Buenas,
Según un artículo publicado recientemente en ZDNet, los investigadores de SANS y SRI International han culminado con éxito un proyecto bastante novedoso para definir listas negras.
El talón de Aquiles de una lista negra deriva del propio modelo de construcción y mantenimiento de la lista. Atendiendo a un criterio o conjunto de criterios, marcamos una entidad como perniciosa, y a partir de ahí, la entidad pasa a engrosar la lista negra. La relevancia de una fuente no se tiene en cuenta: como propietario de una lista, si la entidad A me ha atacado y la B también, ambas pasan a mi lista y con igual relevancia, pero en ningún caso sé si las entidades A y B han sido también responsables de otros ataques ajenos a mí, lo que las convertiría en más relevantes, por motivos obvios.
La gran ventaja de Highly Predictive Blacklisting (HPB) es que rompe con ese paradigma clásico de generación de listas negras. Este sistema es similar a PageRank de Google, donde, de una manera democrática, el número de enlaces entrantes desde sitios más o menos reputados provoca que nuestro PageRank sea mayor o menor.
En el caso de HPB, la comparación cruzada de logs de firewall recibidos en DShield (servicio del SANS en el que se recogen datos de sistemas de protección en línea), permitirá hacer algo parecido: la selección de entidades a incluír en la lista facultará favorecer la inclusión de entidades de ataque compartidas por los contribuyentes que porporcionan los logs de firewall. Es decir, si la fuente de ataque A tiene presencia en 10 logs, será mucho menos relevante que la fuente B, con presencia en 500 logs, siempre entendiendo que, a igualdad de contundencia unitaria, es más relevante una fuente de ataque que castiga a 500 objetivos que una que castiga 10.
Se prevé que esté disponible en breve, si bien ya hay una versión experimental para quien tenga ganas de probar la tecnología. Tenéis un paper descriptivo publicado en http://www.cyber-ta.org/pubs/hpb.pdf
Un saludo,