HaaS – Honeypot as a Service

Zapojte se do boje proti malwaru

Je jedno jestli jste dobrovolník, organizace nebo firma. Kdokoliv se může dobrovolně zapojit do výzkumného projektu Honeypot as a Service (dále jen HaaS) a přispět tak ke zlepšení kybernetické bezpečnosti a připravenosti na kybernetické útoky. Navíc se dozvíte zajímavé informace o útocích provedených právě na Vaše zařízení.

Náhodou jsem narazil na tento projekt od CZ.NIC, a tak jelikož mám jedno Raspberry vystavené na veřejné IP, tak proč se nezapojit.

Jelikož není linux moje dvakrát silná stránka, tak se instalace neobešla bez komplikací, ale po pár e-mailech s podporou se vše podařilo, a nyní běží na Raspbianu bez potíží.

  • Hned první na co jsem narazil, že jsem chtěl HAAS stáhnout wgetem, a divil se proč to proboha nejde, načež jsem zjistil, že se stáhlo HTML, a ne soubor. To jsou takové začátečnické chyby, a po stažení normálně přes prohlížeč se podařilo nainstalovat.
  • Chyby při spuštění byly způsobeny verzemi pythonu, takže pokud si stáhnu verzi python, tak bych měl spouštět python, a pokud python3, tak zase python3 (a né jako já, že nainstaluju python3 a pouštím python). Další blbá chybka, ale vedla k přidání upozornění do návodu 🙂
  • Další bota byla, že jsem měl z pokusů s TARem v pracovním adresáři složku haas_proxy, to te pak tluče s Twisted.
  • Když už jsem byl ve fázi, kdy ps aux | grep haas vypsal, že by to mělo běžet, a ve /var/log/haas.log se začalo něco zapisovat, tak už jen stačilo pochopit, že musím na routeru přešměrovat SSH port 22 na port 2222 (a ne 22) aby to chodilo z venku. Taky bych řekl, že to v návodu dříve nebylo.

Nyní služba běží, a zatím mě objevil jen nějaký bot z Polska. Uvidíme co ukáže čas, protože z dle logů z fail2ban není žádná veřejně vystavená krabička v bezpečí 🙂

haas

Honeypot as a Service od CZ.NIC

Název zvolili v cz.nic opravdu dobrý, protože na tom samém raspberry mi běží Home Assistant, zkráceně HASS, takže se mi to vůbec neplete 🙂

EDIT:

HaaS spouštím po startu jednoduchým skriptem

#!/bin/sh
sudo python3 -m haas_proxy -l /var/log/haas.log --pidfile /var/run/haas.pid haas_proxy --device-token xxxxx

ale včera jsem zjistil nemilou věc – došlo místo na kartě. Ve /var/log bylo několik desítek tisíc souborů haas.log.číslo! Bude to chtít tedy zkrotit logy, a z podpory mi odepsali:

logrotate není dodáván s proxy a Twisted (na kterém je proxy založená) defaultně loguje vše. Je potřeba si upravit.

Jedna možnost je si nastavit logrotate.

Další možnost omezit co se loguje, například jen warning a výše:

python[3] -m haas_proxy -l /var/log/haas.log --log-level warning --pidfile /var/run/haas.pid haas_proxy --device-token XXX

Nebo úplně vypnout:

python[3] -m haas_proxy -l /dev/null --pidfile /var/run/haas.pid haas_proxy --device-token XXX

mikrom

Roman Mikulka aka mikrom. Ajťák, opravář, programátor samouk, elektrotechnik, koloběžkář a geocacher. Více na samostatné stránce O mně.

Mohlo by se vám líbit...

Komentáře

1 komentář k "HaaS – Honeypot as a Service"

  Subscribe  
nejnovější nejstarší
Upozornit na

Dobrý den,

rádi bychom vás informovali, že HaaS je od dnešního dne považován za
stabilní. Více informací najdete na našem blogu:

http://blog.nic.cz/2018/02/19/privitejte-haas/