Desde hace algunos meses INCIBE dispone de un servicio para que los usuarios puedan comprobar si su conexión está relacionada con alguna de las múltiples botnets que nuestras fuentes de inteligencia detectan. Esta relación de IP a botnets se realiza mediante fingerprinting de las conexiones a través de las sondas que INCIBE y otras empresas del sector tiene desplegadas en la Red.
La arquitectura de funcionamiento del servicio es tal y como se ilustra en la siguiente figura. Básicamente lo que se realiza es comprobar si la dirección IP pública por la que el usuario navega está actualmente asociada a una botnet y de ser así se lanza un aviso al usuario.
En un intento de acercar este servicio a entornos más corporativos, hemos diseñado una API que permita integrar la consulta acerca de la dirección IP en aquellos mecanismos de monitorización de la red, como podría una Nagios que parseara el documento de respuesta y lanzara una alarma si la IP se encuentra comprometida. Esta sencilla API dispone de un único método para consultar si la IP que tenemos asignada (en caso de ser dinámica) se encuentra comprometida.
Este método, que se puede invocar con los parámetros adecuados, tal y como se puede ver en las instrucciones de uso de la API. Si la información se desea en inglés, es posible llamar a la API con la URL wscheckip/en. Si la petición se realiza de forma correcta, se obtiene la información disponible en nuestra base de datos con relación a la IP pública que realiza la consulta o un mensaje de error, en caso que no se haya podido completar la solicitud o que la IP desde la que se realiza la petición no se encuentre geolocalizada en España.
Para poder descargar las instrucciones de uso de la API es necesario que aceptes las condiciones de uso de la misma en la página web que INCIBE ha puesto en marcha para este servicio. Tal y como puedes leer en las condiciones de uso del servicio, INCIBE ofrece este servicio de forma gratuita a todos aquellos que deseen integrarlo dentro de sus plataformas de seguridad. Así que, ¿a qué esperas?...
El Servicio AntiBotnet te informa de amenazas relacionadas con redes de ordenadores comprometidos asociadas a tu conexión a Internet. Para ello se chequea tu dirección IP pública contra nuestra base de datos de incidentes de botnets (*). Si el resultado es positivo, significa que el dispositivo que estás usando u otro que comparta tu conexión a Internet puede estar infectado por un malware relacionado con una botnet.
En ese caso ¡no te preocupes! Te facilitaremos información sobre la amenaza y enlaces a herramientas que podrán ayudarte en la desinfección.
Comentarios