Como criar um honeypot (Iscas para Hackers)

Como criar um honeypot (Iscas para Hackers)
A técnica de Honeypot é um tanto antiga, porem até hoje é muito utilizada para captura de hackers mal
intencionados. Atualmente o Governo americano utiliza esta
técnica em redes Wireless para estudar o comportamento destes “Hackers”.

O conceito da técnica é muito simples:
Você simula uma vulnerabilidade, como uma isca para os
“Hackers” se conectarem. Uma vês conectado você
obtém o IP e seus comandos.
Vamos criar um Honeypot com a versão free do Insecuritynet 3.X
(Você não precisa comprar a licença)

1-) Caso você não tenha o programa, baixe no site da empresa que desenvolve o software:
www.insecuritynet.com.br
Entre em: Softwares -> Insecuritynet 3.X
Instale o programa.

2-) Para navegar pelo software utilize as Setas e o Enter (O programa roda em modo texto.)

Entre em: Iniciar -> Servidores -> Honeypots


O software possui três opções (FTP, Telnet, Shell.) Vamos utilizar a opção TELNET (escolha telnet)



Automaticamente irá abrir o servidor honeypot.



3-) O Honeypot irá simular um serviço de telnet em seu computador, você pode escolher um nome para seu computador
fictício.

Digite o nome de usuário (Não utilize espaços)


4-) Dentro do seu computador fictício irá existir um falso arquivo chamado: “login_ftp.txt”
Você poderá colocar algum dado dentro deste arquivo, claro que você não irá colocar um dado verdadeiro mas sim qualquer coisa que você ache necessário para lubridiar nosso
“Hacker Invasor”


5-) Pronto seu Honeypot está criado, sua porta 23 ficará aberta para o Honeypot aguardando algum “Invasor”. Caso precise, adicione permissão ao seu firewall.



6-) Antes que alguém entre em seu honeypot, você pode testa-lo. Abra seu prompt de comando e digite: telnet
ou
telnet 127.0.0.1




Tecle enter

Agora você esta agindo como se fosse o invasor que descobriu uma porta aberta em seu computador.



Observe que o “suposto serviço” de telnet pediu uma
senha, não se preocupe ele está configurado para aceitar
qualquer senha.

Agora temos uma SHELL em nossa mão



Vamos listar o conteúdo do computador fictício:
Comando DIR




Vamos olhar o conteúdo do arquivo “login_ftp.txt”
Type login_ftp.txt



Entrar no Desktop:
cd desktop
DIR



Observe que o sistema é idêntico à um computador Real.

7-) Agora é a parte mais interessante:
Você pode monitorar tudo o que o “suposto Invasor” faz.
Observe no Honeypot (servidor)



--------




Temos o IP da “Hacker Invasor”
Em cinza temos os diretórios em que o “hacker Invasor” entrou e o que ele viu.
Em verde temos os comandos que ele executou
Em azul temos o conteúdo falso que você criou para ele ver (caso ele veja)

Agora volte ao Insecuritynet
Tecle “I” o programa voltará ao inicio.
Entre em “logs”



Automaticamente a pasta de logs é aberta.





Abra o arquivo honeypots.log



Observe que temos todos os dados da conexão, com um detalhe
Importantíssimo (A hora exata da conexão) Se você tem o
IP e a Hora que ele conectou e a pessoa realmente esta tentando te invadir, caso o problema torne-se judicial, por lei o provedor é obrigado a dizer de onde veio a conexão para as autoridades legais.
Mesmo usando Jumps, hoje é complicado se esconder mesmo atrás de 50 máquinas, também neste caso já não é uma questão técnica, mas burocrática e investigativa.
  • 10/06/2010

  • by Insecuritynet

Compartilhar

logo