Honeypot Kippo a integracja z innymi systemami

Data publikacji: 08/04/2013, CERT Polska

Kippo SSH honeypot

Ataki na usługę Secure Shell (SSH) są powszechnym i często występującym zjawiskiem w sieci Internet. Duża większość z nich to słownikowe próby złamania hasła do kont różnych użytkowników. Pomimo tego, że nie jest to zbyt wyrafinowany atak, jest on stosunkowo skuteczny, więc liczba przejętych w ten sposób serwerów uniksowych nie jest mała.

Kippo jest niskointeraktywnym honeypotem emulującym usługę Secure Shell (SSH). Jego głównym zadaniem jest pozyskiwanie informacji o próbach złamania hasła dostępu do systemu przez atakującego, oraz – w przypadku odgadnięcia pary nazwa_użytkownika-hasło – emulację powłoki systemowej i wejście z nim w interakcję w celu analizy dalszych jego działań. Kippo rejestruje bowiem wszystkie polecenia powłoki wprowadzane przez atakującego, a także zapisuje pliki pobierane przez niego. W raporcie „Proactive Detection of Security Incidents: Honeypots” opublikowanym przez Europejską Agencję ds. Bezpieczeństwa Informacji ENISA (patrz wiadomość: ENISA publikuje raport CERT Polska o honeypotach) narzędzie to zostało uznane jako jedno z najbardziej użytecznych narzędzi typu honeypot, dzięki któremu stosunkowo łatwo pozyskać można cenne dane dotyczące specyficznych ataków (w tym wypadku na usługę SSH).

W ramach prac nad większym systemem związanym z wykrywaniem oraz pozyskiwaniem informacji o atakach sieciowych, honeypot Kippo został dokładnie przetestowany przez naukowców z Pracowni Metod Bezpieczeństwa Sieci i Informacji działającej w Pionie Naukowym NASK. Badane były możliwości narzędzia w kontekście integracji z innymi narzędziami oraz funkcjonowania w ramach większego systemu, w tym automatyzacji jego (re)konfiguracji, użycia, oraz pobierania zbieranych przez Kippo danych i plików. Zapraszamy do zapoznania się z krótkim raportem opisującym wyniki tych badań dostępnym w formacie PDF. Mamy nadzieję, że będzie on również pomocny dla osób, które do tej pory nie mieli styczności z Kippo, ale chcą go użyć.

Raport można ściągnąć tutaj (PDF, 26 stron, 258 KB).