Estimados amigos del blog de Protegerse,
Hemos iniciado esta serie de entradas relacionadas con la inteligencia colectiva con la entrada uno y dos. Hemos introducido al lector en el concepto de usar la información pública de amenazas en la red para usarla como medida defensiva en nuestros sistemas, o como información de valor para los equipos de analistas.
En el capítulo de hoy vamos a comentar una aplicación web gratuita «similar» a la mencionada en el capítulo dos con OTX de AlienVault. En este caso le toca el turno a CriticalStack //Intel
El concepto es sencillo. Mediante el portal web podemos seleccionar de un abanico de fuentes públicas de información de amenazas para poder consultarlas mediante una api en nuestros sistemas favoritos.
Vamos a dar un repaso a las pantallas y configuraciones principales:
El proceso simple es descargar el paquete .deb o rpm e instalarlo manualmente. Aún más simple es descargar el fichero que añade el repositorio y realiza la instalación en sistemas «apt-get» friendly. Para sistemas auxiliares o que no te importe meter un repo no oficial, es lo más sencillo:
curl https://packagecloud.io/install/repositories/criticalstack/critical-stack-intel/script.deb.sh | sudo bash
Si tu instalación no está soportada por la lista oficial, como puede pasar con Kali, deberás cambiar la línea que baja el repo con la variable os & dist y cambiarla en el script para poner, por ejemplo, debian jessie que sí está soportada.
Si por el contrario te sientes mas cómodo bajando el .deb y ejecutando dkpg -i paquete…
En la primera pantalla podemos ver la lista de fuentes o Feeds y un panel con varias indicadores de la información que publican, gráficas y estadísticas incluidas.
Bajo el menú sensor vamos a crear el vínculo que usaremos en nuestro cliente, en el que se nos proporciona un id único. Bajo este sensor configuramos posteriormente las fuentes de información o feeds sobre las que queremos realizar las descargas. Es trabajo del usuario el seleccionar aquellas feeds de confianza. En el entorno se denomina collections.
Tenemos la opción de crear un TEAM en el que se comparta el acceso al entorno y los mismos datos. Sería el caso de empresas o equipos con varias personas. Se podría usar la misma API para todos los usuarios «consumidores» pero estos no podrían acceder al entorno web para añadir feeds o collections.
El funcionamiento de la herramienta cliente es tan sencillo como realiza la importación de la clave para la api critical-stack-intel list api ***b4a46-3250-4120-***8-4f53**ba074 y ejecutar el comando que «busca» o actualiza los datos critical-stack-intel pull . Toda la información se almacena en el directorio por defecto en ficheros .dat /opt/critical-stack/frameworks/intel. El propósito original es usar estos ficheros en el software de detección y monitorización de red BRO. Nosotros podemos usar esos ficheros para realizar búsquedas o realizar un tratamiento para limpiar la información e incorporarla a nuestros firewalls o sistemas ids. La imaginación al poder. Este sería el ejemplo del fichero dat seleccionando como Feeds la lista de nodos de la red TOR.
Espero que os haya servido de ayuda la presentación de esta aplicación que sin duda resulta muy útil para gestionar la información de amenazas ya catalogadas en la red. Esperemos que se mantenga el proyecto y añadan nuevas fuentes o permitan que los usuarios creemos nuestras propias fuentes.
Gracias por leerme y gracias a @fjrodriguez por sugerirme la herramienta 🙂