Projeto HoneypotBR lança livro

O titulo ja diz tudo: "Honeypots : A Arte de iludir hackers"

haha... o que os negos nao fazem pra ganhar dinheiro neh. Primeiro que nao se iludi um hacker mesmo... o que eles vao iludir sao os script kiddies que pegam exploits em sites por aí e ficando testando em tudo quanto eh server. Eu acho esse projeto inutil (o do .br) pq eles nao estao fazendo honeypots de alto nivel (que mexe com kernel e tal) , so estao simulando uns daemonszinhos... nao tem utilidade pq eles so vao descobrir o obvio, ou seja , exploits publicos sendo testados... nada demais...

Esse Antonio Marcelo eh daqueles que faz tudo por fama e dinheiro. fazer o q neh,.

Realmente, o projeto oficial Honeypot de Lance Spitzner acumulou 2 anos de experiências com seu grupo de profissionais , com ferramentas inovadoras (como sebek) e técnicas avançadas para então escrever seu primeiro livro. O honeypot-BR passou a carroça na frente dos bois.
Sou totalmente a favor de um projeto desse nível no Brasil, para o melhor 'mapeamento' do estilo e motivos de nossos script kiddies, mas nunca vi um artigo ou resultado concreto. Os emuladores de daemons realmente são lamentáveis.

Acho que o colega não conhecedor profundo sobre o assunto em questão...

Aconselho vc aprender mais..

Desde criar honeypots de média interatividade aos de alta interatividade...

Lembrando que o objetivo é justamente aumentar o perímetro de segurança,,e que 90% dos ataques são provenientes de sckipt kiddies, iguais a você seu mala....

O projeto inclusive já é referenciado em diversos sites americanos, inclusive comentado pelo Lance Spitzner

Se o homem das honeynets elogiou o trabalho, então seu comentário desce via privada...

Pq vcs não entram para o grupo e aperfeiçoam e criam aplicações....

Criticar é fácil... quero ver fazer...

Seja lá livro, seja lá honeypots....

Lembrando que o livro é básico para iniciantes que desejam aprender sobre as ferramentas de honeypots....

flames ---> /dev/null

Bom, se vocês conhecessem melhor os objetivos do nosso projeto talvez até ajudariam. Todos nós sabemos que começamos com uma baixa interatividade, e isso é óbvio : experiência. Nosso objetivo é sim fazer outros softwares ENVOLVENDO alta interatividade, lembrando ainda que utilizando outros softwares, vários daqui já trabalharam com alta interatividade. Ressalto ainda que papers foram
feitos sim, e como escrevi anteriormente, tudo tem um começo. Enfim, se pensam em malhar o projeto, bem-vindos pois isso é muito comum ! Porém se têm interesse em estudar e contribuir, estamos sempre de portas abertas, seja para novas idéias, seja para novos membros, não somos uma equipe fechada. Espero ter esclarecido algo, e se alguem realmente tem idéias mais interessantes, por que não contribuir ? Se não ajuda, não atrapalha.

Realmente o nosso colega acima falou uma grande bobagem ... Eu utilizando o honeyperl aqui (com uma pequena modificacao no fakeecho), consegui
descobrir vaaarias maquinas com virus/trojans na nossa rede (mais de 15.000 usuarios ao todo) ...
Outra coisa que tenho detectado muito, sao scans (a procura de servidores vulneraveis) e tentativas de mass-exploit. Nao sei se voce ja trabalhou em uma grande rede (ou se ao menos trabalha), mas esse tipo de deteccao eh importantissimA para qualquer empresa!
Nao digo que os nossos "pots" possam pegar "hackers" (falo hacker no sentido original do termo), mas tb, qualquer outro software existente nao pega eles... ( O unico modo eh utilizando servidores reaIS - que eles tb descobrem , nao se iluda) :)

*lembrando que mais de 99% dos ataques em uma rede sao feito por virus/trojans/script kiddies/

[]`s

Daniel B. Cid

Está certo Daniel. Ainda vale lembrar que os fakes estão pegando coisas interessantíssimas. Eu queria ver esse pessoal que malha o projeto ajudando :) . Seria muito interessante, mas enquanto isso, continuamos nós, certo ? Bom, vou deixar essa discussão de lado e espero que a visão do projeto mude. Abraços, e progresso para Honeypot-BR.

Adriano Carvalho.
Desenvolvedor do projeto Honeypot-BR
www.honeypot.com.br

Falem mal, mas falem de mim,

O que eu acho engraçado em certos indivíduos é criticar as idéias alheias. Realmente achei curioso o comentário do nosso amigo/a bub (será que ele tem nome ?), bom queria apenas dizer umas coisas para este senhor ou senhora :

a) Não sei o que você quis dizer, fama e dinheiro. Eu faço as coisas por prazer, não tenho uma ferraria na minha porta enm ap em Miami, o que eu faço é de minha livre e espontânea vontade. Sabe eu estou nesta estrada há 17 anos e a maioria das coisas que fiz até hoje, nunca me preocupei se ia ficar famoso ou não. Já que meus livros vendem, devem ser bons, já que muitos já estão na terceira edição.

b) Se você achou o programa ruim, faz um melhor, por favor. Acho que cirticar é facil, adoro críticas, graças a elas o projeto já está sendo reconhecdio lá fora. É lamentável.

Eu sinto muita pena de você, é com pessoas como você que nosso país está assim, a nossa sociedade. Faça algo, procure ajudar a alguém, se você sabe muito, procure ensinar a quem precisa. Gaste sua massa encefálica em algo produtivo.

Pense nisso...

Atenciosamente

Antonio Marcelo

Olá amigos,

Antonio Marcelo e Adriano, não percam tempo, respondendo a estas criticas, a vida é assim, e na área de tecnologia muito mais, o importante é que o projeto está indo e vocês está se realizando no que se propuseram e no que tem prazer em fazer, seja escrevendo os livros, trabalhando em projetos, isto é o que importa.
A divergência de opiniões são os pilares da democracia, não se incomodem com pessoas que sempre estão de baixo astral, os adeptos da teoria do caos que acham que tudo vai dar errado.
Imaginem que por ai existem muitas pessoas que aprendem muito seja com os livros, seja lendo sobre o projeto. Enfim, lembre-se de uma frase sempre "O bem se paga com o bem e o mal com o desprezo".
Parabéns pelo projeto e por uma iniciativa tão importante que visa cada vez mais melhorar o software livre no Brasil e os seus livros são legais, tive a oportunidade de ler alguns e sempre acompanho os seus tutoriais na revista geek, graças a eles aprendi um pouco sobre sockets.
Enfim, mãos a obra, vamos em frente e deixem as criticas, o bub teve um momento infeliz e tenho certeza que faltou a ele uma maneira de se expressar melhor.
Bem, e o projeto do freerp? Estou sempre por lá, esperando começar.

Um abraço,

Pierre - Cuiabá

Caro integrantes o Honeypot.com.br

Não se fiquem estressados devido a essas figuras que criticam e não colaboram... isto faz parte...

A resposta é simples...
Falar é fácil, fazer e ter peito para desenvolver e escrever um livro é que são elas.

Voltemos aos nossos afazeres, já que aqui ninguém vive de doações, nem são bancados pelos pais.

Em nosso tempo livre, colaboramos no que dá para o projeto..

Um abraço a todos

Marcos Pitanga
Esp. Network Security
CCNA / CCNP / CCAI - CISCO
Linux LPI Certified
Linux Clusters Specialist

cada um tem uma visão . Se ele acha isso o problema é totalmente dele .
ele nao deve achar q sabe tudo e pode contra todos . Sinceramente , maluco se vc nao pode ajudar sobram duas saidas pra vc
ou fica quieto na sua
ou senta e presta atencao pra aprender (o que eu faço)
participo da lista porem nao dou sinal de vida pq nao posso .. nao tenho conhecimento pra tal mas participo com intuito de aprender
tirando isso eu apoio sim e concordo plenamente com o antonio
"Falem mal , mas falem de mim"

Esse Pierre é um puxa saco... nossa senhora !

E esse Marcos Pitanga deve ser um bobo:

"Marcos Pitanga
Esp. Network Security
CCNA / CCNP / CCAI - CISCO
Linux LPI Certified
Linux Clusters Specialist"

Pra que isso ? Isso é para que alguem tenha respeito ou para se impor ?
É igual aqueles cara que se sabem fazer algo ficam toda hora falando que sabe. No estilo:
Vc pergunta sobre a familia dele e ele ja arruma um jeito de falar que sabe sobre tal coisa e manja de outra.

"Linux Clusters Specialist"

Como disse um poeta:
"Especialista é aquela pessoa que sabe muito de muito pouco."

Serio que nao entendo pra que isso. Nao poderia ter colocado simplesmente:

Abraços

Marcos Pitanga

?

Nao... o ego é maior...

_|_ para esse tipo de pessoa.

ps; tem gente que se coloca-se especializaçoes em cada mensagem que postasse iria ocupar uma pagina inteira.

Baba,

Não é questão de ser puxa-saco, é questão de reconhecer o trabalho alheio, para você é muito fácil, conectar na internet e criticar.
Seria mais fácil usar o seu tempo para colaborar com a comunidade ao invés de ficar ofendendo as pessoas.

Pierre

Nao posso definitivamente concordar com esse revanchismo confrangedor.
Senao vejamos. O HoneyPerl usa o arquivo de regras baseado no SNORT, o que eu considero um ponto positivo e negativo.
Positivo- Trava lammers e Crackers
Negativo- Nao trava hackers.
Porque Razao, senhor Critico?
Ok, vejamos um exemplo do WebRules:
phf=Ataque WEB ! Tentativa de exploracao de bug phf
ps=Ataque WEB ! Tentativa de execucao de comando
wget=Ataque WEB ! Tentativa de execucao de comando
/usr/bin/id=Ataque WEB ! Tentativa de execucao de comando
/bin/echo=Ataque WEB ! Tentativa de execucao de comando
/bin/kill=Ataque WEB ! Tentativa de execucao de comando

Um implemento mesquinho e atrasado, porque existem N formas de se representar caracteres como barra transversal ou pipe.
Se realmente voces sao pessoas que andam algum tempo nisso sabem que o WeBRules do Snort(os mais completos) possuem esquemas de se detectar Buffer overflows e mesmo ataques de Cross site Scripting, que sao passives de serem exploitados. Por exemplo este arquivo:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"XSS Attack"; flow:to_server,established;
content:"\">alert('ola')
Ele pode detectar o ataque.
Mas e se for com uma tipo:
http://www.honey.com/vul.cfm?search=">alert('ola')
Ele nao detecta.
Porque razao senhor Critico?
Simples: CASE SENSITIVISMO . Se no arquivo de regras(ou do proprio honeypot) nao for setado o filtering de strings case sensitivas isto pode representar um problema, por exemplo:
/usr/bin/ e /USR/BIN sao diferentes.
O que pode ser resolvido facilmente no perl usando \L para substituir todo o texto para letras minusculas.
Agora tente substituir assim :
//usr//bin/
ou /usr/bin//
Existem servidores que aceitam isto
E quanto aos null bytes ?
por exemplo:
%00/usr%00/bin

Bem por ultimo mesmo, eu aconselharia a olharem pelos WeBRules, embora ainda nao tive tempo de dar uma olhadinha nos modulos criados por vossa pessoa.
Agora nao adianta andar a dizer que ando nisto muito tempo que sou especialista em x e em y. Isso nao prova erros. Tu podes ser quem quiseres, mas apenas aceite as criticas, afinal nao podes efectivamente esperar que tudo o que seja dito tenha de ser positivo.
Terminando.
Acho esse honeypot decepcionante. Trabalhem mais e se quiserem eu posso dar um jeito.

Nao posso definitivamente concordar com esse revanchismo confrangedor.
Senao vejamos. O HoneyPerl usa o arquivo de regras baseado no SNORT, o que eu considero um ponto positivo e negativo.
Positivo- Trava lammers e Crackers
Negativo- Nao trava hackers.
Porque Razao, senhor Critico?
Ok, vejamos um exemplo do WebRules:
phf=Ataque WEB ! Tentativa de exploracao de bug phf
ps=Ataque WEB ! Tentativa de execucao de comando
wget=Ataque WEB ! Tentativa de execucao de comando
/usr/bin/id=Ataque WEB ! Tentativa de execucao de comando
/bin/echo=Ataque WEB ! Tentativa de execucao de comando
/bin/kill=Ataque WEB ! Tentativa de execucao de comando

Um implemento mesquinho e atrasado, porque existem N formas de se representar caracteres como barra transversal ou pipe.
Se realmente voces sao pessoas que andam algum tempo nisso sabem que o WeBRules do Snort(os mais completos) possuem esquemas de se detectar Buffer overflows e mesmo ataques de Cross site Scripting, que sao passives de serem exploitados. Por exemplo este arquivo:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"XSS Attack"; flow:to_server,established;
content:"\">alert('ola')
Ele pode detectar o ataque:
www.honey.com/vul.cfm?search="(xss com letras minusculas)
Mas e se for com uma tipo:
www.honey.com/vul.cfm?search="(xss com letras maiusculas)
Ele nao detecta.
Porque razao senhor Critico?
Simples: CASE SENSITIVISMO . Se no arquivo de regras(ou do proprio honeypot) nao for setado o filtering de strings case sensitivas isto pode representar um problema, por exemplo:
/usr/bin/ e /USR/BIN sao diferentes.
O que pode ser resolvido facilmente no perl usando \L para substituir todo o texto para letras minusculas.
Agora tente substituir assim :
//usr//bin/
ou /usr/bin//
Existem servidores que aceitam isto
E quanto aos null bytes ?
por exemplo:
%00/usr%00/bin

Bem por ultimo mesmo, eu aconselharia a olharem pelos WeBRules, embora ainda nao tive tempo de dar uma olhadinha nos modulos criados por vossa pessoa.
Agora nao adianta andar a dizer que ando nisto muito tempo que sou especialista em x e em y. Isso nao prova erros. Tu podes ser quem quiseres, mas apenas aceite as criticas, afinal nao podes efectivamente esperar que tudo o que seja dito tenha de ser positivo.
Terminando.
Acho esse honeypot decepcionante. Trabalhem mais e se quiserem eu posso dar um jeito.

Voce nao tem nocao do que esta falando, sr critico. O projeto eh um honeypot, nao um IDS ... Sabe a diferenca dos dois ? Outra coisa,
o honeypot detecta QUALQUER conexao ao servidor, nao apenas essas que estao na lista (baseada no SNORT)... Essas regras sao apenas para facilitar o entendimento ... Outra coisa, nao sei se voce conhece o conceito de honeypot, mas qualquer acesso a ele eh UNAUTORIZADO por padrao (a nao ser que se prove o contrario). Nao importa se voce poe BIN ou BiN ou o qualquer outra coisa, que o seu ACESSo vai ser detectado ...

no comments... decepcionante seu comentario (pense antes de comentar)

Daniel B. Cid

Tadinho Sr. Baba... lhe incomodei...
oh que pena então...
lamento por telo afetado, ali eu copiei minha assinatura padrão... não se ache rebaixado por isso.

Quando vc estudar sobre clusters verá que não é tão especifico assim...

tsc, tsc...

Como pode perder tempo criticando uma assinatura..

abs

Marcos Pitanga
www.multipinguim.underlinux.com.br

Tem toda razao Daniel.
Como eu mencionei anteriormente, podias tornar o WebRules mais abrangente mesmo que seja apenas para exemplificar

Tenho uma visão um pouco simplista da situação com uma abrangência pouco peculiar. É sabido que existem muitos projetos que envolvem o Linux e que por isso este sistema operacional ganhou ao longo dos últimos anos ganhou notoriedade. Se todos nós queremos que o Linux ganhe espaço tanto em empresas quanto desktops, devemos sim, aplaudir a atitude das pessoas não apenas relacionadas com o honeypot, mas com todos aqueles que se interessam em tornar nossa filosofia em algo mais acessível e seguro à sociedade. Particularmente conheço pouco sobre o honeypot, mas sei que é um projeto válido e que merece todo o apoio. Como conseguiremos convencer as pessoas se não pudermos fazê-lo como comunidade.

Se o pensamento de Linus Torvalds fosse tão pequeno quanto o dessas pessoas, com certeza estaríamos mais cativos do monopólio.

Abraços.

Caros companheiros,

Sinceramente nao aguento mais ler esta discussão. O projeto vai bem, obrigado, porém, sugiro mais : quem realmente diz que estamos errados, por favor mostre o outro caminho, já que sabe mais ! Nunca falamos que nao aceitamos críticas, pelo contrário, leio diariamente na lista de emails "Críticas são bem-vindas", portanto, mostrem o erro, mas também opinem, ajudem, só nao fiquem de bafafá sem querer ajudar. É incrível como pessoas da propria comunidade conseguem criticar e nao ajudar. Depois perguntam pq o mundo open nao cresce. Ou ajuda ou nao atrapalha.

Adriano.

Ola amigos,

Realmente precisamos da opinião do critico para animar esta discussão. Afinal para ele o IDS e o Honeypot são as mesmas coisas.
Não aguento de rir, toda vez que vejo o poster dele.

um abraço a todos

SR critico continue com suas criticas construtivas.

Pierre

cacete ..
TA BOM, TA BOM ...
ACABOOOOUUUU

vamos parar com isso ai na boa ..
ja encheu