Desde sus inicios, el concepto conocido como «Internet» ha sido moldeado y remodelado bajo un constante aluvión de nuevas ideas y mejoras arquitectónicas. Como resultado, la red distribuida también ha soportado, con varias tasas de éxito, una creciente afluencia de condiciones extremas que van desde una vertiginosa variedad de artefactos maliciosos hasta hábiles ataques a su estructura y funcionalidad.
A pesar de su amplitud y profundidad, esta realidad establecida no debería sorprender; después de todo, Internet se adentra cada vez más en el tapiz de la cultura humana, acumulando logros notables incluso en medio de las amenazas más sofisticadas.
Para nosotros, Internet sigue siendo, y seguirá siendo en el futuro previsible, un salvaje oeste tecnológico. Por ello, investigar la evolución de las grandes actividades de escaneo es de suma importancia para determinar las posibles contramedidas.
Entre estas técnicas, el escaneo en Internet es supremo: la búsqueda de registros disponibles públicamente en Internet está más extendida que nunca, impulsada por un número creciente de herramientas y plataformas que se pueden consultar con solo presionar un botón.
En esta publicación de blog, presentaremos qué es el escaneo de Internet, sus beneficios y explicaremos algunas de las herramientas más populares para comprender cómo se pueden aprovechar para recopilar datos a una velocidad y escala sin precedentes.
Indice
¿Qué es el escaneo de Internet?
El escaneo de Internet, a veces denominado inteligencia de Internet, representa el conjunto compuesto de técnicas de recopilación de datos basadas en la presencia de dispositivos en línea para identificar su huella individual. Esta forma de reconocimiento horizontal ha abierto una ventana importante al estado actual de Internet en general, no solo al permitir que se descubran servicios y puntos finales vulnerables en cuestión de minutos, sino al empoderar a la academia para rastrear la evolución del mundo red de una manera que resuene con los comportamientos emergentes.
Por ejemplo, utilizando un número creciente de motores de búsqueda y proyectos disponibles públicamente, los investigadores pueden reunir y transformar rápidamente una cantidad aparentemente insignificante de recursos dispares en una gran cantidad de información.
Esto puede resultar en la identificación de entidades maliciosas, como botnets, empeñadas en interrumpir la actividad normal de Internet a través de patrones de denegación de servicio o spam, o en la capacidad de analizar empíricamente protocolos interactivos que pueden conducir a mejoras en el rendimiento.
En esta perspectiva, el escaneo de Internet puede abordar problemas transitorios (o más permanentes) y otras deficiencias fundamentales mediante el uso del conocimiento combinado de servicios, como las aplicaciones georreferenciadas, para aislar los problemas en cuestión.
Sin embargo, la forma más común de escaneo de Internet se lleva a cabo a manos de los atacantes como el primero de una larga secuencia de pasos para encontrar puntos finales no seguros o incluso redes completas.
Hay algunas generalizaciones sobre la forma en que los actores malintencionados abordan el desafío: en términos generales, el atacante tendrá un objetivo específico en mente antes de realizar cualquier tipo de análisis, ya sea que la actividad requiera alternativas a gran escala o más localizadas. Los dispositivos y servicios expuestos a Internet se identifican sobre la base de un puerto abierto , es decir, el escaneo en cuestión tiene como objetivo determinar los procesos de escucha como un precursor de los intentos de intrusión y posiblemente la explotación.
Beneficios y desafíos
Desde el punto de vista de un atacante, existen beneficios estadísticos asociados con la agregación del tráfico de uno a la avalancha de actividad de escaneo ya presente en la red, hasta un 67% en el tráfico unidireccional no solicitado total según algunas estimaciones. Después de todo, millones de hosts comprometidos en forma de botnet recorren Internet día y noche en busca de objetivos adicionales de oportunidad, escaneando agresivamente todo el espacio de direcciones IPv4 en cuestión de minutos y haciendo grandes demandas a los sistemas de mitigación.
Algunos de los desafíos asociados con el escaneo de Internet son anteriores a la técnica y están estrechamente relacionados con la falta inherente de una taxonomía completa para determinar qué tipo de paquete de sondeo obtendría la mejor respuesta.
En general, el escaneo tradicional de Internet se basa en sondas TCP, UDP e ICMP que aprovechan un conjunto compuesto de diferentes protocolos en las diversas capas de red para obtener respuestas de eco de un host «en vivo», lo que arroja información importante sobre el objetivo.
Dado lo que sabemos sobre ciertas ambigüedades en el lenguaje de una serie de RFC, es posible que un atacante experto eluda las defensas del perímetro creando paquetes falsos que aprovechan los problemas de interoperabilidad y las fallas de seguridad potencialmente desconocidas, introducidas por tales incertidumbres en diferentes sistemas operativos.
También existe el caso reciente de ISN (números de secuencia inicial) generados incorrectamente en implementaciones TCP / IP personalizadas que generan nuevos CVE causados por todo, desde condiciones de denegación de servicio hasta omisiones de autenticación.
A su vez, cuando se trata de escanear y detectar correctamente dispositivos en la pila de IP, comprender las capacidades y limitaciones de huellas digitales de la herramienta de su elección es fundamental para obtener una representación precisa del objetivo de interés.
Historia y perspectivas futuras
Si nos remontamos a finales de la década de 1990, comenzamos a ver el inicio de intentos de clasificación de host en la forma de identificación de pares de valores de puerto / IP desde plataformas de escaneo prominentes como Nmap y otras.
Google Dorks
Sin embargo, las exploraciones en Internet no se limitaron al uso de aplicaciones independientes. De hecho, cuando Google Dorks llegó a la escena a principios de la década de 2000, el trabajo en Google se convirtió rápidamente en sinónimo de piratería en Internet, una tendencia que ha resistido la prueba del tiempo en el sentido de que todavía puede aprovechar las consultas de motores de búsqueda relativamente poco sofisticadas utilizando un navegador.
Rastrear la red mundial utilizando técnicas como el trabajo en Google ayudó a crear conciencia sobre la seguridad cibernética en varios frentes. Por ejemplo, utilizando un puñado de operadores simples y algunas combinaciones de búsqueda astutas, los delincuentes descubrirían un tesoro de información sensible que implicaba la presencia de configuraciones y cuentas de usuario predeterminadas. Enfoques similares también producirían exposiciones significativas en la base de datos y el favorito de todos: credenciales filtradas.
A pesar de los múltiples intentos de amortiguar el impacto de estas técnicas en la infraestructura web vulnerable utilizando medidas anti-automatización, el elemento criminal recurrió sucintamente a los bots para hacerse pasar por el proceso de búsqueda como si procediera de usuarios únicos.
Shadowserver
Fundada en 2004, Shadowserver fue concebida como una organización de vigilancia impulsada por voluntarios en medio de una Internet que ya estaba repleta de actividad atroz. La clave de su éxito giró en torno a los esfuerzos de toda la comunidad de seguridad, incluidos los gobiernos, las fuerzas del orden y las principales corporaciones, para reunir recursos e investigación para ayudar a rastrear e informar sobre las amenazas emergentes.
Durante años, Shadowserver se ha mantenido como una fuente sin pretensiones de información valiosa sobre amenazas al escanear Internet todos los días, recopilando más de mil millones de muestras de malware y literatura ofensiva en el proceso.
El escaneo de Internet de hoy en día ha experimentado una explosión en la cantidad de servicios y motores dedicados a recopilar inteligencia cibernética, lo que los convierte en un requisito muy necesario para las implementaciones de OSINT en todos los ámbitos.
Incluyen proyectos como Censys, Zmap, Shodan , ZoomEye, Greynoise y la cartera de servicios SecurityTrails; combinados, incorporan un marco colectivo denominado inteligencia de Internet, cuya capacidad para agregar y enriquecer recursos y datos web dispares es fundamental para la idea de que cuanto más limite la interacción entre el atacante y la víctima, más exitosos serán los intentos de reconocimiento.
Axiom
A fines de 2020, se lanzó un marco de infraestructura de nube dinámica conocido como Axiom, llevando el juego de escaneo de Internet al siguiente nivel. Aunque no es una herramienta de escaneo de Internet per se, Axiom adopta un enfoque repetible para el desafío de crear instancias de pentesting distribuidas, que a su vez pueden usarse para paralelizar sus esfuerzos de escaneo de una manera predecible e intuitiva.
Axiom funciona mediante el uso de una imagen base preinstalada de sus herramientas favoritas que se puede replicar en varios proveedores de nube para realizar el escaneo paralelo deseado.
En general, a medida que el panorama de Internet continúa expandiéndose más allá del paradigma cliente-servidor para abarcar formas más nuevas de conectividad, piensa aquí en aspectos como IoT (Internet de las cosas) o IoB (Internet de los cuerpos), es probable que se elimine el escaneo de Internet. a toda marcha, impulsando la transformación de toda la industria al aumentar los niveles obvios de preocupación por la privacidad y las implicaciones sociales derivadas del seguimiento de sistemas y usuarios vulnerables.
Pero, por ahora, veamos qué pueden lograr algunas de estas herramientas y de qué manera detallada pueden revelar intencionalmente los datos que buscamos.
Herramientas populares de escaneo de Internet
Una vez más, no se pueden exagerar las implicaciones de seguridad del escaneo en Internet. Como se mencionó anteriormente, estas herramientas pueden servir para una multitud de propósitos que incluyen buscar y descubrir nuevos CVE, examinar la adopción de mecanismos de defensa o recopilar servicios en ejecución y componentes de software en la medida en que se pueda descubrir a partir de lado público de las cosas sin contacto.
Nmap
Nmap, abreviatura de “Red Mapper”, es quizás la herramienta de mapeo de red más populares que hay, tiene una extensa lista de características y técnicas de optimización que se traduce en resultados muy precisos.
Aunque no es particularmente adecuado para actividades de escaneo de Internet debido a la naturaleza algo invasiva de las sondas y la gran cantidad de conexiones que necesita mantener, Nmap sigue siendo la alternativa de escaneo de puertos de código abierto por su capacidad para crear y manipular archivos sin procesar. paquetes y sockets, así como por sus oportunidades de subversión de firewall.
Al pertenecer al arsenal más tradicional de TCP / IP de herramientas de huellas digitales , Nmap también puede hacer uso de una variedad de tipos de ping ICMP para solicitar respuestas de hosts activos.
Posteriormente, Nmap es utilizado con frecuencia por grandes empresas, así como por organizaciones de menor tamaño, para auditoría de puertos, monitoreo de host, pruebas de penetración y tareas similares. La herramienta contiene más de 600 scripts predefinidos como parte de su Scripting Engine, que puede extender sus capacidades mucho más allá del dominio de la línea de comandos.
Masscan
Si se requieren velocidades y agilidad más altas, Masscan ciertamente puede hacer el trabajo. De hecho, la herramienta cuenta con la capacidad de escanear todo el espectro IPv4 de Internet en menos de cinco minutos, exhibiendo tasas cercanas a los diez millones de paquetes por segundo según su creador.
Su uso de direcciones arbitrarias y rangos de puertos permite un enfoque asincrónico para el desafío del escaneo sin conexión, un procedimiento que no depende de completar toda la sonda antes de informar los resultados, aunque tiene la posibilidad de generar datos erróneos debido a paquetes caídos.
Masscan produce resultados similares a Nmap, además de la ventaja adicional de poder generar archivos en formato xml, json, grep y texto, así como un derivado de grep consumible por otras herramientas de línea de comandos.
Rustscan
Apodado «el escáner de puertos moderno», Rustscan presenta un motor adaptativo que acelera enormemente el descubrimiento de puertos mientras canaliza los resultados a Nmap para un procesamiento adicional. Empoderar a Nmap de esta manera también se traduce en mejores oportunidades de creación de scripts.
Por ejemplo, la herramienta permite la adición de lenguajes de secuencias de comandos comunes, como Python o Perl, en forma de archivos personalizados que amplían la funcionalidad de Rustscan más allá del escaneo de puertos superficial.
Shodan
Los orígenes de la búsqueda moderna de dispositivos en línea se remontan a 2009 cuando John Matherly, un desarrollador de software y autónomo, lanzó lo que se convertirá en la implementación más popular de un motor de búsqueda dedicado exclusivamente a encontrar infraestructura expuesta públicamente.
La progresión hacia los motores de búsqueda para dispositivos conectados a Internet significó que, de repente, las empresas pudieron localizar y evaluar rápidamente la presencia web de sus competidores, un concepto conocido como inteligencia de mercado, simplemente ingresando el nombre de dominio en cuestión en la casa de Shodan. página utilizando un navegador de su elección.
La idea detrás de Shodan era bastante simple: explorar los metadatos que se ejecuta en el endpoint, mediante la captura de banners , y hacer que se pueda buscar. Shodan también expuso a toda la comunidad, incluidos aquellos que carecen de intenciones dignas de crédito, a una miríada de dispositivos que van desde sistemas de control industrial hasta monitores para bebés.
Afortunadamente, la usabilidad genérica de la herramienta también amplió la seguridad empresarial al permitir a los defensores reunir y cerrar cualquier brecha y vulnerabilidad potencial antes de ser descubierta por los atacantes.
Zmap
En 2013, Zmap introdujo la práctica académica del escaneo de red de un solo paquete utilizando una arquitectura modular para lograr velocidades de encuesta en todo Internet que exceden las de Nmap, en un factor de mil o más.
Este tipo de sondeo optimizado renuncia a mantener los estados de conexión a favor de resultados más rápidos. Esto también evita que se produzca la saturación de la red al aleatorizar el orden de escaneo utilizando una técnica de permutación apoyada por grupos multiplicativos cíclicos.
Zmap es muy adecuado para hardware básico, y abarca una lista de sistemas operativos compatibles que incluye muchas versiones de GNU / Linux y BSD.
Los módulos de salida de Zmap permiten que los resultados específicos de la aplicación se entreguen a una serie de recursos, incluidas bases de datos o procesos adicionales que integran datos canalizados.
En consecuencia, los módulos de salida pueden servir como desencadenantes adicionales para probar y validar ciertos intercambios de paquetes, como las condiciones SYN / ACK, si es necesario, sin recurrir a la pila TCP del sistema local para el soporte de la sesión.
ZoomEye
ZoomEye es otro motor de búsqueda basado en la web para investigadores de seguridad capaz de realizar la recuperación de huellas dactilares de dispositivos y servicios conectados a Internet utilizando dos motores de detección de rastreo distribuidos conocidos como Wmap y Zmap.
Con ZoomEye, los profesionales de la seguridad pueden descubrir rápidamente vulnerabilidades específicas al limitar su búsqueda a una versión específica de la aplicación o producto afectado, lo que puede reducir el tiempo de investigación.
ZoomEye proporciona acceso programático a través de su API. Esto se reduce a automatizar y aprovisionar fragmentos de aplicaciones adicionales y complementos para fines de integración. Su biblioteca de temas especiales es un recurso excelente para aquellos que buscan realizar evaluaciones de impacto de vulnerabilidad basadas en componentes agrupados, proporcionando búsquedas filtradas instantáneamente transferibles al motor de backend con un clic del ratón.
Formas alternativas de acceder a datos de Internet
Si estás buscando una alternativa a la realización de un escaneo masivo a favor de un enfoque más pasivo en el que los datos ya estén disponibles e indexados para fines de consumo, tienes algunas opciones.
SurfaceBrowser
SurfaceBrowser no es otro que el motor curado de inteligencia pasiva de SecurityTrails para actividades relacionadas con OSINT, que proporciona cantidades masivas de datos de Internet.
La herramienta se convirtió en un éxito instantáneo por su capacidad para seleccionar y aumentar direcciones IP, nombres de dominio y varios otros puntos de datos basados en fuentes en una aplicación única para explorar áreas corporativas.
A día de hoy, SurfaceBrowser proporciona la representación técnica más precisa de los activos conectados a Internet, y lo hace de una manera que brinda seguridad frente a problemas legales y consideraciones éticas similares.
Su algoritmo prioriza los hallazgos y te ayuda a descubrir datos y servicios ocultos que puedes haber pensado que se habían perdido o simplemente olvidado: una propuesta siempre bienvenida para los administradores de sistemas y los equipos de seguridad que buscan identificar áreas desconocidas de exposición en todo el espectro cibernético.
La herramienta también mejora la visibilidad en áreas como la transparencia del certificado SSL, los dominios asociados y los registros DNS inversos; esto contrasta claramente con otras plataformas que solo pueden proporcionar un subconjunto de esta información.
Conclusión
El escaneo de Internet, como disciplina, continuará evolucionando a medida que la cantidad de dispositivos conectados y redes de computadoras continúe creciendo tanto en tamaño como en complejidad.
En la carrera por comprender y mitigar los riesgos asociados con la expansión, tanto las empresas como los profesionales cibernéticos están recurriendo a enfoques más novedosos para identificar de forma proactiva las campañas de escaneo dirigidas que conducen a un posible ciberataque. Después de todo, como dice la historia, existe una correlación positiva entre el escaneo y la actividad maliciosa, y el escaneo de Internet se convierte cada vez más en un componente invariable de cualquier proyecto de reconocimiento significativo.
Pero ninguno de los resultados de hoy es determinista en el sentido de que analizar los puntos finales en Internet en general sigue siendo una tarea desafiante: ciertas sutilezas y ambigüedades en las especificaciones de diseño de protocolos pueden conducir a interpretaciones inconsistentes e informes erróneos.
El tráfico no solicitado, a menudo en forma de ruido de fondo impermeable, también se suma al problema; en gran parte sin categorizar, sin embargo, está dominado por gusanos y actividades similares en un volumen suficiente como para requerir una línea de base adecuada.
Una mezcla tan heterogénea de tecnologías, recursos informáticos, servicios y aplicaciones requiere una herramienta robusta capaz de transformar la información que está disponible públicamente en una taxonomía multipropósito de señales de seguridad consumibles.