Estimados amigos del blog,
En este episodio tengo el orgullo de traeros una entrevista. Una entrevista a dos profesionales como la copa de un pino, y mejores personas, que con su trabajo nos acercan al apasionante mundo del IPV6 con su herramienta Mr.Looquer.
Espero que disfrutéis de ella tanto como yo. ¡Vamos con ella!
En primer lugar, ¿quiénes sois?
Rafa Sánchez – Apasionado de la seguridad informática, de las redes, IPv6, protocolos, RFCs y del Albacete Balompié.
Francisco J. Gómez – Adicto a los datos, a la seguridad e IPv6. Las cosas simples y el chocolate espeso.
Conozco a Rafa desde hace unos años, y personalmente aún no he podido estrechar la mano a Fran en persona, pero con ese gif tan molón seguro que es un buen tipo. Ambos pertenecéis al proyecto Owasp en Madrid, sois parte de los ponentes de los congresos de seguridad más relevantes del panorama, ¿no teníais bastante?, ¿por qué decidisteis montar Mr. Looquer?
Llevamos investigando sobre seguridad e IPv6 muchos años y conocemos los riesgos que hay detrás de una mala configuración y gestión de este protocolo. MrLooquer surge como una prueba de concepto cuya finalidad es acercar esta importante «isla» en el mundo de la tecnología a los expertos de seguridad. Si buscas «Seguridad en IPv6» verás hasta la saciedad los mismos ataques, herramientas y tutoriales sobre seguridad en IPv6, sin embargo hay mucho más detrás en el mundo real y queremos darlo a conocer.
IPv6 lleva siendo el futuro desde hace 20 años. ¿Basándonos en vuestras investigaciones y en datos, ¿cuál creéis que es el grado de implantación del protocolo en España? Vaticinar el futuro es algo propio de pitonisas, pero… cómo creéis que se desarrollará el cambio? ¿Realmente el IoT impulsará el salto? ¿Será algo que marcarán los ISP?
Si el futuro es IPv6, entonces, ya estamos en el futuro jejeje. Lo cierto es que en USA más del 35% del tráfico ya es IPv6, y creo que es un país que tecnológicamente tiene algo que decir, ¿no crees?. Que en España el tráfico IPv6 sea residual no debe llevarnos a engaño ya que Internet es una red global y debemos analizarla como tal, y no mirarnos solo nuestro ombligo a la hora de pensar en IPv6. De hecho, pensar que IPv6 todavía está por llegar está causando algunos problemas de seguridad. Por ejemplo, imagina una empresa u organismo público que utiliza servicios cloud para montar sus servicios web, de correo, ERP, etc… muchas veces los proveedores cloud pueden dar conectividad en IPv4 y en IPv6 (les sale más barato IPv6 que IPv4) por lo que muchas entidades tienen sus servicios escuchando en IPv6 y ni siquiera son conscientes de ello, y lo peor de todo, no saben lo que esto implica para su seguridad.
Para los lectores que no han tenido contacto con IPV6, ¿podemos explicar en unas pocas palabras de qué se trata? Creo recordar una edición de Navaja negra (la 2) donde Rafa comentaba unos fallos y una tool (Topera) sobre la implementación del popular IDS Snort en entornos IPV6. Siempre decimos que Internet e IPV4 no se diseñó para la seguridad, ¿podríamos decir que IPV6 si?
IPv6 es un protocolo que se diseñó hace mucho tiempo y es cierto que se tuvieron en cuenta determinadas capacidades de seguridad muy potentes desde el principio. Sin embargo, algunas de esas features, como IPSec, requieren de configuración y mantenimiento, lo que hace que muchos no lo usen. Al final, el problema viene del desconocimiento y de las deficientes políticas de seguridad. IPv6 tiene otras características muy interesantes, como que está diseñado para eliminar el uso del NAT, pero esa es otra historia para comentar en otro momento.
Volviendo a Mr.Looquer. Personalmente puedo decir, a riesgo de equivocarme, que es una herramienta para usar de manera defensiva, monitorizando esa “pata” de nuestras conexiones en IPV6, y podemos usarla de manera ofensiva , ayudando en las tareas de descubrimiento de activos en aquellos escenarios en los que el cliente tiene IPv6. ¿Se me pasa algo? ¿Tenéis un roadmap definido con nuevas funciones?
Lo has definido bastante bien. Aunque también hay que decir que MrLooquer está evolucionando y ahora es dual-stack. Esto quiere decir que ahora no sólo se focaliza en IPv6 sino que analiza el stack IPv4 para poder ofrecer un análisis más completo al especialista de seguridad. Nos dimos cuenta de que ambos mundos, IPv4 e IPv6, están mucho más interconectados de lo que nos pensamos, y por ello decidimos evolucionar la tecnología para aumentar la potencia de análisis. MrLooquer viene a ofrecer una herramienta para los pentesters para ayudarles en sus fases de recopilación de información del objetivo. Cuando alguien nos manda analizar la seguridad de 10 o 15 portales web de una multinacional, ¿nos planteamos que alguno de esos portales esté escuchando en IPv6? ¿Y si resulta que el WAF que usan no soporta IPv6? ¿Y si se han dejado algún puerto de gestión abierto en IPv6 por una deficiente política de Firewall? Este tipo de cosas son vitales en un pentesting porque nos podemos dejar atrás una parte muy importante del análisis, y aquí es donde MrLooquer viene a echarnos una mano.
Hoy en día “todo es gratis”, pero en la mayoría de los casos todo se paga. ¿Cuál es el modelo de trabajo actual de Mr. Looquer? Yo suelo usarlo y aún no he pagado nada. ¿Significa esto que os debo pasta?
No nos debes nada, solo venderemos tus datos de navegación a terceros :p No, en serio. MrLooquer no es una tool que se lance desde una máquina muy potente y saque los resultados en un formato chulo, es una infraestrcutura compleja la que hay detrás y cuesta pasta mantenerla. Hace algo más de un año nos dimos cuenta de que si queríamos que fuera un servicio útil y potente y poder seguir evolucionándolo debíamos pasar a un modelo comercial. Y bueno, si podíamos ganar algo de pasta, pues mejor, a nadie le amarga un dulce. Por este motivo vamos a publicar la nueva versión de MrLooquer en un modelo freemium. El enfoque es el de siempre, si vas a trastear o investigar te damos gratis una serie de features potentes con las que hacer tu trabajo, pero si te dedicas de forma profesional al mundo del pentesting, oye, échanos una mano a mantener la solución.
En varios artículos internacionales se incluye vuestra herramienta entre las mejores soluciones para el descubrimiento de activos, comparándolos con populares servicios como Shodan, Censys, etc . ¿Se ve reflejado ese “éxito” mediático de la herramienta en vuestras visitas? ¿Manejáis muchos usuarios registrados?
Hasta ahora tampoco hemos querido hacer mucho ruido porque precisamente toda la infraestructura la hemos mantenido de nuestro bolsillo y no estábamos preparados para una carga demasiado alta de usuarios. Así que hasta ahora hemos contado los usuarios que queríamos, especialistas del mundo de la seguridad que nos han ayudado a testear el servicio. Cuando publiquemos la nueva versión de MrLooquer, a la que, por cierto, llamaremos MrLooquer IPLake, empezaréis a notar que hacemos más ruido. Ahí es cuando esperamos aumentar el número de usuarios sensiblemente.
¿Por último, podéis aprovechar este pequeño espacio para animar a la gente a usarlo? ¿A contribuir con descubrimientos de activos? Aprovechar ahora o callar para siempre ¡! xD.
Vamos con un poco de psicología inversa… No uséis MrLooquer, total, si IPv6 nunca va a llegar… 😉
Muchas gracias por este rato tan ameno, esperemos que le guste a nuestros lectores.
¡Queridos lectores, gracias como siempre por estar ahí! Esperamos que os guste la entrevista y sobre todo que probéis la herramienta con vuestros entornos.