domingo, 30 de enero de 2011

Amenaza Inminente. Parte II.

En el artículo anterior de la serie Amenaza Inminente, obtuvimos muy fácilmente una lista de direcciones IP que nos atacaban inclementemente. Un paso casi inmediato en cualquier respuesta a incidentes de este tipo es tratar de ubicar la localización geográfica de nuestro atacante(s). Para lograr esto con verdadera precisión se requiere correlacionar información de diversas fuentes. Sin embargo, una primera fuente de información es justamente de la dirección IP que comete el ataque.

Existen gran cantidad de scripts que pueden convertir una dirección IP en coordenadas del globo terraqueo. Esta transformación se hace a partir de la información de registro del manejador del bloque de IPs a que correponde la dirección transgresora. Por lo tanto, no siempre se encuentrá actualizada o completa pero no deja de ser un buen punto de partida de todas maneras. A pesar de su gran disponibilidad, muchos de estos programas caen rapidamente en desactualización debido a los cambios constantes que hacen los proveedores de la información de localización para alcanzar mayor eficiencia en su servicio. Lejos de reinventar la rueda, tomamos un script público y lo arreglamos para que funcione con la tecnología actual.

$ ./ips2kml.rb hostile.unique.ips

Nuestro script toma como entrada un archivo con una lista de direcciones IP, y retorna un archivo de extensión kml, con el mismo nombre, para ser usado con los servicios de google-earth. Con este archivo es posible generar todo tipo de gráficas que permiten visualizar la "superficie de la amenaza".



Adicionalmente, se puede extraer facilmente las 10 localidades con mayor actividad hostíl, por ejemplo:

$ grep description hostile.unique.ips.kml | cut -d ">" -f 2 | cut -d "<" -f 1 | sort | uniq -c | sort -gr | head

   1874 Caracas, Distrito Federal, VE
    174 Cúcuta, Norte de Santander, CO
    102 Taipei, T'ai-pei, TW
    102 , , RU
     52 Moscow, Moscow City, RU
     43 Bogotá, Cundinamarca, CO
     33 Buenos Aires, Distrito Federal, AR
     30 São Paulo, Sao Paulo, BR
     27 Seoul, Seoul-t'ukpyolsi, KR
     22 Bucharest, Bucuresti, RO

Como es de esperarse de un ataque planificado, la mayor cantidad de infractores son de la localidad de Venezuela, en donde se recoletó esta información. En un ataque oportunista al azar, no esperamos ver esta distribución tan correlacionada. La idea de nuestros atacantes es usar las computadoras mas "cercanas" en terminos de latencia, para seguir vulnerando más y más equipos. El costo de llevar a cabo este ataque desde una localidad remota simplemente no es aceptable. Por esta razón los creadores de virus/gusanos/malware introducen algoritmos que hacen preferir las direcciones IPs de la misma subred antes de las direcciones más "remotas".

Con esta metodología es posible conseguir aún más estadísticas útiles para tomar decisiones sobre cómo reaccionar ante el incidente. La mayoría de veces estas decisiones giran alrededor de detener la amenaza y continuar con la operación normal. Sin embargo, algo que muchas veces no se puede dar el lujo la organización bajo ataque es investigar más profundamente la amenaza. Los objetivos de esta investigación pueden estar dirigidos a averiguar los métodos, intenciones u objetivos y finalmente hasta el responsable o responsables del ataque. Desarrollar un pequeño laboratorio virtual para abordar estos ambiociosos objetivos será el tema de proximos artículos.

No hay comentarios:

Publicar un comentario en la entrada