You are viewing a single comment's thread from:
RE: Honeypot Cowrie installieren
Oder einfach Cowrie in einem Container laufen lausen, die isoliert, wie eine VM, auf dem PC läuft, aber nur die Resourcen benützt die es auch wirklich braucht oder man erlaubt.
Oder ein BBS aufsetzen auf dem der Hacker, der versucht Shell oder Cmd Befehle auszuführen nichts mit anfangen kann.
Oder ein SSH Server selber aufsetzen mit paar Beschränkungen wie "X11Forwarding no", AllowTcpForwarding no und ChrootDirectory auf einem quasie leeren Ordner (nur bash oder ähnliche minimale Tools rein kopieren die der Attacker mit spielen darf) mit einer hübschen motd wie "Hello World" oder "Welcome to my honey pot, you have just been infected with the Bundestrojaner", worauf das Cute chicks Bild hochgeladen wird.
Container sind noch lange nciht so sicher wie man denkt. War selbst erstaunt, dass ich mit nem bisschen Exploit-Coding bei ner etw. veralteten v4.4 de Kernels rausgekommen bin. Würde allen als lightweight Hypervisor Gvisor emphelen, super Ding, gerade rausgekommen. Sehr resourcensparend weil Docker dann trotzdem cgroups und namespaces umsetzt.
Klar kann man bei veraltetem Kernel/Software über nun bekannte Exploits ausbrechen, dewegen updated man ja. Gibt genauso Schwachstellen bei gängigen Hypverisorn nur ist die Angriffsfläche geringer durch höhere Abstraktion, besonders bei proprietäre Software, und dadurch Exploits seltener aber durchaus vorhanden .
Meltdown zeigte, dass es immer irgendwo (sogar in Hardware) Exploits geben kann, höchste Regel ist daher als Betreiber immer auf seine Systeme aufzupassen und bei 0-day Exploits gleich zu patchen oder bei hohem Risiko offline nehmen.
Ich würde zumindest meinen Corwie Server zusätzlich absichern, z.B. nicht erlauben gedownloadete Scripts/Binaries auszuführen.
Aber ich kann ja nicht KVM-Server immer neustarten wenn ich will und es kann auch mal nicht schnell genug sein, z.B wenn ich im Niemandsland ohne Netz bin und ein Zero-Day-Exploit released.