honeypot

Todo lo relacionado con Honeypots VoIP o más generalistas

Voip hacking en Noruega

A través de Norwegian Honeynet Project me entero de la interesante noticia sobre VoIP hacking en Noruega.

Así lo explican en el sitio web:

"El ultimo mes de 'escaneos' parece valioso para los hackers. Un municipio noruego ha sido atacado y su PBX ha estado llamando a Somalia y a muchas otras destinaciones que hemos recogido en nuestros honeypots VoIP durante el pasado mes.

VoIP Honey is growing

Hemos estado algunos días callados, así que tal vez ha llegado el momento de avisar y decir a todo el mundo que el proyecto VoIP Honey no está muerto. Aún es más, nunca había estado tan vivo como ahora. Pocas líneas de código se han añadido o quitado últimamente, básicamente nos hemos dedicado a documentar código y a hacer un hueco en el mundo para nuestro honeypot VoIP.

Nosotros como desarrolladores hemos propuesto formar parte del Spanish Honeynet Project, y al parecer el grupo ha considerado oportuna esta petición lo que ha permitido una rápida expansión del proyecto.

Honeypot VoIP Artemisa

El proyecto Artemisa es un honeypot VoIP/SIP desarrollado en Python. Está diseñado para conectarse a un dominio VoIP de la empresa como backend de agente de usuario para detectar actividad maliciosa en un estado temprano. Aún más, el honeypot puede jugar un papel importante en el ajuste de las políticas de seguridad del dominio donde se ha desplegado.

Implicaciones legales de una Honeynet, la polémica

Ciertamente existe gran cantidad de información en la red sobre posibles implicaciones legales de una honeynet. Los temas legales, son temas de los que desconozco muchas cosas, que no me interesan en absoluto pero que como a todo el mundo me preocupan y siento la obligación de profundizar en ello por sus posibles consecuencias.

En el anterior post sobre Implicaciones legales de una Honeynet, tal vez uno de los puntos más polémicos es el de la privacidad de los datos. SirLouen nos comenta:

"Es curioso este tema.

De hecho creo que no deberíamos de tener ni casa ni hogar, no vaya a ser que un ladrón entre a robar y se le caiga el DNI o el Móvil sin querer y estemos violando su privacidad :)"

VoIP Honey website revamped

Es para nosotros un gran placer anunciar que el proyecto VoIP Honey dispone de un nuevo sitio web. Nada especial, aunque no obstante es el punto central de toda la información disponible sobre el proyecto.

El sitio web nos ofrece información sobre el acceso a el estado actual del proyecto además de toda la documentación disponible actualizada, feeds RSS sobre las evoluciones del proyecto, listas de correo, trackers y foros de soporte.

ATENCIÓN: El proyecto VoIP Honey está en un estado inicial muy básico y tan solo se aconseja usarlo para probar el comportamiento del honeywall en entornos de red estrictamente controlados sin conexión directa a Internet (por ejemplo máquinas virtuales), cuando esto sea posible tenga por seguro que nosotros seremos los primeros en hacerlo asumiendo este riesgo. Debe tener en cuenta que operar un honeypot puede tener implicaciones legales en algunos países.

Implicaciones legales de una Honeynet

Una honeynet nos ayuda a proteger una red corporativa, analizar los ataques que recibimos, en definitiva los estudios de intrusión que podemos realizar tienen un finalidad educacional y permiten evitar ataques similares estudiando a los atacantes.

No obstante debemos tener en cuenta que el hecho de tener una honeynet funcionando puede tener implicaciones legales, por tanto debemos ir con mucho cuidado en ese aspecto. Hay que tener en cuenta que una honeynet o mejor dicho un honeypot tiene implicaciones legales. Los problemas principales que pueden acarrear estos sistemas incluyen complicidad, protección de datos y responsabilidades por cualquier daño causado desde el honeypot.

Dicho esto, hay que tener siempre presente que la honeynet (con todos sus elementos incluyendo el honeypot) debe estar muy bien limitada y debe restringirse las acciones que pueden realizarse desde la misma con la finalidad de evitar daños a otras redes.

VoIP Honeywall

Un honeywall se encarga de filtrar y analizar el tráfico de red y es una parte fundamental de una HoneyNet. Generalmente se trata de un servidor dedicado a dicha tarea pero también podría implementarse en una máquina virtual o bien como un proceso aparte escuchando en una IP concreta.

En el caso de una red VoIP implementada usando el protocolo SIP, un honeywall debe centrarse en analizar el tráfico SIP filtrando los paquetes según nuestra configuración (la más común suele ser UDP sobre el puerto 5060) aunque también es posible usar TCP y TLS. Algo de la que ya Saghul, gurú de la seguridad en VoIP seguramente ya conocido por muchos, ha hablado en varias ocasiones.

Tal vez la forma más visual de ver la operación de un honeywall es situándolo en un diagrama:

VoIP honey en Sourceforge

For non-spanish speakers, please see an english version below.

Estamos contentos de anunciar que tenemos nombre y página del proyecto en Sourceforge para VoIPhoney, este es el primer pequeño pasito hasta que subamos una versión aceptable al repositorio.

Algunos compañeros se han ofrecido a colaborar y esperamos que más gente se unirá pronto. Así que si te consideras un experimentado / aficionado / apasionado desarrollador en C/C++, amas la VoIP, la seguridad e investigación es un buen momento para unirte a este proyecto.

Todo el código y documentación se han generado en inglés, así damos una mayor posibilidad de ampliar el proyecto y también practicamos un poco. Guiño

Here we go, translation for english speakers:

En un Honeypot, ¿emular o recolectar?

Este es uno de los principales problemas con los que me he encontrado (un poco tarde por cierto) a la hora de crear un honeypot VoIP. Y el problema ya hecho que ahora llege a un punto muerto, la idea inicial de emular un proxy SIP (stateless) queda corto de cara a la multitud de soluciones VoIP existentes en el mercado actual. Sería interesante también un Honeypot que emulara el comportamiento de una PBX como Asterisk, o un completo proxy SIP del nivel de Kamailio.

Planificación de un honeypot VoIP

Un Honeypot es un elemento de seguridad en la red que permite emular un conjunto de máquinas y servicios para llamar la atención de un atacante. Esto permitirá que el intruso intente acceder a máquinas inexistentes que emulan servicios en lugar de las máquinas que alojan los servicios reales además de registrar los intentos de acceso y la IP del atacante.

Para crear un honeypot VoIP crearemos falsas máquinas que escucharán en los puertos SIP, IAX ... emulando servicios reales no seguros

Distribuir contenido