1 Laatst bewerkt door Resilldoux (15 Feb 2015 20:06:06)

Onderwerp: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Hallo iedereen,

Ik heb een paar video's op YouTube gezet hoe je een SSH honeypot kan realiseren m.b.v. Kippo en Kippo Graph. Voor de gene die niet weten wat Kippo is, Kippo is een SSH honeypot dat potentiële aanvallers kan laten denken dat ze inbreken op een systeem dat slecht beveiligd is. Kippo emuleert een SSH server m.b.v. mooie Python scripts die een sandboxed omgeving aanbiedt waar op ingebroken kan worden vanaf het internet. Alle inlogpogingen  worden bijgehouden, inclusief alle gebruikersnamen en wachtwoord combinaties, alsmede de gehele command line history die wordt ingeklopt wanneer iemand succesvol is binnen gebroken. Je kunt uiteraard de omgeving zo echt en leuk maken als jezelf wilt. The sky is the limit!

Hier zijn de video's:

Groeten!

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Misschien moet je er ook nog even bij vermelden dat je erg moet opletten met het inzetten van een honeypot. Het kan flink wat juridische implicaties hebben. Voor je het weet doe je aan uitlokking. Ligt ook veel aan de omgeving waarbinnen je een honeypot inzet.

3 Laatst bewerkt door Resilldoux (01 Feb 2015 19:04:15)

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Bedankt voor je reactie, je belicht een interessant vraagstuk. Ik heb even op internet gespeurd naar juridisch advies als het gaat om honeypots. Deze twee artikelen heb ik zoal gevonden:
- A. Engelfriet. Help, ik word gehackt door de buren! http://blog.iusmentis.com/2013/07/03/he … -de-buren/
- Securityrecht. Computervredebreuk. https://securityrecht.nl/diensten/jurid … redebreuk/

Zoals ik het begrijp zeggen beide artikelen dat er an sich niets verkeerd is aan het opzetten van een honeypot. Het gaat er echter om of je zelf initiatief neemt door men direct uit te lokken door in te breken. Een honeypot neerzetten is dat zelf niet, maar het op slinkse wijze verkondigen dat je ergens een honeypot hebt geplaatst is dus zeker niet verstandig. Daarbij komt er ook bij kijken dat concreet bewijslast verzamelen ook een flinke klus is. IP-adressen zijn niet direct te relateren aan NAW-gegevens, dat kan alleen de politie vaststellen.

Ook heb ik nog op rechtspraak.nl en jure.nl gekeken of er enige jurisprudentie bestaat aangaande honeypots:
- http://www.rechtspraak.nl/Zoeken/Pages/ … k=honeypot
- http://jure.nl/honeypot

Beide zoekopdrachten blijken echter niets op te leveren.

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Goed werk. Maar bij het 'in de val gelokt zijn' worden heel vaak aanvallers vrijgesproken.

Honeypots werken goed intern.... zodat je weet wat voor soort aanvallen zoal gedaan worden. IP adressen koppelen aan werkplekken en zo aan personen is vaak goed te doen trouwens. Intern dan he.... met een goed beleid waarbij men perse moet inloggen bijvoorbeeld. En waarbij goed gelogd wordt. Honeypot extern brengt je meestal niets.

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

De video is er goed en interessant. Goed ook dat je de gehele tekst onder de video hebt geplaatst in het opmerkingen gedeelte van youtube.

Als je voor een verdieping niet de diepte in moet, maar de hoogte, waarom heet het dan ....

6

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Mijn ervaring is dat aanvallers meestal ip-adressen uit pakistan en dergelijke oorden hebben, dus veroordeling komt sowieso niet snel ter sprake...

Help mee om KDE 5 in het Nederlands te vertalen!!

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Dank voor jullie reacties.

Inderdaad is vervolging van buitenlandse aanvallen heel moeilijk. Zoals peugeot2 goed belicht, is vervolging van interne aanvallen, in het bedrijf zelf, vaak wel goed te doen. Die use case suggereert mijn video niet, maar het is wel een interessant voorbeeld. Ik kan mij goed voorstellen dat honeypots intern gebruikt worden als men het een en ander vermoed. Hier heb ik zelf echter geen ervaring mee, maar ik zou dat graag eens willen zien.

8

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Is het geen optie om standaard bepaalde landen toegang te ontzeggen in je firewall?
Privé heb ik een paar landen in de firewall geblokkeerd. De diensten uit die landen gebruik ik niet en kan alleen ellende vandaan komen.

IF not THEN toch

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Behalve als bekenden van jou in dat land vertoeven en gebruik willen maken van jouw online diensten. Je blokkeert geen land maar ipadressen uit dat land ;-)

10 Laatst bewerkt door Joris (06 Feb 2015 22:16:26)

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Dat is het afwegen. Is er een kans dat een dienst naar dat land nodig is? Het is een zeer kleine maatregel met een beetje effect. Maar als een bekende niet bij je systeem kan komen, kan dat heel vervelen worden.
Ik zie het net als een lamp met sensor tegen inbrekers. Het helpt niet echt als de inbrekers echt in je huis willen, maar voor zoekende slaan je huis eerder over omdat het iets opvallender is dan het huis van je buren.

IF not THEN toch

11 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (06 Feb 2015 22:30:24)

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Ja, mee eens hoor. Risicomanagement.

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Kippo zou ik ook niet gebruiken ter vervanging van andere beveiligingen, als dat misschien gesuggereerd zou worden. Ik vind het zelf gewoon interessant om te kijken wat voor gespuis er eigenlijk op af komt.

Puur interesse wat mij betreft. :-)

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Het is een beetje als aan je voordeur een bordje neerhangen van 'te koop wiet en crack' en kijken wie er op af komen. Let echter wel op. Slim gespuis heeft het echt wel door en trekt geruisloos verder. Stom gespuis gooit mogelijk zomaar een bom naar binnen.

14

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

peugeot2 schreef:

Het is een beetje als aan je voordeur een bordje neerhangen van 'te koop wiet en crack' en kijken wie er op af komen. Let echter wel op. Slim gespuis heeft het echt wel door en trekt geruisloos verder. Stom gespuis gooit mogelijk zomaar een bom naar binnen.

Slim gespuis zijn vooral op zoek om geld te verdienen of op zoek naar uitdaging om binnen te komen. En qua inbreken is een privegebruiker natuurlijk veel minder interessant dan de servers van bijvoorbeeld KPN.

Ik denk dat je vooral moet indekken tegen scriptkiddies. Eigenlijk de vandaaltjes van het internet die zoveel mogelijk willen slopen en net als echte vandalen totaal geen verstand hebben van zaken. wink

IF not THEN toch

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Wat je nu zegt geldt voor een reguliere internetserver. Maar voor een honeypot kan je  echt heel erg veel meer zooi krijgen dan waar je om vroeg. Vandaar mijn opmerking/waarschuwing.

16

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Klopt.
Al zou een honeypot in je interne netwerk dan weer veiliger kunnen zijn. Een scriptkiddie ziet niet snel het verschil en zal er invallen.

IF not THEN toch

Re: How-to video's: SSH honeypot m.b.v. Kippo en Kippo Graph

Nadeel bij het inzetten intern, uitgaande van een bedrijfssituatie, is het juridisch deel. In de meeste gevallen is het uitlokking. Kijken wie wie erin valt zal in een bedrijfssituatie niet mogen. Je moet een heel goede en doelgerichte reden hebben voor een interne honeypot.

Je kunt intern dan veel beter een NIDS gebruiken. Deze scant het netwerkverkeer en acteert bij niet toegestane netwerkpakketjes. De bedrijfspolicies kun je hier op aanpassen.