Honeypots, my dear bumblebee...

Neste fabuloso sábado, estou focado na pesquisa de honeypots.
Me deparei com diversos artigos interessantes sobre o assunto, em específico, um me chamou atenção: O Heralding Honeypot.
Ele de fato, captura credenciais que os adversários tentam em servidores nos seguintes protocolos: ftp, telnet, ssh, http, https, pop3, pop3s, imap, imaps e smtp.

A instalação e configuração é muito simples, se utiliza apenas de python3, uma linha de comando e pronto! Instalado.

Em pouco mais de 2 horas rodando, verifiquei 2249 tentativas de ataque no meu servidor de pote de mel.
A saída se assemelha a isso:
onde é possível verificar o IP do atacante, protocolo, bem como usuário e senha que o adversário tentou. Claro que vou deixar rodando o final de semana inteiro a fim de fazer um relatório completo (o qual vou publicar aqui! :) ).

Este honeypot se mostra extremamente simples e poderoso a fim de identificar os seguintes pontos:

  • Quais usuários e senhas o adversário tenta?
  • Quais protocolos?
  • Quais os hosts mais envolvidos?
  • dentre outras perguntas...

Além da Prova de Conceito que estou realizando com o Heralding, também em deparei o Beeswarm, que é um IDS ativo. Aparentemente mais robusto, pois possui uma interface web para administração e outras funcionalidades chamadas de "drones".
Vou testá-lo em um outro momento! :)

É isso por ora. Deixando aí uma lista de links úteis com muita informação sobre o assunto! :)

ProjectAwesome.org
Awesome Honeypots - Project Awesome
MushMush Foundation
Honey Pot Intrusion Detection System

Um abraço a tod@s! :)

Vinicius Neves

vinicius@sqlinjection.com.br

Brasil

Deseja se inscrever no sqlinjection | ' or 1=1 --?

Receba nossas últimas postagens diretamente em seu e-mail.

ou se inscreva via RSS com Feedly!