HaaS – Honeypot as a Service

Zapojte se do boje proti malwaru

Je jedno jestli jste dobrovolník, organizace nebo firma. Kdokoliv se může dobrovolně zapojit do výzkumného projektu Honeypot as a Service (dále jen HaaS) a přispět tak ke zlepšení kybernetické bezpečnosti a připravenosti na kybernetické útoky. Navíc se dozvíte zajímavé informace o útocích provedených právě na Vaše zařízení.

Náhodou jsem narazil na tento projekt od CZ.NIC, a tak jelikož mám jedno Raspberry vystavené na veřejné IP, tak proč se nezapojit.

Jelikož není linux moje dvakrát silná stránka, tak se instalace neobešla bez komplikací, ale po pár e-mailech s podporou se vše podařilo, a nyní běží na Raspbianu bez potíží.

  • Hned první na co jsem narazil, že jsem chtěl HAAS stáhnout wgetem, a divil se proč to proboha nejde, načež jsem zjistil, že se stáhlo HTML, a ne soubor. To jsou takové začátečnické chyby, a po stažení normálně přes prohlížeč se podařilo nainstalovat.
  • Chyby při spuštění byly způsobeny verzemi pythonu, takže pokud si stáhnu verzi python, tak bych měl spouštět python, a pokud python3, tak zase python3 (a né jako já, že nainstaluju python3 a pouštím python). Další blbá chybka, ale vedla k přidání upozornění do návodu 🙂
  • Další bota byla, že jsem měl z pokusů s TARem v pracovním adresáři složku haas_proxy, to te pak tluče s Twisted.
  • Když už jsem byl ve fázi, kdy ps aux | grep haas vypsal, že by to mělo běžet, a ve /var/log/haas.log se začalo něco zapisovat, tak už jen stačilo pochopit, že musím na routeru přešměrovat SSH port 22 na port 2222 (a ne 22) aby to chodilo z venku. Taky bych řekl, že to v návodu dříve nebylo.

Nyní služba běží, a zatím mě objevil jen nějaký bot z Polska. Uvidíme co ukáže čas, protože z dle logů z fail2ban není žádná veřejně vystavená krabička v bezpečí 🙂

haas

Honeypot as a Service od CZ.NIC

Název zvolili v cz.nic opravdu dobrý, protože na tom samém raspberry mi běží Home Assistant, zkráceně HASS, takže se mi to vůbec neplete 🙂

EDIT:

HaaS spouštím po startu jednoduchým skriptem

#!/bin/sh
sudo python3 -m haas_proxy -l /var/log/haas.log --pidfile /var/run/haas.pid haas_proxy --device-token xxxxx

ale včera jsem zjistil nemilou věc – došlo místo na kartě. Ve /var/log bylo několik desítek tisíc souborů haas.log.číslo! Bude to chtít tedy zkrotit logy, a z podpory mi odepsali:

logrotate není dodáván s proxy a Twisted (na kterém je proxy založená) defaultně loguje vše. Je potřeba si upravit.

Jedna možnost je si nastavit logrotate.

Další možnost omezit co se loguje, například jen warning a výše:

python[3] -m haas_proxy -l /var/log/haas.log --log-level warning --pidfile /var/run/haas.pid haas_proxy --device-token XXX

Nebo úplně vypnout:

python[3] -m haas_proxy -l /dev/null --pidfile /var/run/haas.pid haas_proxy --device-token XXX

mikrom

Roman Mikulka aka mikrom. Ajťák, opravář, programátor samouk, elektrotechnik, koloběžkář a geocacher. Více na samostatné stránce O mně.

Mohlo by se vám líbit...

2
Komentáře

2 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
nejnovější nejstarší
Upozornit na

Dobrý den,

rádi bychom vás informovali, že HaaS je od dnešního dne považován za
stabilní. Více informací najdete na našem blogu:

http://blog.nic.cz/2018/02/19/privitejte-haas/