15 Dicembre 2021

Dabbicco HoneyPot

Cosa è un HoneyPot?

Un HoneyPot (letteralmente “vasetto di miele”) è un Server Trappola posizionato in rete con molteplici servizi volontariamente vulnerabili e con lo scopo di attrarre attacchi informatici.

L’indirizzo dell’attaccante che avrà mosso un’azione ostile verso l’HoneyPot sarà catalogato ed in base alla gravità dell’attacco verrà bloccato per un periodo di tempo.Lo scopo di un HoneyPot è proprio quello di farsi attaccare ed assegnare una reputazione all’indirizzo IP da cui l’attacco è pervenuto con il fine di bloccarlo preventivamente su tutti gli apparati che beneficiano del servizio-esca.

Come funziona?

  1. Un attaccante attacca un qualsiasi HoneyPot collocato in uno dei 13 paesi mondiali ove attualmente si trova

2. L’HoneyPot, un server con molteplici servizi volontariamente vulnerabili, comunica l’indirizzo di provenineza dell’attacco ad un gestore globale che si occupa di catalogarne la gravità e bloccare l’indirizzo su tutti i Firewall (e quindi a monte) dei Clienti che hanno aderito al programma. Il gestore globale, inoltre, effettua delle valutazioni incrociando i dati anche con altri servizi pubblici reputazionali.

Le Fonti

Il catalogo globale che viene ripropagato sui firewall e che blocca preventivamente gli indirizzi IP, viene popolato da:

FonteAgg.Descrizione
Dabbicco HoneyPotOgni ora13 Server Trappola volontariamente attaccabili sparsi in 13 nazioni differenti.
Dabbicco GlobalCat DMOgni oraOltre 20 mail server reali, in grado di raccogliere determinati attacchi sia sui servizi di posta, sia sui servizi web
Dabbicco GlobalCat WWWOgni oraOltre 30 server reali in grado di raccogliere determinati attacchi sui servizi web
Fonte SegretaOgni 2hFonte NON Pubblica
Fonte SegretaOgni 6hFonte non pubblica in grado di raccogliere botnet e proxy con bassa reputazione e da cui sono partiti attacchi.
Fonte SegretaOgni 6hFonte non pubblica che, tramite tecnologie di analisi con Intelligenza Artificiale, raccoglie un elenco di IP a bassa reputazione.

La somma degli IP blacklistati dal sistema Dabbicco, a dicembre 2021, è di oltre 35.000 indirizzi. Dalle ultime statistiche elaborate (sempre dicembre 2021), oltre il 70% degli attacchi che in media riceve una rete pubblicamente esposta può essere evitato alla fonte in quanto presente in una di queste liste.

In questo articolo abbiamo provato a fare un esperimento! Clicca qui

Sonde attive

Allo stato attuale sono attive sonde per analizzare:

  • attacchi a protocolli industriali
  • attacchi a dispositivi mobili, smartphone e IoT
  • attacchi a mailserver
  • attacchi a webserver
  • attacchi a fileserver
  • attacchi a server FTP
  • attacchi a server SSH/Telnet/RDP
  • attacchi basati su CVE note
  • attacchi a livello applicativo con remote code execution
  • numerose altre sonde