¿Quieres saber si tu conexión a Internet está en una botnet?
Durante el último Security Innovation Day 2014, una de las cosas que contamos es el acuerdo que hemos llegado desde Eleven Paths y Telefónica con la Digital Crime Unit de Microsoft para compartir información. Bajo ese acuerdo nosotros desde Telefónica compartiremos información desde el Big Data que utiliza el servicio de Vigilancia Digital y les daremos acceso a nuestra plataforma de investigación de malware para smartphones "Path 5", además de colaborar en la respuesta ante incidentes.
Figura 1: Cómo saber si una dirección IP está en una botnet detectada por Microsoft
Por otro lado, Telefónica & Eleven Paths se convierte en la primera empresa privada que firma con Microsoft un acuerdo como éste y estamos recibiendo ya un feed con los incidentes de malware que están siendo detectados por la Digital Crime Unit. El objetivo final de este acuerdo es mejorar la seguridad de los clientes conjunto de Microsoft y Telefónica
a nivel mundial y para ello vamos a comenzar un trabajo de análisis de
datos y cruce de información para ver qué puntos podemos unir en esta
lucha.
Figura 2: Acuerdo entre Microsoft Digital Crime Unit & Telefónica - Eleven Paths
Otra de las entidades que está recibiendo este feed de información es INTECO desde hace tiempo. En su feed, ellos reciben todos los incidentes que tienen que ver con botnets en equipos detrás de conexiones desde direcciones IP de España y para conseguir que los usuarios tomen medidas, se ha creado un servicio desde la Oficina de Seguridad del Internauta, que permite consultar si tu conexiónIP a Internet ha aparecido dentro de las redes detectadas como infectadas.
Figura 3: Servicio AntiBotnet de la OSI
El servicio es muy sencillo, basta con Aceptar las condiciones del servicio y recibirás si desde la dirección IP desde la que te estás conectando Microsoft tiene información de algún equipo infectado o no.
Figura 4: Comienzo de acceso al servicio
Recibirás una respuesta que te dirá, además, qué información relativa a
ese incidente hay disponible y enlaces con más detalles sobre la
dirección IP y la infección detectada para tomar acciones al respecto.
Figura 5: Resultados. Mi conexión no aparece en ese feed.
Otra de las opciones que hay disponibles es la de llevar la consulta a
esta información mediante un plugin de navegador que te permita tener
una alerta en cualquier conexión en la que te estés conectando.
Esto es útil para entender cuándo una red a la que te estás conectando
no es lo segura que debería y tomes las medidas oportunas. Si la
conexión aparece en el feed, además se podrá tener
información del sistema operativo en concreto que estaba infectado, por
lo que si eres una empresa deberás comenzar a tomar medidas.
Figura 7: Información del plugin para Google Chrome
Nosotros ahora, desde Eleven Paths
vamos a comenzar a analizar esta maravilla de información para ver qué
podemos construir que desde que cerramos el acuerdo estamos analizando
los detalles concretos para sacar el máximo de ella. Además, gracias a
un acuerdo de este año con Kaspersky contamos con otra fuente de información a cruzar que seguro que nos ayuda a entender mejor las amenazas.