Hace unos meses escribí que hay honeypots (o trampas para hackers) que se pueden activar cuando determinada actividad suceda. Por ejemplo cuando abran un archivo de word o cuando sigan un link.
Pero en la vida real igual hay unos sistemas completos que simulan estar activos y tienen la función de atraer a un atacante y distraerlo mientras identificas quien es y lo detectas.
Yo ya había usado el honeypot de Rapid7 el que viene con IDR pero es de paga, muy básico y sorprendentemente muy parecido al que voy a recomendar ja.
Pues resulta que Deutsche Telekom se dio a la tarea de juntar muchas de las plataformas de honeypots en un sistema e hizo el tpot. Tiene todos estos honeypots:
- adbhoney,
- ciscoasa,
- conpot,
- cowrie,
- dionaea,
- elasticpot,
- glastopf,
- glutton,
- heralding,
- honeytrap,
- mailoney,
- medpot,
- rdpy,
- snare,
- tanner
Por la cantidad de herramientas que tiene está impresionante que sea open source.
Tiene por ejemplo un dashboard de Kibana
Si han leido mi blog antes saben que siempre pienso que hay que asumir que alguien te va a poder hackear, pero es importante saber que eso paso y limitar el impacto del ataque. Soy fan de los honeypots, DLP, IDR, etc.
