• INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

Kaspersky publica TinyCheck, herramienta capturar todo el tráfico de red de dispositivos

12/14/2020

 
Imagen
Kaspersky publica TinyCheck, una herramienta para capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente
TinyCheck  permite capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente. Esto se puede usar para verificar si se está saliendo alguna comunicación sospechosa o maliciosa desde un teléfono inteligente, mediante el uso de heurísticas o indicadores de compromiso específicos (IoC).

Arquitectura
Para que funcione, necesita una computadora con un sistema operativo similar a Debian y dos interfaces Wi-Fi. La mejor opción es usar una Raspberry Pi (3+) con un dongle Wi-Fi y una pequeña pantalla táctil. Esta pequeña configuración (por menos de $ 50) le permite tocar cualquier dispositivo Wi-Fi, en cualquier lugar.

Historia
La idea de TinyCheck ocurrió en una reunión sobre artículos de acecho con un refugio para mujeres francesas. Durante esta reunión hablamos sobre cómo detectar fácilmente stalkerware sin instalar aplicaciones muy técnicas ni realizar análisis forenses en ellas. El concepto inicial era desarrollar un pequeño dispositivo de quiosco basado en Raspberry Pi que puede ser utilizado por personas sin conocimientos de tecnología para probar sus teléfonos inteligentes contra comunicaciones maliciosas emitidas por stalkerware o cualquier software espía.

Por supuesto, TinyCheck también se puede utilizar para detectar cualquier comunicación maliciosa de ciberdelitos o implantes patrocinados por el estado. Permite al usuario final impulsar sus propios indicadores de compromiso extendidos a través de un backend para detectar algunos fantasmas a través del cable.

Casos de uso
TinyCheck puede ser utilizado de varias formas por personas y entidades:


  •     A través de una red: TinyCheck se instala en una red y se puede acceder a él desde una estación de trabajo a través de un navegador.
  •     En modo quiosco: TinyCheck se puede utilizar como quiosco para permitir que los visitantes prueben sus propios dispositivos.
  •     Totalmente independiente: al usar un banco de energía, puede tocar cualquier dispositivo en cualquier lugar.


Pocos pasos para analizar tu smartphone

  •     Desactivar el también conocido como móvil. datos del celular
  •     Desactive el enlace de datos 3G / 4G en la configuración de su teléfono inteligente.
  •     Cerrar todas las aplicaciones abiertas
  •     Esto para prevenir algunos FP. También puede ser bueno desactivar la actualización de fondo para las aplicaciones de mensajería / citas / video / música.
  •     Conecte su teléfono inteligente a la red WiFi generada por TinyCheck
  •     Una vez conectado a la red Wi-Fi, se recomienda esperar entre 10 y 20 minutos.
  •     Interactuar con su teléfono inteligente
  •     Envíe un SMS, haga una llamada, tome una foto, reinicie su teléfono; algunos implantes pueden reaccionar ante tales eventos.
  •     Detén la captura
  •     Detenga la captura haciendo clic en el botón.
  •     Analiza la captura
  •     Analiza la comunicación captada, disfruta (o no).
  •     Guarda la captura
  •     Guarde la captura en una llave USB o mediante descarga directa.


Arquitectura
TinyCheck se divide en tres partes independientes:

  •     Un backend: donde el usuario puede agregar sus propios IOC extendidos, elementos de la lista blanca, editar la configuración, etc.
  •     Un frontend: donde el usuario puede analizar la comunicación de su dispositivo creando un AP WiFi efímero.
  •     Un motor de análisis: se utiliza para analizar el pcap utilizando Zeek, Suricata, IOC extendidos y heurísticas.

El backend y el frontend son bastante similares. Ambos consisten en una aplicación VueJS (fuentes almacenadas en / app /) y un punto final API desarrollado en Flask (almacenado en / server /). Los datos compartidos entre el backend y el frontend se almacenan en el archivo config.yaml para la configuración y la base de datos tinycheck.sqlite3 para la lista blanca / IOC.

Vale la pena señalar que no todas las opciones de configuración son editables desde el backend (como puertos predeterminados, emisores de certificados gratuitos, etc.). No dude en echar un vistazo al archivo config.yaml para ajustar algunas opciones de configuración.


Instalación
Antes de la instalación de TinyCheck, debe tener:

  •     Una Raspberry Pi con sistema operativo Raspberry Pi (o cualquier computadora con un sistema similar a Debian)
  •     Dos interfaces Wi-Fi en funcionamiento (verifique su número con ifconfig | grep wlan | wc -l).
  •     Una conexión a Internet en funcionamiento
  •     (Recomendado) Una pequeña pantalla táctil previamente instalada para el modo quiosco de TinyCheck.
$ cd / tmp /
$ git clone https://github.com/KasperskyLab/TinyCheck
$ cd TinyCheck
$ sudo bash install.sh

Al ejecutar install.sh, se instalarán todas las dependencias asociadas al proyecto y puede tardar varios minutos dependiendo de la velocidad de Internet. Se van a crear cuatro servicios:

  •     tinycheck-backend ejecutando la interfaz y el servidor backend;
  •     tinycheck-frontend ejecutando el servidor frontend & interface;
  •     tinycheck-kiosk para manejar la versión de kiosco de TinyCheck;
  •     tinycheck-watchers para manejar los observadores que actualizan automáticamente las IOC / listas blancas de URL externas;

Una vez instalado, el sistema operativo se reiniciará.

Conoce la interfaz
Imagen
La interfaz, a la que se puede acceder desde http: //tinycheck.local, es una especie de túnel que ayuda al usuario a lo largo del proceso de captura e informes de la red. Permite al usuario configurar una conexión Wi-Fi a una red Wi-Fi existente, crear una red Wi-Fi efímera, capturar las comunicaciones y mostrar un informe al usuario ... en menos de un minuto, 5 clics y sin cualquier conocimiento técnico.


Conoce el backend
Una vez instalado, puede conectarse al backend de TinyCheck navegando por la URL https: //tinycheck.local y aceptando el certificado autofirmado SSL. Las credenciales predeterminadas son tinycheck / tinycheck.
Imagen
El backend le permite editar la configuración de TinyCheck, agregar IOC extendidas y elementos en la lista blanca para evitar falsos positivos. Ya se proporcionan varios IOC, como algunas reglas suricata, FreeDNS, servidores de nombres, CIDR conocidos por albergar servidores maliciosos, etc. En términos de IOC ampliadas, esta primera versión de TinyCheck incluye:

  •     Reglas de Suricata
  •     CIDR
  •     Dominios y FQDN (denominados genéricamente "Dominios")
  •     Direcciones IPv4 / IPv6
  •     Certificados sha1
  •     Servidores de nombres
  •     FreeDNS
  •     TLD de lujo

Conoce el motor de análisis
El motor de análisis es bastante sencillo. Para esta primera versión, las comunicaciones de la red no se analizan en tiempo real durante la captura. El motor ejecuta Zeek y Suricata contra la captura de red previamente guardada. Zeek es un disector de redes muy conocido que almacena en varios registros la sesión capturada.

Una vez guardados, estos registros se analizan para encontrar IOC extendidas (enumeradas anteriormente) o para que coincidan con las reglas heurísticas (que se pueden desactivar a través del backend). Las reglas heurísticas están codificadas en zeekengine.py y se enumeran a continuación. Como solo se analiza un dispositivo a la vez, existe una baja probabilidad de que se aprovechen las alertas heurísticas.

  •     UDP / ICMP fuera de la red local
  •     Conexión UDP / TCP con un puerto de destino> 1024
  •     Host remoto no resuelto por DNS durante la sesión
  •     Uso de certificado autofirmado por el host remoto
  •     Conexión SSL realizada en un puerto no estándar
  •     Uso de emisores de certificados SSL específicos por parte del host remoto (como Let's Encrypt)
  •     Solicitudes HTTP realizadas durante la sesión
  •     Solicitudes HTTP realizadas en un puerto no estándar
  • ...
   
En la parte Suricata, la captura de la red se analiza contra las reglas suricata guardadas como IOC. Pocas reglas son dinámicas como:

  •     Nombre del dispositivo exfiltrado en texto sin cifrar;
  •     SSID del punto de acceso exfiltrado en texto sin cifrar;

Para mantener los IOC y la lista blanca actualizados constantemente, TinyCheck integra algo llamado "observadores". Es un servicio muy simple con pocas líneas de Python que captura nuevos IOC formateados o elementos de la lista blanca de URL públicas. A partir de hoy, TinyCheck integra dos URL, una para la lista blanca y otra para las IOC (los archivos formateados están presentes en la carpeta de activos).

Si ha visto algo muy sospechoso y / o necesita ser investigado / integrado en una de estas dos listas, no dude en hacernos un ping. También puede hacer su propio observador. Recuerde, compartir es cuidar.

Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Imagen

    Archivos

    Diciembre 2020
    Noviembre 2020
    Octubre 2020
    Septiembre 2020
    Agosto 2020
    Julio 2020
    Junio 2020
    Mayo 2020
    Abril 2020
    Marzo 2020
    Febrero 2020
    Enero 2020
    Diciembre 2019
    Noviembre 2019
    Octubre 2019
    Septiembre 2019
    Agosto 2019
    Julio 2019
    Junio 2019
    Mayo 2019
    Abril 2019
    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre
    Software-libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG