Passive Footprinting: ELK | Open data (I)

A día de hoy solemos utilizar (de forma muy habitual) #Shodan#, <Bing>, #Google Hacking#, etcétera para hallarinformación indexadaconpropósitos de investigación oauditoriaen las diferentes plataformas y, como digo, suele ser una práctica habitual.

Desde hace tiempo, tras la aparición de <tools> como #ZMap#, <masscan> u otras muchas, han surgidoiniciativasen las quemás o menos– (regularmente) se <escanean> #IPv4# en su totalidad y publican losresultadospara que puedan serusadosen <tareas de investigación>, al igual que hay iniciativas que almacenanpáginas weben su totalidad (crawlers), y otras distintas.

¿Es posible crearnos unaplataforma de búsquedapropia usando exclusivamente <datos públicos> emulando de forma parcial las funcionalidades antes mencionadas (<shodan>, #Bing#, <google hacking>, etcétera..) en un solo #frontend#? Pues si, claro que es posible y a continuación os mostraré lo que viene a ser unaprueba de concepto-;

Para comenzar (como es lógico) necesitamos fuentes de información pública y si puede ser <gratuita>, con #información útil# para luego después poder trabajar con ellas. Entre otras muchas fuentes, podemos empezar por estas, veamos:

De maneraopcional podemosampliar las fuentesde #información# con:

1-FP

2-FP

Para llevar a cabo unaprueba inicialno vamos a utilizar el100%de la #información# disponible (<Terabytes> de #información pública#), y en caso de querergeneraruna plataforma de una manera seria, se necesitanrecursos de almacenamiento“, #procesamiento y accesibilidad específicos# y no es elobjetivo principal por el que os escribo este #artículo#, por lo cuál acotaremos la cantidad de #información# que vamos a usar para poder confirmar la #viabilidad y usabilidad#.

Nota: Ampliar (o extender) la cantidad de #información# requiere un <estudio de infraestructura> mucho másespecífico” (-tal vezen <la nube>).

  • -> De <ripe.netindexaremos ripe.db.inetnum.gzparaintentar simular” (parcialmente) la <funcionalidad de búsquedas de texto> en labase de datos” #RIPE# (https://apps.db.ripe.net/search/fulltext.html).
  • <- Descans.io noscentraremosen el <escaneo> del <puerto 80> para #IPv4# y ya quecontienemás de67 millones de direcciones– #IP#, lo acotaremos a los primeros <5 millones>.
  • -> De <commoncrawl.org> utilizaremos solo unos100.000 documentos– (de sus más de <1.81 billones> de páginas). Esto es más que suficiente para llevar a cabobúsquedas sencillasycomprobarqué tipo de resultados se podríanobtener“.
  • <- De MaxMind.com vamos a usarGeoLiteCityen su <formato binario>, para que podamosrelacionardirecciones #IP# con su <geolocalización> (más o menos) aproximada.

Ok, ahora que ya disponemos de unapequeña basede #información# para poder trabajar, usaremos la pila #ELK# en sus funciones más básicas para <indexar y trabajar> con la #información# obtenida. Pero antes de esto vamos a ver “grandes rasgoscuales son los <componentes> de la pila #ELK#.

3-FP

La pila #ELK# (https://www.elastic.co/products) está compuestaprincipalmentede <tres componentes> (decódigo abierto-):

  • -> <Elasticsearch>: Es unabase de datos” #Schemaless#, con #capacidades significativas# debúsquedasdetexto y escalabledonde residirá la #información#.
  • <-Logstash“: Es un <recolector> de #información#, que se caracteriza por disponer de <múltiples> “pluginsdeentrada y salida-. Con #logstash# vamos a poder <homogeneizar> múltiplesformatos de entrada diferentes en un <único formato de salida> ( o varios) y a su misma vez tambiénaplicarmodificaciones intermedias paraobtenerun resultado final #personalizado#.

Sin ninguna dudaentre otros, –disponede un <plugin> de #elasticsearch# para poder gestionar entrada como salidade #datos#.

4-FP

  • -> <Kibana>: Es unaherramientaparaanálisisde #información y creación# de <paneles de control>, trabajando contra la #información# almacenada en #elasticsearch#.

5-FP

Ahora ya tenemos unavisión básica de la pila #ELK#, ahora comencemos a #trabajar# con ella. Esto lo veremos en el #próximo artículo#.

Salu2

tumblr_nc15i3crTq1t4tes2o1_r1_400

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s