominos más peligrosos, cabeceras de seguridad de cada mensaje, y datos de las protecciones SPF, DKIM y DMARC de estos mensajes, para detectar las debilidades que los atacantes están explotando en sus campañas.

Figura 11: Los TLDs más vistos en los sistemas que originan más ataques

Y si además del Dashboard de Cloudflare Radar o de las APIs de Cloudflare Radar quieres encontrar algo usando lenguaje natural, puedes usar el Asistente AI que tienes disponibles, donde puedes interactuar con él para aprender todo lo que necesites de los datos disponibles.

Figura 12: Asistente AI de Cloudflare Radar

Al final, es una fuente de información que tienes disponible para utilizar en cualquier momento, y si te gusta este mundo, merece la pena que entres en Cloudflare Radar y mires todos datos que tienes disponibles, listos para utilizar en tus sistemas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Office 365: Cómo reducir el spam y el ruido en tu e-mail y sacar más tiempo a tu vida.

Hace tiempo que gestiono y mis buzones de correo electrónico y mis redes sociales en modo "Whitelist" o "Lista Blanca". Es decir, no contesto ningún mensaje de correo electrónico que no venga de alguien que tenga en mi lista blanca de contactos. Personas con las que trabajo en mi compañía, o colegas con los que llevo años colaborando de manera fluida. Todos los demás, son borrados y bloqueados, porque mi buzón de correo es una herramienta de trabajo que tiene que serme útil para sacar mis tareas y permitiendo que cualquiera pueda robarme tiempo y atención escribiéndome un e-mail no me ayudaba a eso.

Figura 1: Office 365: Cómo reducir el spam y el ruido

en tu e-mail y sacar más tiempo a tu vida.

Para todo lo demás, tengo un canal de comunicaciones abierto a todo el mundo, donde todo el que quiera para algo que sea importante para él, que quiera presentarme algo, invitarme a algo, o contarme algo, puede hacerlo. Es un canal que, como los otros, también gestiono en Inbox Zero, es decir, que contesto en un plazo de tiempo súper corto: Es mi buzón de MyPublicInbox, donde está abierto a todos.

Figura 2: He contestado 1420 mensajes por mi buzón de MyPublicInbox

Gracias a esta disciplina de trabajo con mi correo electrónico y redes sociales, yo hago Inbox Zero, si no todos los días, casi todos los días, dejando que las tareas importantes de mi trabajo se lleven mi tiempo, y no contestar mensajes. Y para ello, la regla número uno es proteger qué correos entran en tu buzón de Office 365, especialmente desde que hay empresas que se dedican a vender tu contacto, como la empresa que os conté que vendía mis datos y con la que tuve mis más y mis menos.

Protegiendo los correos que entran en el inbox de mi Office 365

Así, cuando llega un mensaje a mi buzón de correo electrónico personal o del trabajo de alguien que no está en mi "Whitelist" de destinatarios, he configurado una regla que envía un mensaje de respuesta que dice:

[Respuesta Automática - English below ] 

¡Hola! 

Gracias por contactar conmigo, pero como bien sabes, el tiempo es oro, y para proteger el mío, te escribo este mensaje automático para informarte de que este buzón solo acepta los mensajes que están dentro de la lista blanca. Y esta dirección no está entre ellas. 

No respondo mensajes por este buzón ni ninguna otra plataforma social. Este tipo de mensajes los contesto a través de la plataforma de comunicaciones responsables con el tiempo de las personas MyPublicInbox, donde tengo un buzón público en la siguiente dirección. 

    • https://www.mypublicinbox.com/ChemaAlonso 

 

Si quieres proponerme algo, tener una reunión de trabajo, o buscar oportunidades de colaboración juntos, no dudes en contactarme. Puedes reservar tiempo para una reunión virtual conmigo aquí: 

    • https://www.mypublicinbox.com/chemaalonso/videocall

Espero que comprendas que el tiempo que puedo dedicar a responder mensajes diariamente es muy limitado. 

¡Gracias! 

[English Version] 

 

Hi! 

 

Thanks for reaching me, but as you probably know, time is gold, and to protect mine, this is an automatic reply to inform you that I do only answer messages from a whitelist, and your address is not on it. 

 

I do this kind of communications using MyPublicInbox, a responsible communications platform. I have a public Inbox at: 

 

    • https://www.mypublicinbox.com/ChemaAlonso 

 

You can also book time in my agenda for a Virtual Meeting here: 

    • https://www.mypublicinbox.com/chemaalonso/videocall 

 

If you want to propose a collaboration, a meeting, or any professional opportunity, you can reach me there. I hope you may understand my daily time to answer messages is limited and I need to protect it. 

Thanks!

Al final, es una manera directa para contactar conmigo, pero claro, está protegido por Tempos, que es lo que defiende mi tiempo. Una barrera insalvable para quien realmente no tiene tanto interés en mi tiempo como para no contactarme, así que me ayuda mucho. 

Figura 3: En las opciones del correo de Office365 sólo se puede

bloquear a nivel de e-mail address y no a nivel de dominio.

Además de la respuesta, la regla de Office365 me envía el mensaje a una carpeta donde puedo revisarlos antes de bloquearlos, y es aquí donde comienza lo que os quería contar, ya que el bloqueo, como podéis ver en la imagen anterior es a nivel de e-mail address ni a nivel de domino. Claro, esto los spammers profesionales se lo saben y utilizan diferentes e-mail addresses con el mismo dominio para ir cambiando y evitando los bloqueos. 

Bloqueando dominios de correo en Office365

Queriendo evitar esto, después de haberme dado cuenta de que varios tipos de correo los había bloqueado, decidí revisar si era mi imaginación, o estaban haciéndome este truco, así que para saber si esto te ha pasado, es tan sencillo como irse a las Opciones de Configuración de Office 365 e ir a la parte de "Junk e-mail" para buscar por el dominio que crees que has bloqueado varias veces, y buscar ese dominio a ver si es cierto que está haciendo el cambio de e-mail address para cada nuevo envío.

Figura 4: Ahí está, cada envío al mes, un nombre nuevo.

Pues nada, desde esa misma pantalla de configuración, puedes bloquear directamente un dominio, así que cuando te pase esto, al zurrón y todos a la playa para próximos envíos, que esto es algo muy común de los más "heavy spammers".

Figura 5: Bloquear un dominio de correo en Officer365

Para hacerlo basta con poner el nombre del dominio y luego darle al botón de +Add y listo. Ya te has zapado todos los remitentes de ese dominio. 

Revisando la Cuarentena con Defender

Claro, puede pasar que en una de estas se te haya ido la mano y hayas bloqueado algo gordo que quieras revisar. Para ello, además de irte a ver las direcciones de correo electrónico y los dominios que has bloqueado en las opciones del Mail en Office 365 (la ruta de la Figura 5), puedes irte a Microsoft 365 Defender a ver la carpeta de Cuarentena y revisar qué no te ha entregado el sistema de seguridad.

Figura 6: Microsoft 365 Defender en Security.Microsoft.com

Ahí en la cuarentena puedes ver todos los correos que el sistema de seguridad de Microsoft 365 Defender junto con tus reglas de bloqueo han puesto en cuarentena durante 30 días, y buscar, si quieres, a ver si algo se te ha ido de madre por exceso de restricción.

Figura 7: Mi Cuarentena en Office 365

La verdad es que no me ha pasado nunca que haya algo en la Cuarentena que haya bloqueado por exceso de protección de mi tiempo, pero sí que es cierto que una vez al mes me paso a verlo por curiosidad, a ver si aprendo algo o puedo mejorar el sistema.  

Figura 8: Un mensaje de promoción en mi cuarentena

Ahí puedes revisar el correo, mirar el mensaje original, las cabeceras, revisar los resultados de las pruebas de SPF, el DKIM, el DMARC, y ver el valor SCL (Spam Confidence Level) que ha recibido cada mensaje para acabar en esa carpeta, como podéis ver en este caso.

Figura 9: SCL 9. Todo un sobresaliente como Spam

Por supuesto, lo puedes liberar de la cuarentena, bloquear o desbloquear ese remitente (si no lo tenías bloqueado antes), etcétera, pero ya os digo que suele funcionar todo bastante fino.

Figura 10: Acciones con los mensajes en la cuarentena

Al final, lo que me sucedía es lo que probablemente os pasa a muchos de vosotros. Habéis interiorizado la tarea de hacer esto manualmente, y os pasáis el día borrando mensajes de correo, leyendo mensajes de gente que os roba tiempo por el e-mail, de una manera tan rutinaria que ya no sois conscientes de la cantidad de tiempo que perdéis en ello. Yo decidí trabajar en proteger mi e-mail y para mí es gestionar el buzón no es algo que me quite casi tiempo, donde además yo tengo un montón de reglas para evitar la burocracia personal. Leeros este artículo de hace tiempo.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Check Azul en Gmail: Cómo conseguir que tus mensajes estén verificados y reducir el riesgo de ser Spam y el Phishing

Si eres un usuario de MyPublicInbox, habrás visto que las alertas y mensajes de comunicación, cuando te llegan a tu cuenta de Gmail, llegan con el un check azul verificado que identifica que el mensaje llega realmente de MyPublicInbox. Para ello, el equipo técnico ha implementado el estándar BIMI, que permite registrar la marca y garantizar que se han configurado correctamente los servidores que envían correo legítimo de de MyPublicInbox.

Figura 1: Check Azul en Gmail: Cómo conseguir que tus mensajes

estén verificados y reducir el riesgo de ser Spam y el Phishing

He hablado mucho de seguridad en el correo electrónico, ya que este caos maravilloso que es el e-mail hace que tenga muchas "goteras" por las que pasa el malware, el cibercrimen, el phishing, el spam, el spoofing, y muchas otras cosas. No es casual que por eso creáramos MyPublicInbox. Pero hoy quería contaros cómo es el proceso de poner ese Check Azul en los mensajes de correo electrónico legítimos de tu empresa cuando llegan a Gmail y servidores de correo que implementan el estándar BIMI.

Figura 2: Mensaje verificado de MyPublicInbox en Gmail

El proceso implica, primero, hacer los BASICS, y estos son los que ya conocéis de muchos artículos pasados. Hay que configurar correctamente los registros SPF, DKIM y DMARC, para conseguir pasar a la siguiente fase.

Figura 3: Configuración BASIC para BIMI

SPF o Sender Policy Framework le indica al servidor de correo electrónico del destinatario qué debe de hacer cuando reciba un mensaje que venga de una dirección IP de un servidor de correo electrónico saliente que no esté en la lista de los autorizados. Esto es, subir el SCL (Spam Confidence Level), descartarlo o darlo por bueno. Y el registro es de tipo TXT que tienes que configurar en DNS.

Figura 4: Registro SPF de MyPublicInbox.com

DKIM (Domain Key Identified Mail) es un sistema por el cual el correo electrónico, cuando sale del servidor de correo saliente, es firmado por una clave que está en el DNS de la organización del remitente. Así, cuando llega el mensaje, en el código del mensaje se puede ver qué clave de firma se utilizó.

Figura 5: Firma DKIM en código de mensaje recibido.

Se usa la calve domabs

Y por supuesto, se debe poder verificar esa clave en el registro DKIM correspondiente del servidor DNS de la organización, así que hay que configurar correctamente DKIM siguiente las especificaciones del servidor de correo saliente que estés utilizando.

Figura 6: Clave domabs de DKIM en DNS de MyPublicInbox

Por último, hay que configurar DMARC (Domain-based Message Authentication, Reporting & Conformance) que implica una coordinación de qué hacer con el mensaje en caso de diferentes situaciones con SPF y DKIM. Es decir, es un proceso de validación en cadena donde primero se obtiene el resultado de la validación SPF, luego la validación DKIM y en función de eso, se aplica la política DMARC. Lo expliqué en el artículo que le dediqué al registro DMARC.

Figura 7: Registro DMARC en DNS de MyPublicInbox

Si quieres que tu organización tenga el "Check Azul" de Gmail, tienes que configurar correctamente DMARC también en tus servicios DNS, para que se pueda comprobar correctamente. Y si es así, cuando envíes un correo electrónico a un destinatario de Gmail, en el código fuente del mensaje obtendrás un resultado similar a este.

Figura 8: SPF, DKIM y DMARC pasados. Vamos a por el BIMI

Ahora tienes que ir a la siguiente fase, que es registrar y certificar el logo de tu marca. Para ello, debes primero subir el formato gráfico del logo de tu marca que tienes registrado en el registro de marcas, así que si no has registrado tu marca, debes comenzar por ese paso. Luego, registra y sube el SVG de tu marca, como se explica en este artículo.

Figura 9: Sube el SVG del Logo de tu marca

Pero aún no has acabado, debes conseguir el certificado del registro de tu marca, que permita validar digitalmente que tu imagen está registrada a tu nombre. El VMC (Verified Mark Certificate), que puedes conseguir con el proceso que te explica este artículo.

Figura 10: Consigue el VMC

Perfecto, si ya tienes todo lo anterior, el siguiente paso es hacer el registro BIMI en tu DNS, que debe apuntar al SVG de tu marca certificada en el VMC, así que si intentas algún cambio, te van a denegar el proceso, porque siempre es un double-check.

Figura 11: Añadir registro BIMI al dominio

Con todo ello, y peleándote un poco con los equipos de soporte de Gmail, conseguirás el Check Azul para los correos electrónicos que envías desde tu empresa y acaban en buzones de Gmail y otros proveedores que soportan el estándar BIMI. 

Figura 12: Registro BIMI en DNS de MyPublicInbox

Si no lo tienes en tu empresa, ya tienes algo que hacer. Y si necesitas ayuda, contacta con nosotros que te podemos echar un cable, y así conseguirás el Verified Azul de Gmail para tus correos. Contacta con Leire en MyPublicInbox y te ayudamos con todo el proceso.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cartuxeira: Recurriendo a las Meigas ( y al Machine Learning) para protegerse del Phishing

Este año hemos presentado en RootedCON 2023 el proyecto “Cartuxeira”, cuyo objetivo es proporcionar la información necesaria para evaluar si un mensaje de e-mail es confiable o no, haciendo uso de técnicas de Machine Learning e información recopilada de fuentes abiertas, para minimizar así, el riesgo de sufrir ataques de Phishing.

Figura 1: Cartuxeira - Recurriendo a las Meigas ( y al Machine Learning)

 para protegerse del Phishing

En el folclore gallego, Cartuxeira es un tipo de meiga que echa las cartas y siempre acierta en sus vaticinios, y parece que, desde el Siglo XIX que nacieron los primeros “spam” con los casos del denominado prisionero español, las meigas gallegas pare cen ser las únicas que podrán sacarnos de este problema. Por cierto, en el libro de Machine Learning aplicado a Ciberseguridad, se explica en el Capítulo VI un ejemplo aplicado a clasificar Spam, en "Cartuxeira", vamos a hacerlo con el Phishing y añadiendo OSINT.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

A día de hoy, la principal herramienta que cualquier ciudadano de a pie dispone para luchar contra el Phishing es la concienciación. Sin ir más lejos, y aprovechando para recordar las recomendaciones de seguridad del INCIBE contra el Phishing, lo primero en lo que hay que fijarse es en el remitente y su dirección de e-mail y si confiamos en ella. Lo segundo, el asunto y objetivo del e-mail y ver si traslada urgencia o trata de que compartamos información de carácter personal como usuario y contraseña de alguno de los servicios que utilizamos o nuestra información financiera o medios de pago. El tercer punto es revisar si la redacción del mensaje es correcta. Y por último, los enlaces y documentos adjuntos en dicho e-mail.

Figura 3: Recomendaciones de seguridad del INCIBE ante ataques de Phishing

Este tipo de recomendaciones de seguridad pueden tener llegada y calado siempre y cuando se tengan conocimientos básicos de informática, pero en el caso de todas esas personas mayores, como por ejemplo padres o abuelos, que se están viendo empujados a la digitalización sin conocimientos de informática, pueden no ser suficientes. 

Sin ir más lejos, si tu madre recibe un e-mail de “Amazon” con dirección “info [at] ammazon [dot] com”, ¿cómo le explicas que el dominio contratado por la empresa es con una “m” y no con dos si está viendo que el nombre del correo es Amazon? ¿Te pondrías a explicarle WHOIS, y registros DNS como el A y el MX? 

Y ya ni hablemos de DMARC, SPFv1 o SPFv2, SenderID o DKIM en este "caos" maravilloso que el correo electrónico y que ha hecho que la dirección de e-mail se haya convertido en nuestro usuario de los servicios de Internet.

Estado del arte del Phishing e importancia de la dirección de email

Desde luego, si la única arma contra el phishing es la concienciación, nos espera un largo invierno por delante. Sin ir más lejos, en 2022 España se situó como el tercer país a nivel global con más amenazas detectadas vía e-mail con el 21% del total y sexto a nivel de ciberataques detectados y recibidos. Teniendo en cuenta los diferentes nombres sexys del Phishing (Phishing, Vishing & Smishing), el 96% de todos esos ataques se realizaron vía correo electrónico, lo cual, con tecnologías como ChatGPT y su capacidad para realizar redacciones realistas de correo, empieza a complicarse mucho el identificar fallos gramaticales en el cuerpo del mensaje por parte de un humano. Por este motivo, ¿por qué no poner foco en el primer punto de la concienciación?: la dirección de email.

Figura 4: Partes de una dirección e-mail

Si observamos una dirección de e-mail, podríamos analizarla desde cuatro puntos de vista diferentes. El primero, el dominio, para el cual podríamos revisar si está en blacklist, se ha generado utilizando técnicas DGA, o con fines maliciosos vía cybersquatting (ocupación del dominio) y la búsqueda de estos como forma de proteger tu empresa. En segundo lugar, la dirección de e-mail al completo, que del mismo modo nos permite revisar si está en blacklist o se ha creado con malas intenciones. En tercer lugar, la actividad de dicho e-mail, si tiene presencia en Internet y desde cuándo, leaks en los que aparece, etcétera. Y por último, algo ya más vinculado al mundo empresarial sería el enfoque del KYC (Know Your Customer) en el que se vincula dicha dirección con IP o identidad digital de una persona concreta.

Técnicas utilizadas para generar e-mails de Phishing (DGA y EGA)

En primer lugar, cada vez más se están utilizando técnicas heredadas del mundo del malware como la generación de dominios vía DGA (Domain Generation Algorithm). Este tipo de técnicas funcionan similar a como funciona un token hardware o software que genera una OTP. En este caso, el atacante genera un algoritmo de generación de dominios y una semilla aleatoria que es la misma que la incorporada en el malware. De este modo, el servidor de Command & Control va dando de alta y baja los dominios en el DNS de manera automática y el malware desplegado, con la sincronización de su semilla, genera los mismos dominios para poder conectarse a él fácilmente. 

Figura 5: Diagrama explicativo del uso de DGA en malware

Esto obviamente dificulta una gestión de blacklisting por parte de los equipos de seguridad en cualquier organización. Sendos ejemplos de e-mails generados con este tipo de técnica los recibimos a día de hoy sin parar en nuestras bandejas de entrada y de Spam como se puede observar en los ejemplos de la siguiente figura.

Figura 6: Ejemplo de phishing generado con técnicas DGA

Por otro lado, también existe otra técnica que es mucho más difícil de detectar y que en este trabajo hemos acuñado como algoritmos de generación de e-mails o EGA (Email Generation Algorithm). Esta técnica se basa en engañar al ojo humano aprovechando la funcionalidad (o bug) de nuestro cerebro que nos permite realizar una lectura predictiva aunque las letras de la palabra estén mal escritas. 

Figura 7: Ejemplo de cómo funciona la lectura predictiva de nuestro cerebro

Éste es un campo de neurociencia bastante interesante, del cual, un artículo académico ha impulsado nuestro trabajo de investigación hacia este enfoque: A. Agrawal, KVS Hari and SP Arun, “A compositional neural code in high-level visual cortex can explain jumbled word reading”, 2020. 

Figura 8: Ejemplo de generación de e-mails vía EGA

Teniendo en cuenta este aspecto, la siguiente figura muestra los casos de uso contemplados dentro de nuestro término acuñado EGA, el cual incluye el cybersquatting, para el correo legítimo de Netflix.

Proyecto Cartuxeira

Cartuxeira es un servicio cuyo objetivo principal es identificar ataques de Phishing analizando exclusivamente la dirección de e-mail. Para ello, este proyecto utiliza técnicas de Machine Learning e información de fuentes abiertas OSINT para la identificación de e-mails maliciosos. 

Figura 9: Cartuxeira en GitHub

Una de las premisas que hemos tenido a la hora de desarrollar este proyecto ha sido su simplicidad de utilización y despliegue. Por ello, todo el código fuente de la solución se puede encontrar (incluyendo modelos de Machine learning) en GitHub.  La solución se ha dockerizado de tal forma que la arquitectura de Cartuxeira sería la mostrada en la siguiente figura:

Figura 10: Arquitectura de Cartuxeira

Como se puede observar en la arquitectura de Cartuxeira, existen diferentes componentes cuya información es agregada por el “Email Risk Composer” para retornar el riesgo identificado para el e-mail consultado. A continuación haremos zoom sobre los cuatro componentes que se muestran en la arquitectura.

DGA Detector

Como base de conocimiento para el DGA Detector, partimos de un dataset de 890.000 dominios legítimos y 225.000 dominios ilegítimos generados vía DGA. Tras el pre-procesado y el etiquetado de los datos, aplicamos un proceso iterativo de prueba de distintos modelos de Machine Learning y observamos que casi todos fallaban al detectar el dominio malicioso, incluso después de aplicar técnicas para aliviar el desbalanceo de la muestra. Esto sucedía en casi todos los modelos (RF, Regresión Logística, CNN) excepto en Perceptrón Multicapa (MLP), el cual detectaba con mayor precisión los dominios DGA que los legítimos. Aun así, los resultados no fueron lo suficientemente buenos como para considerar añadir estos algoritmos en la herramienta.

Figura 11: DGA-Detective en GitHub

En este escenario, decidimos incluir el proyecto DGA-Detective disponible en Github. Dicho proyecto ha sido desarrollado por el equipo de investigación SOCCRATES bajo financiación de la Unión Europea (Horizonte 2020). Su modelo se basa en redes TCN (Redes Neuronales Convolucionales Temporales), que son una variación de las redes neuronales convolucionales para tareas de modelado de secuencias, al combinar aspectos de las arquitecturas RNN y CNN.

Finalmente, al pasar nuestro dataset de prueba sobre el modelo de DGA-Detective, los resultados fueron de una exactitud de acierto del 96% y del 99% para cada una de las clases (No-DGA y DGA respectivamente), superando ampliamente al resto de modelos probados.

EGA Detector

Como base de conocimiento para el EGA Detector, hemos utilizado los leaks incluidos en el proyecto “Odin: Footprinting en la era del BigData” que se presentó en RootedCON 2016 entre Alejandro Ramos y Elías Grande. En dichos leaks encontramos 150 millones de e-mails, que tras eliminar duplicados e inconsistencias nos permitió disponer de 105 millones de emails legítimos. Por otro lado, recopilando e-mails reportados como maliciosos en Internet y abusando de la “feature” de lectura predictiva humana, generamos cerca de los 300 millones de e-mails maliciosos. 

Tras el pre-procesado y disponer de los datos etiquetados, aplicamos un proceso iterativo de prueba de distintos modelos: MLP, CNN, Regresión Logística y XGBoost. Los mejores resultados los presentó RandomForestClassifier (RFC), que es un ensamble de árboles de decisión donde la clase predicha es la más votada entre todos los árboles del ensamble. 

Este caso no es aislado ya que es algo frecuente que el algoritmo de clasificación RFC presente unos resultados mejores que sus compañeros clasificadores como se plasma en uno de los papers académicos más referenciados a día de hoy sobre el tema: M. Fernández-Delgado, E. Cernadas, S. Barro and D. Amorim, “Do We Need Hundreds of Classifiers to Solve Real World Classification Problems?”, 2014, .

Finalmente, tras aplicar técnicas de cross-validation para la optimización de los hiper-parámetros de RFC, la exactitud de predicción de los e-mails no legítimos (la precisión del modelo) es del 92% y el accuracy (precisión total del modelo) es de un 84%.

BlackList Service

La solución también incluye un servicio propio de blacklist tanto para e-mails como para dominios. Este servicio permite un “botón del pánico” para elevar el nivel de riesgo de aquellos e-mails que no hayan sido detectados como DGA o EGA. Además, el almacenamiento de estas blacklists sirve como base de conocimiento para futuros re-entrenamientos de los modelos ya que la degradación de los modelos de Machine Learning es común y de ahí que sea necesario los re-entrenamientos.

Servicios de terceros

Para cerrar el círculo, se ha enriquecido Cartuxeira con información de servicios de terceros. A esta información, al depender de la calidad del dato de cada servicio, se le da menos peso que a los cálculos realizados por los detectores DGA y EGA. Aun así, toda la información recopilada sirve para enriquecer de información la herramienta. Entre los servicios utilizados, destacamos DNSBL para la comprobación de blacklists, y Simple Email Reputation para la investigación de la presencia de un e-mail en Internet.

Conclusiones

Para finalizar, indicar que, un despliegue de Cartuxeira de manera centralizada en un organismo institucional o empresa puede beneficiar tanto a ciudadanos como empleados en la prevención del Phishing. Todo ello utilizando sólo direcciones de e-mail sin necesidad de analizar el cuerpo del e-mail o entrenar modelos con dicho cuerpo de los mensajes, lo cual podría suponer fuga de información confidencial (en función de la ubicación de los motores de Machine Learning) o problemas de privacidad por el contenido en cuestión.

Los algoritmos EGA plantean un nuevo enfoque a considerar, el cual abre múltiples vías de mejora e innovación gracias a la disponibilidad del código de Cartuxeira, para que por fin, la concienciación no sea la única herramienta disponible contra el Phishing.

Figura 12: Razones por las que usar un buzón de MyPublicInbox

para estar contactable en Internet

Por último, recordad que exponer vuestra dirección de e-mail en Internet no es la mejor de las ideas, hay otras formas de estar contactable en la red y ponérselo difícil a los que quieran robar tu identidad, a los que quieran enviar Spam o Phishing, servicios como MyPublicInbox nos ayudan a estar contactables en la red sin exponer a cualquiera tu dirección personal de e-mail (que te va a acompañar mucho tiempo en tu vida), y por ahí puedes contactar con nosotros también.

Autores: Elias Grande y Ana de la Torre

Contactar con Elias Grande

Contactar con Ana de la Torre