¿Tu tostadora está lanzando un DDoS contra el Pentágono otra vez? Compruébalo en un par de segundos
Los dispositivos del hogar podrían tener una segunda vida, llena de conexiones dudosas y rutas extrañas.
GreyNoise Labs presentó el servicio en línea GreyNoise IP Check, que permite averiguar si su dirección IP fue detectada en actividad de exploración sospechosa relacionada con botnets y redes de proxies residenciales. La iniciativa tiene como objetivo ayudar a los propietarios de conexiones domésticas a comprender si sus dispositivos están siendo utilizados por atacantes.
GreyNoise, que rastrea la actividad masiva en Internet mediante su propia red de sensores, señala un aumento drástico de las redes de proxies residenciales durante el último año. Las conexiones domésticas con mayor frecuencia se convierten en nodos por los que circula tráfico de terceros. A veces los usuarios instalan voluntariamente programas para compartir ancho de banda a cambio de una pequeña compensación, pero con frecuencia las aplicaciones maliciosas y las extensiones del navegador se instalan sin ser detectadas e integran el dispositivo en la infraestructura ajena.
Determinar la participación en botnets puede hacerse de varias maneras: desde el análisis de registros y configuraciones hasta el estudio del tráfico de red y de la actividad anómala. El nuevo servicio hace la comprobación menos laboriosa, ya que opera solo con la dirección IP y no requiere intervenir la configuración del equipo.
Al usar GreyNoise IP Check, los usuarios reciben uno de tres estados. «Clean» significa que no se ha registrado actividad de exploración sospechosa desde esa dirección. «Malicious/Suspicious» indica que la dirección IP fue observada realizando escaneos y conviene revisar los dispositivos en la red local. «Common Business Service» señala que la dirección pertenece a un servicio VPN, a infraestructura corporativa o a un proveedor en la nube; en esos casos, el escaneo activo de direcciones y puertos externos a menudo lo realizan herramientas legítimas de monitoreo y pruebas de seguridad, por lo que no indica una infección.
Si se detecta alguna actividad para una dirección IP, el servicio muestra una cronología de 90 días. Ese historial ayuda a relacionar el inicio de los escaneos sospechosos con la instalación de una aplicación concreta, incluido un cliente para compartir tráfico o un programa sospechoso, y posteriormente eliminar la fuente del problema.
Para los especialistas técnicos, GreyNoise también ofrece una interfaz JSON sin autenticación y sin límites de cantidad de consultas. Los datos se pueden obtener mediante curl e integrar en scripts y sistemas de monitorización propios.
En caso de estado «Malicious/Suspicious», se recomienda realizar un análisis completo de malware en todos los dispositivos de la red, prestando especial atención a los enrutadores y a los dispositivos inteligentes como los decodificadores de TV. Además, se aconseja instalar el firmware más reciente, cambiar las credenciales administrativas por defecto y desactivar el acceso remoto si no se utiliza.
Las huellas digitales son tu debilidad, y los hackers lo saben