1 00:00:00,000 --> 00:00:08,280 Buenas tardes, Carlos. Hoy, día 17 de enero, a las 6 y 25, estamos convocados a través 2 00:00:08,280 --> 00:00:12,240 de Jefatura de Parlamento para la Defensa del Módulo Provisional de Proyecto de Ciclo 3 00:00:12,240 --> 00:00:16,840 Formativo de Gado Superior de Administración de Sistemas Informáticos en Red. 4 00:00:16,840 --> 00:00:20,760 Por ejemplo, esta grabación se usará en el entorno cerrado de Educamadrid con fines 5 00:00:20,760 --> 00:00:25,200 educativos y solo estará a disposición de los profesores evaluadores en el aula virtual 6 00:00:25,200 --> 00:00:29,800 para llevar a cabo la evaluación y calificación de la defensa del proyecto. En el aula virtual 7 00:00:29,800 --> 00:00:36,600 los proyectos son informados de los criterios y los asesores son informados de los criterios 8 00:00:36,600 --> 00:00:41,040 y de la rúbrica de calificación y el orden de la presentación del proyecto es el siguiente. 9 00:00:41,040 --> 00:00:47,680 Tienes 15 minutos máximo para defender el proyecto y luego habrá 5 minutos para preguntas 10 00:00:47,680 --> 00:00:52,600 por parte del tribunal. Dicho esto, tu tiempo de exposición comienza a partir de este momento. 11 00:00:52,600 --> 00:00:53,800 Adelante y mucha suerte. 12 00:00:53,800 --> 00:01:01,800 Vale, ahora me incluyo para controlar tiempo y te voy a compartir pantalla con la presentación. 13 00:01:03,800 --> 00:01:09,800 Vale, y la voy a empezar ya. Arranco la presentación. 14 00:01:11,800 --> 00:01:14,800 Confírmame que la ves bien. 15 00:01:14,800 --> 00:01:17,800 Sí, sí. Se ha ido la cámara. 16 00:01:17,800 --> 00:01:19,800 ¿Se ha ido la cámara? 17 00:01:20,800 --> 00:01:28,800 Ahora, vale. Me presento, soy Carlos Montes. Estoy presentando el proyecto que es la última asignatura 18 00:01:28,800 --> 00:01:34,800 que tengo que aprobar para tener el módulo y mi proyecto es un despliegue de un honeypot, 19 00:01:34,800 --> 00:01:39,800 un teapot, lo he desplegado en cloud y pues integración de información que he recopilado 20 00:01:39,800 --> 00:01:44,800 en herramientas de 3D Intelligence para compartir con la comunidad de ciberseguridad. 21 00:01:44,800 --> 00:01:50,800 La primera diapositiva es un índice de la presentación y quiero hacer una presentación sencilla. 22 00:01:50,800 --> 00:01:56,800 He puesto 5 puntos, la elección del proyecto, explicar qué he querido hacer y por qué lo he querido hacer, 23 00:01:56,800 --> 00:02:02,800 cómo ha sido el diseño y el despliegue de la herramienta, la información de la instalación 24 00:02:02,800 --> 00:02:06,800 y la puesta en marcha, la fase análisis y una fase de conclusiones y aplicaciones 25 00:02:06,800 --> 00:02:10,800 del proyecto que he visto en el mundo laboral. 26 00:02:11,800 --> 00:02:15,800 La presentación, quiero dedicar más o menos unos 10 minutos a la presentación 27 00:02:15,800 --> 00:02:22,800 y 5 minutos a compartir la herramienta para que se vea en funcionamiento todo lo que puede hacer. 28 00:02:22,800 --> 00:02:27,800 La he vuelto a dejar activa durante esta semana para que siga recopilando información 29 00:02:27,800 --> 00:02:31,800 y que podamos ver información reciente que hemos capturado. 30 00:02:31,800 --> 00:02:36,800 La elección del proyecto, en primer lugar quiero definir que es un honeypot, 31 00:02:36,800 --> 00:02:41,800 una definición propia, un poco en línea con las que he ido leyendo. 32 00:02:41,800 --> 00:02:48,800 Un honeypot es un sistema señuelo que lo que intenta captar es tráfico atacante. 33 00:02:48,800 --> 00:02:55,800 Simula tener vulnerabilidades y servicios expuestos a internet para que sean explotados 34 00:02:55,800 --> 00:03:00,800 por los actores maliciosos que constantemente van escaneando la red. 35 00:03:00,800 --> 00:03:04,800 ¿Por qué elegí Teapot a la hora de elegir el proyecto? 36 00:03:04,800 --> 00:03:10,800 Básicamente porque era una herramienta de open source, tenía unas herramientas integradas 37 00:03:10,800 --> 00:03:14,800 también que eran bastante potentes a la hora del tratamiento de datos, 38 00:03:14,800 --> 00:03:18,800 que es toda la pila LK, que está compuesta por Elasticsearch como motor de búsqueda, 39 00:03:18,800 --> 00:03:21,800 Logstash y Kibana. 40 00:03:21,800 --> 00:03:25,800 Y luego tenemos otras herramientas que no hemos utilizado para el proyecto 41 00:03:25,800 --> 00:03:31,800 antes como SpiderFood y CyberChef a la hora de analizar IOCs, código fuscado 42 00:03:31,800 --> 00:03:35,800 o hases maliciosos. 43 00:03:35,800 --> 00:03:37,800 ¿Por qué elegí esta temática? 44 00:03:37,800 --> 00:03:40,800 Porque está relacionada un poco con mi ámbito laboral. 45 00:03:40,800 --> 00:03:48,800 Yo trabajo en ciberseguridad y por casualidad de la vida dediqué allí, 46 00:03:48,800 --> 00:03:51,800 o reinicié allí mi carrera. 47 00:03:51,800 --> 00:03:55,800 Tengo un rol más de manager de personas, pero sí que me faltaba un conocimiento técnico 48 00:03:55,800 --> 00:03:59,800 y eso hizo que quisiese hacer la formación profesional a distancia 49 00:03:59,800 --> 00:04:04,800 y he querido hacer un proyecto relacionado con ciberseguridad. 50 00:04:04,800 --> 00:04:08,800 ¿Y cuáles son los objetivos que marqué para el proyecto? 51 00:04:08,800 --> 00:04:11,800 Desplegar Teapot en cloud. 52 00:04:11,800 --> 00:04:14,800 Elegí el cloud de Amazon, os explicaré por qué. 53 00:04:14,800 --> 00:04:18,800 Que funcione correctamente, que reciba ataques y que pueda recopilar información 54 00:04:18,800 --> 00:04:23,800 y traer indicadores de compromiso, que me voy a referir en el documento como IOCs 55 00:04:23,800 --> 00:04:29,800 para compartir informaciones en plataformas de inteligencia de amenazas. 56 00:04:29,800 --> 00:04:35,800 ¿Cómo he hecho el diseño y el despliegue del proyecto? 57 00:04:35,800 --> 00:04:37,800 En primer lugar lo que he hecho es una planificación. 58 00:04:37,800 --> 00:04:41,800 He utilizado un diagrama de Gantt en el que he puesto todas las tareas 59 00:04:41,800 --> 00:04:45,800 que tenía que llevar a cabo y las he dado un marco temporal que me sirviese de referencia 60 00:04:45,800 --> 00:04:48,800 para ver cómo llevaba el proyecto. 61 00:04:48,800 --> 00:04:50,800 He dividido el proyecto en fases. 62 00:04:50,800 --> 00:04:54,800 Una primera fase es en la de selección del proyecto que me he ido informando 63 00:04:54,800 --> 00:05:02,800 de las diversas opciones que tenía y he decidido a realizar este proyecto. 64 00:05:02,800 --> 00:05:05,800 Una fase de despliegue y pruebas de funcionamiento. 65 00:05:05,800 --> 00:05:10,800 Luego una fase de recopilación de datos para su análisis. 66 00:05:10,800 --> 00:05:17,800 Y por último el análisis de los datos y la elaboración de la presentación y el proyecto. 67 00:05:17,800 --> 00:05:24,800 Luego también obviamente al tenerlo en cloud los requisitos del despliegue. 68 00:05:24,800 --> 00:05:33,800 He seguido en el repositorio de GitHub la guía que tenía de requisitos mínimos 69 00:05:33,800 --> 00:05:35,800 y las recomendaciones. 70 00:05:35,800 --> 00:05:40,800 La instancia que he lanzado de Amazon cumplía con las especificaciones 71 00:05:40,800 --> 00:05:46,800 que me exigía Tipot para que desplegase y funcionase sin problema. 72 00:05:46,800 --> 00:05:54,800 He tenido una máquina con 16 GB de RAM, creo que tenía que tener más de 128 GB de memoria 73 00:05:54,800 --> 00:05:58,800 y computación con cuatro núcleos. 74 00:05:58,800 --> 00:06:06,800 Toma de decisiones, ¿por qué he hecho el proyecto en cloud y no lo he hecho en local o on-premise? 75 00:06:06,800 --> 00:06:08,800 Lo he hecho por varias razones. Primero escalabilidad. 76 00:06:08,800 --> 00:06:12,800 Si hubiese necesitado más recursos, la computación cloud me permite 77 00:06:12,800 --> 00:06:15,800 haber aumentado los recursos que hubiese necesitado para la máquina. 78 00:06:15,800 --> 00:06:21,800 Si veo que me he quedado corto de memoria RAM o me he quedado corto de disco duro 79 00:06:21,800 --> 00:06:25,800 podría haber ampliado en cualquier momento y que me permitía esa escalabilidad de costes. 80 00:06:25,800 --> 00:06:27,800 Luego por seguridad. 81 00:06:27,800 --> 00:06:33,800 Si lo tengo en computación en cloud voy a tener una dirección IP dedicada 82 00:06:33,800 --> 00:06:36,800 totalmente segmentada de mi red doméstica, que es la que utilizo día a día 83 00:06:36,800 --> 00:06:44,800 y en la que también me conecto para el trabajo y no quería correr ningún tipo de riesgo 84 00:06:44,800 --> 00:06:49,800 o que una mala configuración hiciese que tuviese yo también algún problema de seguridad. 85 00:06:50,800 --> 00:06:55,800 Luego que la computación en cloud también te permite tener unas reglas de conexiones 86 00:06:55,800 --> 00:07:01,800 que funcionan un poco a modo de firewall muy sencillo, que me podría hacer de manera fácil 87 00:07:01,800 --> 00:07:07,800 configurar las reglas de conexión, las reglas de entrada y salida del tráfico 88 00:07:07,800 --> 00:07:14,800 y que tu pensamiento de que los rangos WWS, al ser rangos públicos que conocen los atacantes 89 00:07:14,800 --> 00:07:20,800 es más fácil que esté monitorizando el tráfico que si yo tuviese alojado en mi red personal. 90 00:07:20,800 --> 00:07:27,800 El diseño del proyecto es la instancia de AWS, he instalado un sistema operativo Debian 11 91 00:07:27,800 --> 00:07:33,800 que es la versión más estable según el fabricante y he instalado Tipot. 92 00:07:35,800 --> 00:07:39,800 Luego los puertos en la política de seguridad, del 1 al 64.000 son puertos abiertos 93 00:07:39,800 --> 00:07:45,800 para que capte tráfico, a partir del 64.000 son restringidos y tenía el 64.295 94 00:07:45,800 --> 00:07:53,800 para la conexión SSH a través de PuTTY, que es el sistema que he utilizado para la conexión 95 00:07:53,800 --> 00:08:01,800 el 64.297 que es el que accedíamos al portal de administración y otra herramienta que es Cockpit 96 00:08:01,800 --> 00:08:07,800 que casi no lo he utilizado, que era un poco más para el control de cómo iban los contenedores 97 00:08:07,800 --> 00:08:13,800 es en el 64.294 y esas conexiones siempre las he restringido que solo se pudiese llegar 98 00:08:13,800 --> 00:08:20,800 desde mi rango de IP doméstica para que estuviese aislado de los atacantes. 99 00:08:22,800 --> 00:08:28,800 El despliegue de la instancia de AWS, cuando creas una instancia tienes que elegir 100 00:08:28,800 --> 00:08:33,800 la región en la que lo creas y las necesidades que tienes de computación. 101 00:08:34,800 --> 00:08:40,800 Elegí la región de Irlanda por cercanía y porque era más parecida a España 102 00:08:40,800 --> 00:08:49,800 e instalé Debian 11, que era el sistema operativo que recomendaba el fabricante. 103 00:08:49,800 --> 00:08:54,800 Luego establecí las políticas de seguridad conforme os he comentado y establecí la conexión SSH 104 00:08:54,800 --> 00:09:01,800 mediante PuTTY y ahí mediante la consola de comandos es cuando hice la instalación del programa 105 00:09:01,800 --> 00:09:07,800 descargué el repositorio de Github para que pudiese descargarse, lo instalé, etc. 106 00:09:07,800 --> 00:09:15,800 Las fases de la instalación del Tipot. Primero en Debian no estaba activo el Github 107 00:09:15,800 --> 00:09:21,800 me lo tuve que instalar, después de instalarlo ya pude descargar Tipot 108 00:09:21,800 --> 00:09:24,800 y pude instalarlo mediante la línea de comandos. 109 00:09:24,800 --> 00:09:28,800 Luego tuve una fase de ajuste de la herramienta siguiendo buenas prácticas 110 00:09:28,800 --> 00:09:32,800 del soporte y del fabricante en su página web. 111 00:09:32,800 --> 00:09:39,800 Realicé una prueba de funcionamiento, después de la instalación que viese que todo está funcionando 112 00:09:39,800 --> 00:09:42,800 por ejemplo en la izquierda he activado un vídeo del mapa en el que se ve como 113 00:09:42,800 --> 00:09:47,800 el mapa de ataques en tiempo real va registrando los ataques que se van recibiendo. 114 00:09:47,800 --> 00:09:51,800 Y vi que funcionaba todo, recogía bien los datos, me aparecían bien en el Logstash 115 00:09:51,800 --> 00:09:57,800 los tenía en los paneles de Kibana y los tuve funcionando 24 horas de manera interrumpida 116 00:09:57,800 --> 00:09:59,800 y no había ningún problema. 117 00:10:02,800 --> 00:10:07,800 Pasada esta fase ya pasé a la siguiente fase que es la de recogida de datos 118 00:10:07,800 --> 00:10:12,800 que estuve durante una semana con el Tipot funcionando. 119 00:10:12,800 --> 00:10:16,800 Entonces estuvo funcionando de manera interrumpida, verificaba constantemente 120 00:10:16,800 --> 00:10:20,800 a diario que estaba funcionando sin problemas y también que se estaban recopilando 121 00:10:20,800 --> 00:10:26,800 los logs en Logstash y que se estaban viendo en Kibana que es el dashboard 122 00:10:26,800 --> 00:10:30,800 de visualización y también aproveché para ir personalizando ya los dashboards 123 00:10:30,800 --> 00:10:33,800 con la información que consideraba más relevante. 124 00:10:35,800 --> 00:10:38,800 Y ya pasé a la siguiente fase cuando ya había recopilado todos los datos. 125 00:10:38,800 --> 00:10:44,800 Una fase de análisis de los datos que iba recopilando a través de los dashboards 126 00:10:44,800 --> 00:10:51,800 de Kibana pues analizaba el dashboard de Tipot que es el dashboard general. 127 00:10:51,800 --> 00:10:57,800 Ahí podía ver la información de todos los honeypots que compone Tipot 128 00:10:57,800 --> 00:11:03,800 porque Tipot al final está compuesto por distintos honeypots. 129 00:11:03,800 --> 00:11:07,800 Funcionaría más como una honeynet y estuve revisando los todos. 130 00:11:07,800 --> 00:11:10,800 Entonces me quedé con Tipot en general e hice hincapié en Kauri 131 00:11:10,800 --> 00:11:14,800 que es un Tipot que me recopilaba información que resultaba súper interesante 132 00:11:14,800 --> 00:11:15,800 y distinta al resto. 133 00:11:15,800 --> 00:11:19,800 Hubo, por ejemplo, hases, comandos que se han intentado ejecutar en la shell. 134 00:11:21,800 --> 00:11:27,800 Había también intentos de descarga de archivos para que para parte de 3Dintel 135 00:11:27,800 --> 00:11:33,800 creo que fue la que más, un poco de chicha, por hablar mal, podía recoger. 136 00:11:34,800 --> 00:11:38,800 Entonces los datos que estaba buscando son los indicadores de compromiso 137 00:11:38,800 --> 00:11:42,800 que son direcciones de IP atacantes, las vulnerabilidades que se han intentado 138 00:11:42,800 --> 00:11:49,800 explotar más a menudo, las firmas y alertas del IDS que es Urikata, 139 00:11:49,800 --> 00:11:53,800 los hases de malware, comandos y los puertos más atacados. 140 00:11:53,800 --> 00:11:56,800 Y luego otra información adicional que he puesto como más de contexto 141 00:11:56,800 --> 00:12:04,800 pues países que más ataques reciben, qué actividad ha habido desde España 142 00:12:04,800 --> 00:12:07,800 o hubo desde España y también si veía algunos patrones de ataque. 143 00:12:07,800 --> 00:12:10,800 Por ejemplo, he visto algunos patrones que me indicaban que se están haciendo 144 00:12:10,800 --> 00:12:14,800 herramientas automatizadas para algunas explotaciones. 145 00:12:15,800 --> 00:12:19,800 Y luego por último está la parte de la exportación y la compartición de datos 146 00:12:19,800 --> 00:12:21,800 que lo que he hecho es subir la información a un nodo MISP. 147 00:12:21,800 --> 00:12:25,800 Yo por mi trabajo tengo acceso al nodo MISP de mi empresa que está conectado 148 00:12:25,800 --> 00:12:30,800 con el CCNCER, con CERS, con la red nacional de SOX. 149 00:12:30,800 --> 00:12:36,800 Entonces he subido indicadores maliciosos, lo que pasa es que no lo he llegado 150 00:12:36,800 --> 00:12:44,800 a publicar porque al ser digamos un trabajo personal no lo he querido publicar 151 00:12:44,800 --> 00:12:48,800 en nombre de la empresa pero he hecho todo el proceso a falta de la publicación. 152 00:12:51,800 --> 00:12:55,800 Y luego ya por último las aplicaciones que veo para el proyecto y las conclusiones. 153 00:12:55,800 --> 00:12:58,800 Aplicaciones del proyecto, pues disponer de información nos va a permitir 154 00:12:58,800 --> 00:13:02,800 creación de reglas personalizadas de firewall bloqueando tráfico 155 00:13:02,800 --> 00:13:06,800 a direcciones IP maliciosas, tener una mejor selección de los países 156 00:13:06,800 --> 00:13:11,800 desde los que permites el tráfico en función de las necesidades de tu empresa, 157 00:13:11,800 --> 00:13:12,800 de tu entorno. 158 00:13:14,800 --> 00:13:16,800 Importantísimo compartir información. 159 00:13:16,800 --> 00:13:20,800 Si tú compartes información, indicadores de compromiso con la comunidad 160 00:13:22,800 --> 00:13:25,800 digamos tenemos, es básico para que tengamos toda la información posible 161 00:13:25,800 --> 00:13:29,800 y tú si sufres un ataque puedes recurrir a cualquiera de esas fuentes 162 00:13:29,800 --> 00:13:31,800 para tener información. 163 00:13:31,800 --> 00:13:34,800 Entonces el hacer comunidad y compartir es importante. 164 00:13:34,800 --> 00:13:37,800 También se puede hacer threat hunting con reglas de detección 165 00:13:37,800 --> 00:13:40,800 utilizando reglas Yara o reglas Snort. 166 00:13:40,800 --> 00:13:43,800 Y luego también vulnerabilidades, pues podemos ver vulnerabilidades 167 00:13:43,800 --> 00:13:46,800 que se estén explotando activamente que nos puede también servir 168 00:13:46,800 --> 00:13:51,800 para tener nosotros una política de remediación en análisis de vulnerabilidades 169 00:13:51,800 --> 00:13:52,800 o en nuestro entorno. 170 00:13:53,800 --> 00:13:56,800 Y las conclusiones que he sacado después de hacer el proyecto. 171 00:13:56,800 --> 00:14:00,800 La ventaja de la computación cloud que me ha sido súper competitivo, 172 00:14:00,800 --> 00:14:05,800 que compartir información en una estrategia de ciberseguridad es básico, 173 00:14:05,800 --> 00:14:07,800 que el Honeypot se puede dar como servicio, 174 00:14:07,800 --> 00:14:11,800 puedes dar organizaciones medianas, pequeñas, que no tengan madurez suficiente 175 00:14:11,800 --> 00:14:14,800 para tener uno propio, se lo puedes dar como servicio 176 00:14:14,800 --> 00:14:17,800 y que también lo podemos utilizar en estrategias de thief hunting 177 00:14:17,800 --> 00:14:20,800 y threat intelligence de búsqueda proactiva de amenazas 178 00:14:20,800 --> 00:14:23,800 antes de que lleguen a nuestro entorno. 179 00:14:24,800 --> 00:14:28,800 Y aquí finaliza lo que es la exposición de la presentación. 180 00:14:28,800 --> 00:14:30,800 Creo que me quedan como unos dos minutos. 181 00:14:30,800 --> 00:14:39,800 Os quería compartir un poco, enseñaros la herramienta. 182 00:14:39,800 --> 00:14:46,800 Os voy a enseñar el mapa de ataques, que esto en tiempo real 183 00:14:46,800 --> 00:14:51,800 te ve un ataque y te dice el Honeypot que te lo ha detectado, 184 00:14:51,800 --> 00:14:55,800 el servicio que te ha atacado de una manera muy visual. 185 00:14:55,800 --> 00:15:00,800 Es básicamente visual, pero sí que me interesaría un poco 186 00:15:00,800 --> 00:15:04,800 enseñaros más la parte del dashboard de Kibana 187 00:15:04,800 --> 00:15:08,800 porque es donde me ha permitido hacer investigación. 188 00:15:08,800 --> 00:15:12,800 Todos estos dashboards los he podido personalizar, 189 00:15:12,800 --> 00:15:17,800 he puesto los datos que me interesaban, he añadido dashboards nuevos 190 00:15:17,800 --> 00:15:19,800 y aquí, por ejemplo, podemos ver en la última semana 191 00:15:19,800 --> 00:15:22,800 los ataques que hemos recibido. 192 00:15:22,800 --> 00:15:28,800 Y si filtramos por algún tipo de Honeypot, 193 00:15:28,800 --> 00:15:30,800 pues nos va a filtrar todos estos datos. 194 00:15:30,800 --> 00:15:32,800 Digamos, por ejemplo, estos son los de Kaori, 195 00:15:32,800 --> 00:15:34,800 todos los que hubiésemos recibido. 196 00:15:34,800 --> 00:15:36,800 Tiene mucha información. 197 00:15:36,800 --> 00:15:40,800 ¿Y qué nos permite? 198 00:15:40,800 --> 00:15:44,800 Nos permite a la hora de analizar las gráficas, por ejemplo, 199 00:15:44,800 --> 00:15:49,800 nos van a permitir establecer picos de actividad 200 00:15:49,800 --> 00:15:51,800 donde hemos podido tener un ataque. 201 00:15:51,800 --> 00:15:54,800 Aquí se ve claramente que hemos tenido ataques aquí en Dionea, 202 00:15:54,800 --> 00:15:57,800 que hemos tenido un ataque en Honeytrap, 203 00:15:57,800 --> 00:15:59,800 que lo hemos visto. 204 00:15:59,800 --> 00:16:02,800 Y luego también recopilar información y sacar gráficas 205 00:16:02,800 --> 00:16:04,800 para compartir. 206 00:16:04,800 --> 00:16:07,800 Lo que hemos dicho un poco en la línea de anterioridad, 207 00:16:07,800 --> 00:16:10,800 poder compartir toda la información. 208 00:16:10,800 --> 00:16:12,800 Tenemos aquí desde las direcciones IP, 209 00:16:12,800 --> 00:16:16,800 los puertos que han atacado, los países de origen, 210 00:16:16,800 --> 00:16:21,800 las firmas de alerta del IDS 211 00:16:21,800 --> 00:16:23,800 y las vulnerabilidades más explotadas. 212 00:16:23,800 --> 00:16:26,800 Y esto es lo que he utilizado para la parte de análisis. 213 00:16:26,800 --> 00:16:30,800 Si, por ejemplo, hubiese querido investigar más 214 00:16:30,800 --> 00:16:33,800 sobre una dirección IP específica, 215 00:16:33,800 --> 00:16:35,800 voy a copiar la dirección, 216 00:16:35,800 --> 00:16:39,800 pues me puedo ir a esta parte de Discover, 217 00:16:39,800 --> 00:16:46,800 que es donde podría buscar a través de queries, 218 00:16:46,800 --> 00:16:49,800 en la parte de loctas, 219 00:16:49,800 --> 00:16:51,800 todo este tipo de información 220 00:16:51,800 --> 00:16:53,800 y sacar información específica 221 00:16:53,800 --> 00:16:57,800 y hacer una investigación un poquito más profunda. 222 00:17:00,800 --> 00:17:02,800 Y yo creo que ya está. 223 00:17:02,800 --> 00:17:06,800 Aquí en Kaurios he sacado el, digamos, 224 00:17:07,800 --> 00:17:10,800 este es el dashboard específico para Kauri, 225 00:17:10,800 --> 00:17:12,800 que es donde, por ejemplo, he podido ver 226 00:17:12,800 --> 00:17:14,800 información que me ha resultado superinteresante, 227 00:17:14,800 --> 00:17:18,800 como la línea de comandos en la sede. 228 00:17:20,800 --> 00:17:23,800 Por ejemplo, esto es un intento de descarga 229 00:17:23,800 --> 00:17:25,800 de un archivo malicioso, 230 00:17:25,800 --> 00:17:27,800 o más que descarga de su vida, 231 00:17:27,800 --> 00:17:29,800 un archivo malicioso a mi red 232 00:17:29,800 --> 00:17:34,800 o otros tipos de descargas de archivos maliciosos. 233 00:17:34,800 --> 00:17:36,800 Por ejemplo, aquí he visto 234 00:17:36,800 --> 00:17:38,800 que se han intentado descargar mineros. 235 00:17:40,800 --> 00:17:43,800 Y esto es un resumen a grosso modo 236 00:17:43,800 --> 00:17:45,800 y rápido del proyecto. 237 00:17:45,800 --> 00:17:48,800 Creo que ya me estoy pasando de tiempo 238 00:17:48,800 --> 00:17:52,800 y si quieres pasamos a la fase de preguntas. 239 00:17:54,800 --> 00:17:56,800 ¿Quieres que te comparta alguna pantalla 240 00:17:56,800 --> 00:17:58,800 por si quieres preguntarme algo? 241 00:17:58,800 --> 00:18:00,800 Tenía aquí varias preguntas que hacerte, 242 00:18:00,800 --> 00:18:02,800 pero tampoco voy a hacerte muchas 243 00:18:02,800 --> 00:18:04,800 porque algunas me las has resuelto. 244 00:18:04,800 --> 00:18:06,800 La verdad es que es superinteresante 245 00:18:06,800 --> 00:18:08,800 la cantidad de información que se puede tener 246 00:18:08,800 --> 00:18:10,800 en una semana. Es impresionante. 247 00:18:10,800 --> 00:18:12,800 Es impresionante. 248 00:18:14,800 --> 00:18:16,800 ¿Los con iPod que reciben más ataques? 249 00:18:16,800 --> 00:18:18,800 ¿Por qué son? 250 00:18:22,800 --> 00:18:24,800 Los que yo he visto que hayan recibido 251 00:18:24,800 --> 00:18:26,800 más ataques, normalmente... 252 00:18:27,800 --> 00:18:29,800 Espera, te voy a compartir. 253 00:18:32,800 --> 00:18:34,800 Cauri, por ejemplo. 254 00:18:36,800 --> 00:18:38,800 Yo creo que es por los servicios que tienen expuestos. 255 00:18:38,800 --> 00:18:40,800 Porque tienen servicios, 256 00:18:40,800 --> 00:18:42,800 Samba, Telnet, 257 00:18:42,800 --> 00:18:44,800 son muy atacados. 258 00:18:44,800 --> 00:18:46,800 Todo lo que tenga que ver con conexiones remotos, 259 00:18:46,800 --> 00:18:48,800 VLCs, 260 00:18:50,800 --> 00:18:52,800 VNCs, 261 00:18:52,800 --> 00:18:54,800 Samba, todo lo que te permita 262 00:18:54,800 --> 00:18:56,800 y que sea poco seguro. 263 00:18:56,800 --> 00:18:58,800 Porque Telnet, por ejemplo, es un protocolo 264 00:18:58,800 --> 00:19:00,800 inseguro de transmisión de datos. 265 00:19:00,800 --> 00:19:02,800 Pues son los que reciben más ataques. 266 00:19:02,800 --> 00:19:04,800 Y también porque yo creo que son herramientas 267 00:19:04,800 --> 00:19:06,800 y que van buscando. Y luego también, por ejemplo, 268 00:19:06,800 --> 00:19:08,800 el de HoneyTrap 269 00:19:08,800 --> 00:19:10,800 capta mucho tráfico 270 00:19:10,800 --> 00:19:12,800 digamos 271 00:19:14,800 --> 00:19:16,800 como spiders, como páginas 272 00:19:16,800 --> 00:19:18,800 que están escaneando constantemente 273 00:19:18,800 --> 00:19:20,800 Internet en busca de una primera 274 00:19:20,800 --> 00:19:22,800 información preliminar. 275 00:19:22,800 --> 00:19:24,800 Son los que más 276 00:19:24,800 --> 00:19:26,800 info sacan. Hay otros que son 277 00:19:26,800 --> 00:19:28,800 más específicos, por ejemplo, 278 00:19:28,800 --> 00:19:30,800 dirigidos al correo, dirigidos a 279 00:19:32,800 --> 00:19:34,800 protocolos de... 280 00:19:34,800 --> 00:19:36,800 Desde aquí sí te lo busco 281 00:19:36,800 --> 00:19:38,800 igual. Dirigidos a protocolos 282 00:19:38,800 --> 00:19:40,800 de impresión. Es que hay 283 00:19:40,800 --> 00:19:42,800 muchísimos. Cada honeypot 284 00:19:42,800 --> 00:19:44,800 tiene una 285 00:19:44,800 --> 00:19:46,800 utilidad que tiene muy 286 00:19:46,800 --> 00:19:48,800 poquitos ataques. 287 00:19:48,800 --> 00:19:50,800 Pero básicamente 288 00:19:50,800 --> 00:19:52,800 yo creo que estos tres 289 00:19:52,800 --> 00:19:54,800 es por los servicios que tienen expuestos. 290 00:19:54,800 --> 00:19:56,800 ¿Y luego cuáles son 291 00:19:56,800 --> 00:19:58,800 las contraseñas de usuarios, por curiosidad, 292 00:19:58,800 --> 00:20:00,800 que más utilizan? 293 00:20:00,800 --> 00:20:02,800 Y también los comandos 294 00:20:02,800 --> 00:20:04,800 que más utilizan. 295 00:20:04,800 --> 00:20:06,800 Las contraseñas de usuarios, 296 00:20:06,800 --> 00:20:08,800 todo lo que venga con root, administración, 297 00:20:08,800 --> 00:20:10,800 como usuarios 298 00:20:10,800 --> 00:20:12,800 son los que tienen 299 00:20:12,800 --> 00:20:14,800 más interés. 300 00:20:14,800 --> 00:20:16,800 Usuarios genéricos, guest, user, 301 00:20:16,800 --> 00:20:18,800 admin, 302 00:20:18,800 --> 00:20:20,800 todos esos son los que 303 00:20:20,800 --> 00:20:22,800 suelen estar 304 00:20:22,800 --> 00:20:24,800 más. 305 00:20:24,800 --> 00:20:26,800 Y en cuanto a contraseñas, ¿qué más 306 00:20:26,800 --> 00:20:28,800 utilizan? Secuencias numéricas, 307 00:20:28,800 --> 00:20:30,800 secuencias de teclado, 308 00:20:32,800 --> 00:20:34,800 todo este tipo de 309 00:20:34,800 --> 00:20:36,800 secuencias. 1, 2, 3, 4, 5, 6, 7, 310 00:20:36,800 --> 00:20:38,800 8, 9, 10. 311 00:20:38,800 --> 00:20:40,800 1, 2, 3, 4, 5, QWERTY. 312 00:20:40,800 --> 00:20:42,800 Combinaciones de QWERTY 313 00:20:42,800 --> 00:20:44,800 con 314 00:20:44,800 --> 00:20:46,800 teclado, con números que sean 315 00:20:46,800 --> 00:20:48,800 sencillas. Son un poco todas 316 00:20:48,800 --> 00:20:50,800 las que más se han visto. 317 00:20:50,800 --> 00:20:52,800 Entonces, por ejemplo, si queremos 318 00:20:52,800 --> 00:20:54,800 aquí en este apartado del 319 00:20:54,800 --> 00:20:56,800 Password Tag Cloud, si quisiésemos 320 00:20:56,800 --> 00:20:58,800 sacar 321 00:20:58,800 --> 00:21:00,800 cuáles han sido las contraseñas 322 00:21:00,800 --> 00:21:02,800 más sacadas, nos podríamos descargar 323 00:21:02,800 --> 00:21:04,800 un CSV. Entonces, ¿qué podemos 324 00:21:04,800 --> 00:21:06,800 utilizar este CSV? Lo podríamos 325 00:21:06,800 --> 00:21:08,800 utilizar, oye, pues para echarle 326 00:21:08,800 --> 00:21:10,800 un ojo y ver 327 00:21:10,800 --> 00:21:12,800 la estructura 328 00:21:12,800 --> 00:21:14,800 de contraseñas que no 329 00:21:14,800 --> 00:21:16,800 vas a permitir y establecer unas reglas 330 00:21:16,800 --> 00:21:18,800 de GPO en tu 331 00:21:18,800 --> 00:21:20,800 entorno laboral. 332 00:21:20,800 --> 00:21:22,800 O concienciación para 333 00:21:22,800 --> 00:21:24,800 usuarios. 334 00:21:24,800 --> 00:21:26,800 Por ejemplo, para la parte de análisis o 335 00:21:26,800 --> 00:21:28,800 parte de subidas de IOCs, sí que 336 00:21:28,800 --> 00:21:30,800 he descargado varios de estos archivos 337 00:21:30,800 --> 00:21:32,800 que al final se te descarga un CSV, lo conviertes 338 00:21:32,800 --> 00:21:34,800 con Excel y lo puedes establear 339 00:21:34,800 --> 00:21:36,800 con columnas y 340 00:21:36,800 --> 00:21:38,800 es bastante útil. 341 00:21:38,800 --> 00:21:40,800 Aquí le he dado más 342 00:21:40,800 --> 00:21:42,800 para que me salgan más. Si por defecto 343 00:21:42,800 --> 00:21:44,800 te venían 50, pues he puesto 344 00:21:44,800 --> 00:21:46,800 para que salgan más datos, que eso es 345 00:21:46,800 --> 00:21:48,800 modificando la información 346 00:21:48,800 --> 00:21:50,800 que te extrae. 347 00:21:50,800 --> 00:21:52,800 Y luego, otra curiosidad, 348 00:21:52,800 --> 00:21:54,800 que en el trabajo ponías una dirección que es 349 00:21:54,800 --> 00:21:56,800 la que más te atacaron. 350 00:21:56,800 --> 00:21:58,800 Desde la que más te atacaron, 351 00:21:58,800 --> 00:22:00,800 no sé si investigaste, 352 00:22:00,800 --> 00:22:02,800 era la 139.7 353 00:22:02,800 --> 00:22:04,800 cuando hiciste 160. 354 00:22:04,800 --> 00:22:06,800 Sí. 355 00:22:06,800 --> 00:22:08,800 Desde la que recibías más ataques. 356 00:22:08,800 --> 00:22:10,800 Yo creo que lo interesante 357 00:22:10,800 --> 00:22:12,800 de esto, está genial 358 00:22:12,800 --> 00:22:14,800 y está dimensionado. 359 00:22:14,800 --> 00:22:16,800 Luego, 360 00:22:16,800 --> 00:22:18,800 con las pruebas que vas obteniendo, 361 00:22:18,800 --> 00:22:20,800 hacer un análisis forense 362 00:22:20,800 --> 00:22:22,800 de ellas, 363 00:22:22,800 --> 00:22:24,800 o incluso también añadir 364 00:22:24,800 --> 00:22:26,800 en distintos 365 00:22:30,800 --> 00:22:32,800 localizaciones 366 00:22:32,800 --> 00:22:34,800 para hacer estadística. 367 00:22:34,800 --> 00:22:36,800 Claro. 368 00:22:36,800 --> 00:22:38,800 Lo único, 369 00:22:38,800 --> 00:22:40,800 como distintas localizaciones es parecido, 370 00:22:40,800 --> 00:22:42,800 cada vez que detenía la instancia 371 00:22:42,800 --> 00:22:44,800 y tú la lanzas otra vez, tienes una dirección IP 372 00:22:44,800 --> 00:22:46,800 distinta. Y lo mismo me pasaba 373 00:22:46,800 --> 00:22:48,800 cuando se generaba mi IP dinámica desde casa, 374 00:22:48,800 --> 00:22:50,800 que tenía que hacer algunos ajustes 375 00:22:50,800 --> 00:22:52,800 de la configuración, 376 00:22:52,800 --> 00:22:54,800 que es uno de los problemas que un día 377 00:22:54,800 --> 00:22:56,800 digo, no funciona, no consigo entrar 378 00:22:56,800 --> 00:22:58,800 y pensando un poco, digo, a ver si es esto 379 00:22:58,800 --> 00:23:00,800 que he cambiado el IP 380 00:23:00,800 --> 00:23:02,800 y fijo, fue eso. 381 00:23:02,800 --> 00:23:04,800 Y la dirección IP 382 00:23:04,800 --> 00:23:06,800 que más me atacó, 383 00:23:06,800 --> 00:23:08,800 ahora mismo no 384 00:23:08,800 --> 00:23:10,800 recuerdo cuál. 385 00:23:10,800 --> 00:23:12,800 Esta telecomada era como curiosidad, 386 00:23:12,800 --> 00:23:14,800 tampoco tiene mucha importancia. 387 00:23:16,800 --> 00:23:18,800 ¿Qué les ha parecido a tu empresa? 388 00:23:18,800 --> 00:23:20,800 Ah, guay. 389 00:23:20,800 --> 00:23:22,800 Lo vamos a implementar. 390 00:23:24,800 --> 00:23:26,800 Lo vamos a implementar porque 391 00:23:26,800 --> 00:23:28,800 estamos haciendo una herramienta 392 00:23:28,800 --> 00:23:30,800 dentro del departamento, 393 00:23:30,800 --> 00:23:32,800 es que tengo un rol más de manager, 394 00:23:32,800 --> 00:23:34,800 estoy llevando gente. Entonces, técnicamente, 395 00:23:34,800 --> 00:23:36,800 pues tampoco intervengo 396 00:23:36,800 --> 00:23:38,800 demasiado, ¿no? 397 00:23:38,800 --> 00:23:40,800 Pero tenemos 398 00:23:40,800 --> 00:23:42,800 una herramienta propia de MDR 399 00:23:42,800 --> 00:23:44,800 que es de 400 00:23:44,800 --> 00:23:46,800 detección y respuesta 401 00:23:46,800 --> 00:23:48,800 de incidentes. 402 00:23:48,800 --> 00:23:50,800 La estamos desarrollando con herramientas 403 00:23:50,800 --> 00:23:52,800 open source y una de las cosas que tenemos 404 00:23:52,800 --> 00:23:54,800 es un honeypot. Y lo que tenemos que hacer 405 00:23:54,800 --> 00:23:56,800 ahora también es un poco de una guía 406 00:23:56,800 --> 00:23:58,800 de explotación o cómo 407 00:23:58,800 --> 00:24:00,800 investigarlo, cómo aplicarlo. 408 00:24:00,800 --> 00:24:02,800 Entonces, básicamente, 409 00:24:02,800 --> 00:24:04,800 lo vamos a desarrollar 410 00:24:04,800 --> 00:24:06,800 y voy a apoyarme 411 00:24:06,800 --> 00:24:08,800 bastante en la parte del trabajo, porque ya 412 00:24:08,800 --> 00:24:10,800 que tengo conocimiento, sí que me gusta 413 00:24:10,800 --> 00:24:12,800 participar, ¿no? Porque 414 00:24:12,800 --> 00:24:14,800 hay veces que, pues eso, cuando estoy 415 00:24:14,800 --> 00:24:16,800 con las personas, 416 00:24:16,800 --> 00:24:18,800 no están tan en contacto con 417 00:24:18,800 --> 00:24:20,800 los equipos y con 418 00:24:20,800 --> 00:24:22,800 la parte técnica, pues lo echas de menos 419 00:24:22,800 --> 00:24:24,800 y a mí me gusta. Entonces, sí que 420 00:24:24,800 --> 00:24:26,800 lo vamos a desplegar. 421 00:24:26,800 --> 00:24:28,800 Pues está genial que 422 00:24:28,800 --> 00:24:30,800 este proyecto te sirva para 423 00:24:30,800 --> 00:24:32,800 tu trabajo y que lo puedas utilizar. 424 00:24:32,800 --> 00:24:34,800 Me parece genial. 425 00:24:34,800 --> 00:24:36,800 Vale, pues no se me ocurre nada más. 426 00:24:36,800 --> 00:24:38,800 Gracias por la 427 00:24:38,800 --> 00:24:40,800 presentación. 428 00:24:40,800 --> 00:24:42,800 Gracias a ti por la ayuda. 429 00:24:42,800 --> 00:24:44,800 Ha sido un placer autorizarte 430 00:24:44,800 --> 00:24:46,800 y, bueno, pues nada. 431 00:24:46,800 --> 00:24:48,800 Las notas en la situación son 432 00:24:48,800 --> 00:24:50,800 el 25, entonces a partir de esa 433 00:24:50,800 --> 00:24:52,800 fecha se darán las notas, ¿vale? 434 00:24:52,800 --> 00:24:54,800 Vale, genial. 435 00:24:54,800 --> 00:24:56,800 Perfecto. Luego, 436 00:24:56,800 --> 00:24:58,800 también he puesto 437 00:24:58,800 --> 00:25:00,800 un Google Drive con algo de info 438 00:25:00,800 --> 00:25:02,800 por si de 439 00:25:02,800 --> 00:25:04,800 soporte, lo he puesto en el anexo 440 00:25:04,800 --> 00:25:06,800 y voy a subir ahí la presentación, porque 441 00:25:06,800 --> 00:25:08,800 la subí en PDF 442 00:25:08,800 --> 00:25:10,800 y justo hoy lo he leído 443 00:25:10,800 --> 00:25:12,800 y ponía que se podía eso en PDF 444 00:25:12,800 --> 00:25:14,800 y bueno, la subo ahí porque pesa un poco, con el vídeo tal 445 00:25:14,800 --> 00:25:16,800 pesaba casi 18 o 20 megas. 446 00:25:16,800 --> 00:25:18,800 La voy a subir ahí también y tengo subidos ahí algunos 447 00:25:18,800 --> 00:25:20,800 vídeos capturando ataques, 448 00:25:20,800 --> 00:25:22,800 alguna cosa que no he metido, pues lo he metido ahí. 449 00:25:22,800 --> 00:25:24,800 Y luego en la parte de anexos 450 00:25:24,800 --> 00:25:26,800 he metido algo 451 00:25:26,800 --> 00:25:28,800 que he visto para integrarlo y que se hagan 452 00:25:28,800 --> 00:25:30,800 reportes automáticos. 453 00:25:30,800 --> 00:25:32,800 Lo que pasa es que he visto 454 00:25:32,800 --> 00:25:34,800 muy poca información. Lo he visto solo de algún 455 00:25:34,800 --> 00:25:36,800 honeypot específico y no sé si para la 456 00:25:36,800 --> 00:25:38,800 instalación aislada. Entonces he estado haciendo alguna 457 00:25:38,800 --> 00:25:40,800 prueba y lo he metido como anexos como se realizaría. 458 00:25:40,800 --> 00:25:42,800 Y sí que lo he llegado a hacer 459 00:25:42,800 --> 00:25:44,800 en mi, digamos 460 00:25:44,800 --> 00:25:46,800 en el entorno, pero 461 00:25:46,800 --> 00:25:48,800 no lo tengo probado. 462 00:25:48,800 --> 00:25:50,800 Entonces, pues es una cosa 463 00:25:50,800 --> 00:25:52,800 de la que saqué, pero vamos que el desarrollo 464 00:25:52,800 --> 00:25:54,800 que tiene esto pues es 465 00:25:54,800 --> 00:25:56,800 grande y con la ayuda seguro que 466 00:25:56,800 --> 00:25:58,800 hacemos algo chulo 467 00:25:58,800 --> 00:26:00,800 en la empresa porque tengo gente que 468 00:26:00,800 --> 00:26:02,800 ahí me va a poder echar más una mano 469 00:26:02,800 --> 00:26:04,800 más en serio. 470 00:26:04,800 --> 00:26:06,800 Vale, pues estupendo. 471 00:26:06,800 --> 00:26:08,800 Pues nada, lo dicho. Gracias. 472 00:26:08,800 --> 00:26:10,800 Gracias a ti.