Ловушки для хакеров
Никогда не знаешь, что может ждать тебя за стандартным баннером.
Главный посыл этой статьи — всегда используй инструменты анонимности в сети. Ведь никто точно не знает, действительно ли это Apache сервер, или очередная подготовленная ловушка.
Что такое Honeypot?
Honeypot — ресурс-приманка, который создан для привлечения внимания хакеров. Как правило, под приманку создают уязвимый ресурс с открытым портом или публично доступным эксплоитом. Это может быть как отдельный выделенный сервер, так и сетевой сервис. Цель одна — собрать максимальное количество данных и посмотреть, какие атаки и техники используются для взлома сервиса.
Вот так выглядит современная опенсорсная ловушка tpotce с интерфейсом kibana, которая позволяет получать данные в режиме реального времени. Можно отслеживать IP, операционные системы, отпечаток браузера, а также другие параметры.
Как запустить свою Honeypot?
Для наглядного примера, установим Pentbox на Kali Linux. Функционал позволяет открывать различные порты и "слушать" входящие соединения. Чтобы установить выполняем следующие команды.
https://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz tar -zxvf pentbox-1.8.tar.gz cd pentbox/ ./pentbox.rb
Если все прошло успешно, увидим интерактивное меню.
Для быстрого запуска выбираем Network tools -> Honeypot, а потом Fast Auto Configuration. После успешного запуска увидим такое сообщение: "HONEYPOT ACTIVATED ON PORT 80".
Чтобы проверить работоспособность нашей ловушки достаточно перейти на IP адрес машины в браузере. При переходе получаем вот такое сообщение:
Веб страница Pentbox
В этот момент получаем сообщение об успешном открытии в консоли браузера. Вот такие данные прилетают при стандартной настройке.
Для ручной настройки выбираем Network tools -> Honeypot, а потом Manual Configuration. Далее указываем любой порт, который будет доступен, ответ, который будет возвращаться и выбираем, нужно ли записывать логи. Приятный бонус — звуковое оповещение при подключении.
Пытаемся подключиться через telnet по IP и 21 порту, используем значение member. В итоге получаем false message, а логи прилетают в консоль программы.
Логи Pentbox
Pentbox имеет простой и наглядный функционал. Более продвинутые ловушки имеет намного больший функционал и могут одновременно работать с разными портами, показывать детальную статистику в реальном времени, а также оповещать при появлении новых атак или активности.
Ищем ловушки на Shodan
Важно понимать, что honeypot требует грамотной настройки иначе его можно просто взломать. Также нужно учитывать, что ловушки можно маскировать, как под сервера Nginx, так и операционные системы Windows XP. В не зависимости от портов, как было продемонстрировано выше.
Посмотрим, откровенно дефолтные настройки для популярных ловушек:
Honeypot POP3 server
Welcome hacker, to my honeypot
Шодан запустил сервис, который позволяет оценить рейтинг ловушки. Достаточно ввести IP, чтобы оценить правдоподобность сервера. Все относительно и при грамотной конфигурации невозможно обнаружить приманку. Поэтому нужно использовать инструменты для анонимизации.
Заключение
В последнее время существенно увеличилось количество honeypots. Многие компании размещают ловушки перед своим фаерволом чтобы отслеживать атаки, и попытки скомпрометировать систему. Только на GitHub опубликовано 232 проекта, которые позволяют поднимать фейковые ресурсы и логировать активность. Я рекомендую использовать инструменты для обеспечения базовой анонимности. Ведь никогда не знаешь, что может ждать тебя за стандартным баннером.
«Ростелеком» расставит приманки для хакеров
«Ростелеком» предложил телеком-компаниям заманивать хакеров на сервера-ловушки, чтобы собирать информацию о новых методах кибератак. Однако эксперты предупреждают, что такие объекты могут сами стать источником заражения
Рабочая группа по направлению «Информационная безопасность» национальной программы «Цифровая экономика» на заседании в пятницу, 29 ноября, рассмотрела концепцию создания системы раннего предупреждения о компьютерных атаках на телекоммуникационную инфраструктуру России. Это следует из материалов группы, копия которых есть у РБК, их подлинность подтвердил руководитель группы и президент компании InfoWatch Наталья Касперская.
Автор концепции — «Ростелеком». Как пояснила представитель компании Наталья Лезина, речь идет о создании на инфраструктуре операторов так называемых ханипотов (от англ. honeypot — «горшочек с медом») — специального софта, который имитирует работу уязвимого устройства или сервера. Обнаружив приманку, злоумышленники, вероятнее всего, попытаются проникнуть в сеть компании именно через нее. Программа записывает все действия хакеров на сервере, затем их анализируют специалисты по кибербезопасности. Также «Ростелеком» предложил наладить информационный обмен о новых методах кибератак между операторами связи.
Идея «Ростелекома» не предполагает государственного финансирования проекта, операторы установят системы сбора данных о кибератаках самостоятельно. Точную стоимость системы в компании не раскрывают, отмечая, что она зависит от метода реализации. По мнению руководителя российского исследовательского центра «Лаборатории Касперского» Юрия Наместникова, в масштабе бизнеса эти расходы будут не очень значительны, большая часть средств уйдет на подбор специалистов и на улучшение системы защиты на основании полученных данных.
По словам представителя «Ростелекома», рабочая группа «в целом одобрила идею». «Концепция верхнеуровнево обсуждалась с регуляторами и была представлена телеком-сообществу. Отзывы в целом положительные», — сказал он.
Крупнейшие операторы в целом также поддержали идею «Ростелекома». «На данный момент это только концепция, существует ряд открытых вопросов, но мы надеемся разрешить их совместно в рамках отрасли при более глубокой проработке», — заявил директор по предотвращению мошенничества и потерь доходов «МегаФона» Сергей Хренов. Представитель «ВымпелКома» добавил, что компания готовит свои комментарии и обязательно включится в проработку инициативы. Представитель МТС Алексей Меркутов сообщил, что компания готова рассматривать такого рода объединения, но «исключительно на паритетных началах с учетом интересов всех сторон».
Зачем защищать телеком-инфраструктуру
Специалисты в сфере информационной безопасности называют телеком-операторов одними из наиболее заинтересованных пользователей ханипотов. Эксперт в области безопасности телекоммуникационных систем Positive Technologies Дмитрий Касымов говорит, что опорные сети операторов в принципе нельзя назвать защищенными. «При проведении аудитов безопасности мы выявляем множество уязвимостей, которые позволяют злоумышленникам оставить абонентов без связи, прослушать их разговоры и перехватить SMS, пользоваться услугами связи за их счет и даже обойти системы тарификации оператора. Эти недостатки безопасности уже эксплуатируются хакерами, в том числе для кражи денег с банковских счетов абонентов», — объяснил он.
INVISIBLE - Юмор и мануалы по анонимности!
HIDDEN_PEOPLE - Самый анонимный чат в Telegram