Crie um honeypot completo em seu PC - (Iscas para Hackers) ~ Neo Hacker Group

A técnica de Honeypot é um tanto antiga, porem até hoje é muito utilizada para captura de hackers mal intencionados.Atualmente o Governo americano utiliza esta técnicas em redes Wireless para estudar o comportamento destes “Hackers”
O conceito da técnica é muito simples:
Voce simula uma vulnerabilidade, como uma isca para os “Hackers” se conectarem. Uma ves conectado voce obtém o IP e seus comandos.
Vamos criar um Honeypot com a versão free do Insecuritynet 3.X (Você não precisa comprar a licença)

1-) Caso você não tenha o programa, baixe no site da empresa que desenvolve o software:
Entre em: Produtos -> Insecuritynet 3.X
Instale o programa.

2-) Para navegar pelo software utilize as Setas e o Enter ( O programa roda em modo texto )
Entre em:
Iniciar -> Servidores -> Honeypots

O software possui três opções ( FTP, Telnet, Shell )
Vamos utilizar a opção TELNET (escolha telnet)

Automaticamente irá abrir o servidor honeypot.

3-) O Honeypot irá simular um serviço de telnet em seu computador, voce pode escolher um nome para seu computador fictício.
Digite o nome de usuário (Não utilize espaços)

4-) Dentro do seu computador fictício irá existir um falso arquivo chamado: “login_ftp.txt”
Voce poderá colocar algum dado dentro deste arquivo, claro que você não irá colocar um dado verdadeiro mas sim qualquer coisa que voce ache necessário para lubridiar nosso “Hacker Invasor”

5-) Pronto seu Honeypot está criado, sua porta 23 ficará aberta para o Honeypot aguardando algum “Invasor”. Caso precise, adicione permissão ao seu firewall.

6-) Antes que alguém entre em seu honeypot você pode testa-lo.
Abra seu prompt de comando e digite:
telnet
ou
telnet 127.0.0.1

Tecle enter
Agora voce esta agindo como se fosse o invasor que descobriu uma porta aberta em seu computador.

Observe que o “suposto serviço” de telnet pediu uma senha, não se preocupe ele esta configurado para aceitar qualquer senha.
Agora temos uma SHELL em nossa mão =)

Vamos listar o conteúdo do computador fictício:
Comando DIR

Vamos olhar o conteúdo do arquivo “login_ftp.txt”
Type login_ftp.txt

Entrar no Desktop:
Cd desktop
DIR

Observe que o sistema é idêntico à um computador Real.

6-) Agora vem a parte mais interessante:
Voce pode monitorar tudo o que o “suposto Invasor” faz.
Obrserve no Honeypot (servidor)

-----

Temos o IP da “Hacker Invasor”
Em cinza temos os diretórios em que o “hacker Invasor” entrou e o que ele viu.
Em verde temos os comandos que ele executou
Em azul temos o conteúdo falso que voce criou para ele ver ( caso ele veja)

Agora volte ao Insecuritynet
Tecle “I” o programa voltará ao inicio.
Entre em “logs”

Automaticamente a pasta de logs é aberta.

Abra o arquivo Honeypots.log

qui 10/06/2010 14:45:47 IP:127.0.0.1
cmd:dir
cmd:type login_ftp.txt
cmd:cd Desktop
cmd:dir

Observe que temos todos os dados da conexão, com um detalhe Importantíssimo (A hora exata da conexão) Se voce tem o IP e a Hora que ele conectou e a pessoa realmente esta tentando te invadir, caso o problema torne-se judicial, por lei o provedor é obrigado a dizer de onde veio a conexão para as autoridades legais. Mesmo usando Jumps, hoje é complicado se esconder mesmo atrás de 50 maquinas, também neste caso já não é uma questão técnica, mas burocrática e investigativa.