A técnica de Honeypot é um tanto antiga, porem até hoje é muito utilizada para captura de hackers mal intencionados. Atualmente o Governo americano utiliza esta técnicas em redes Wireless para estudar o comportamento destes “Hackers”.
O conceito da técnica é muito simples:
Voce simula uma vulnerabilidade, como uma isca para os “Hackers” se conectarem.
Uma ves conectado você obtém o IP e seus comandos.
Vamos criar um Honeypot com a versão free do Insecuritynet 3.X
(Você não precisa comprar a licença)
1-) Caso você não tenha o programa, baixe no site da empresa que desenvolve o software:
Senha para descompactar: 1234
Entre em: Produtos -> Insecuritynet 3.X
Instale o programa.
2-) Para navegar pelo software utilize as Setas e o Enter
( O programa roda em modo texto )
Entre em:
Iniciar > Servidores > Honeypots
Iniciar > Servidores > Honeypots
O software possui três opções ( FTP, Telnet, Shell )
Vamos utilizar a opção TELNET (escolha telnet)
Automaticamente irá abrir o servidor honeypot.
3-) O Honeypot irá simular um serviço de telnet em seu computador, voce pode escolher um nome para seu computador
fictício.
fictício.
Digite o nome de usuário (Não utilize espaços)
4-) Dentro do seu computador fictício irá existir um falso arquivo chamado:
“login_ftp.txt”
Voce poderá colocar algum dado dentro deste arquivo, claro que
você não irá colocar um dado verdadeiro mas sim qualquer coisa que voce ache necessário para lubridiar nosso “Hacker Invasor”
você não irá colocar um dado verdadeiro mas sim qualquer coisa que voce ache necessário para lubridiar nosso “Hacker Invasor”
5-) Pronto seu Honeypot está criado, sua porta 23 ficará aberta para o Honeypot aguardando algum “Invasor”. Caso precise, adicione permissão ao seu firewall.
6-) Antes que alguém entre em seu honeypot você pode testa-lo.
Abra seu prompt de comando e digite:
telnet
ou
telnet 127.0.0.1
ou
telnet 127.0.0.1
Tecle enter
Agora voce esta agindo como se fosse o invasor que descobriu uma porta aberta em seu computador.
Observe que o “suposto serviço” de telnet pediu uma senha, não se preocupe ele esta configurado para aceitar qualquer senha.
Agora temos uma SHELL em nossa mão
Vamos listar o conteúdo do computador fictício:
Comando DIR
Vamos olhar o conteúdo do arquivo “login_ftp.txt”
Type login_ftp.txt
Type login_ftp.txt
Entrar no Desktop:
cd desktop
DIR
cd desktop
DIR
Observe que o sistema é idêntico à um computador Real.
7-) Agora é a parte mais interessante:
Voce pode monitorar tudo o que o “suposto Invasor” faz.
Observe no Honeypot (servidor)
——–
Temos o IP da “Hacker Invasor”
Em cinza temos os diretórios em que o “hacker Invasor” entrou e o que ele viu.
Em verde temos os comandos que ele executou.
Em azul temos o conteúdo falso que voce criou para ele ver ( caso ele veja)
Em cinza temos os diretórios em que o “hacker Invasor” entrou e o que ele viu.
Em verde temos os comandos que ele executou.
Em azul temos o conteúdo falso que voce criou para ele ver ( caso ele veja)
Agora volte ao Insecuritynet
Tecle “I” o programa voltará ao inicio.
Entre em “logs”
Automaticamente a pasta de logs é aberta.
Abra o arquivo honeypots.log
Observe que temos todos os dados da conexão, com um detalhe
importantíssimo (A hora exata da conexão). Se voce tem o IP e a Hora que ele conectou e a pessoa realmente esta tentando te invadir, caso o problema torne-se judicial, por lei o provedor é obrigado a dizer de onde veio a conexão para as autoridades legais.
importantíssimo (A hora exata da conexão). Se voce tem o IP e a Hora que ele conectou e a pessoa realmente esta tentando te invadir, caso o problema torne-se judicial, por lei o provedor é obrigado a dizer de onde veio a conexão para as autoridades legais.
Mesmo usando Jumps, hoje é complicado se esconder mesmo atrás de 50 maquinas, também neste caso já não é uma questão técnica, mas burocrática e investigativa.
Nenhum comentário:
Postar um comentário