Quanti threat in un giorno accadono ad una famiglia che usa mobile, laptop, smart tv ecc?
E’ sempre stata una risposta a cui ho voluto dare una forma precisa.
In particolar modo questa ricercam si basa sui threat ricevuti da una famiglia normale navigando semplicemente browser + app.
Per capirlo ho installato una semplice distro come Nethserver a casa di alcuni amici che usano la tecnologia puramente per email, navigare e social media.
Nethserver si presta bene per questo, facile da installare e configurare, funzioni di firewall, ips, threatshield.
Configurazione:
Firewall
Configurazione standard traffico verso e da internet allowed bloccando solo smb, rpc e simili, in modo da non diventare una honeypot ma concentrandosi sul traffico app e browser
IPS
Nethserver ha un modulo per installare suricata e alcune rules che usano IoC da abuseipdb e alienvault.
Configurato in modo da bloccare solo malware,compromised,malicious dns e le regole DShield
Threatshield
Altro modulo scaricabile e di facile installazione configurato con IP blacklist e DNS blacklist direttamente da url, senza creare una repo personale, (dns blacklist repo non aggiornata da circa 5 mesi). La confgiurazione usata non bloccava nessun inoltro li registrava semplicemente
DNS usati
Ho usato i dns di cloudflare e quad9 per avere un altro layer di filtraggio.
Ogni client (pc,laptop,mobile,smartv) + stato configurato in statico in modo da usare il nethserver come gateway
Una volta configurato e sicuri che tutto funzionasse in modo decente, sono state eseguite prove su malicious website e ip in blocco per vedere il comportamento, tutto ok.
L’esperimento è durato circa 2 mesi e i risultati sono stati tragicomici.
Infatti abbiamo una media di 1.000 threat registrati nella mattinata che diventano circa 8.000 threat verso le 23 dello stesso giorno.
Ma di che tipo sono questi threat?
Qui la parte interessante
La maggior parte delle “threat” proviene dai tracker dei siti blasonati:
Qui siamo intorno al 37,14% di threat ratio secondo Threatshield.
Andando a vedere i log notiamo che i siti “malevoli” intesi come dropper di trojan o malware sono circa lo 0,2% della settimana.
Il resto sono come vediamo tracker di social e di google.
Tutti noi sappiamo di esser feed per questi colossi e questo articolo non fa altro che concretizzare quanto abbiamo sempre pensato e saputo senza dati alla mano.
Quindi è possibile togliersi dallo sfamare i leviatani? Penso di si e sarà materia del prossimo esperimento che combinerà blocchi e datanoise.