Come attirare un hacker?

1

Sospetto che qualcuno non autorizzato stia tentando di o già nella rete cercando di ottenere informazioni su alcuni dati che abbiamo. Come posso attirare questa persona su un "Honeypot" e raccogliere informazioni mentre sono connesse alla rete, e registrare le intrusioni per perseguirle meglio per il loro operato.

    
posta N3R0 25.01.2013 - 11:44
fonte

3 risposte

5

Se sono già nella tua rete, l'aggiunta di un honeypot potrebbe non essere efficace - non sai cosa già sanno della tua rete.

  • Conoscono le gamme IP per risorse umane, finanza, sistemi di archiviazione dati, ecc.?
  • Hanno accesso al tuo sistema di gestione delle modifiche e individueranno una nuova aggiunta alla rete?
  • Hanno già messo in backdoor i server con i dati che vogliono?
  • Hanno già le informazioni di cui hanno bisogno?

In questa fase, se i dati sono importanti, potresti trovare più utile modificare l'accesso e rimuoverli dalla rete, piuttosto che cercare di rintracciarli.

In alternativa, se sai dove sono questi dati importanti, non hai bisogno di un honeypot: ciò di cui hai bisogno è di monitorare da vicino tutte le attività e vedere se vengono effettuate connessioni insolite.

Che cosa ha ispirato i tuoi sospetti? Se vedesse qualcosa di strano nei tuoi log di rete, sarebbe un buon punto di partenza.

Generalmente, gli honeypot sono utili prima di un'intrusione, poiché interrompono o rallentano un intruso prima che raggiungano i tuoi dati, offrendoti la possibilità di identificarli o bloccarli.

    
risposta data 25.01.2013 - 12:53
fonte
0

"Luering" è un'attività che potrebbe richiedere una consulenza legale.

L'impostazione dei trap è semplice, ma potresti voler iniziare o migliorare le procedure di registrazione per aiutare le forze dell'ordine a costruire una buona pista di controllo.

    
risposta data 25.01.2013 - 14:09
fonte
0

Ho spesso pensato di farlo per la grande quantità di tentativi falliti di accedere al mio server SSH; Non l'ho mai fatto ma potresti fare qualcosa del genere:

  • Dopo che la quantità "x" di tentativi di accesso non riusciti da "IP" avvia l'inoltro dei pacchetti di attaccanti al nuovo server (server virtuale;)) e gli dà automaticamente accesso (ad esempio un honeypot).

Non lo faccio perché non serve a nulla; pensano di essere entrati quando in realtà li ho lasciati entrare, e per di più una volta scoperto che è un vaso di miele, hai appena schioccato il nido dei calabroni.

    
risposta data 27.01.2013 - 05:05
fonte

Leggi altre domande sui tag