GlasBlog

Since one year Glastopf is available for public. There has been a lot of changes during this year. Glastopf has been developed in many aspects and I’ve found many peoples (or they found me) who are very interested in the project and now working together with me. The coming year will bring a lot of changes, amongst others there will be an improvement of the attack classification, integration of a PHP sandbox, refinement of the vulnerability emulator and the development of the web interface. If nothing goes wrong I’ll be also able to write more documentation.

Oder ausgeschrieben: Request for Comments [en:wiki:rfc]: Remote File Inclusion [en:wiki:rfi]. Durch fortschreitender Beschäftigung mit Web Honeypots wurde mir immer bewusster, wie vielen die Definition einiger Standards helfen würde. Aktuell schlagen sich alle Lager mit Fehleranfälligkeit, unklaren Deklarationen und tausend Zeilen Exception Handler herum. Hier weiß ein Angreifer nicht mehr, was er hören will und der Webserver ist überfordert beim parsen kryptischer Anfragen. Kommen wir nun zu meinem Vorschlag:

Titel: Remote File Inclusion Richtlinien
Author: Lukas Rist
Installation: Glastopf Project
Datum: 21. Juli 2009
weiterlesen »

Die Jungs von DShield haben ihren Web Honeypot in den Beta Status gehoben. Viel Arbeit wurde mittlerweile in die Homepage des Projekts gesteckt. Hier kann man nun die wichtigsten Informationen nachschlagen und sich ausführlich mit den Hintergründen beschäftigen. Die einzelne Teams scheinen auch bestrebt aufzuzeigen, wohin das Projekt gehen möchte.
Die aktuelle Version kann man wie immer über svn erhalten.

Wie es scheint, leisten wir gute Arbeit bei der Entwicklung des Glastopfs, die Jungs von DShield haben unsere parseline.py Idee übernommen. Diese hat die Aufgabe, die eintrudelnden Files zu untersuchen und eine Antwort zu formen, die möglichst den Erwartungen des Angreifers entspricht. Sofern wir richtig antworten, bekommen wir vom siegessicheren Angreifer einen Bot, eine Shell oder einen Spreader geschickt.

Update: cdman83, fleißiger Entwickler bei DShield Honeypot, schreibt in seinem Blog über den “RFI Vulnerability Emulator“. Unter anderem wie er verwendet wird und wie man ihn einrichten muss. Außerdem verrät er den geplanten Release Termin der Beta Version: “May the 15th”, ich bin gespannt.

Katsumi (Weblog) hat einen ausführlichen Bericht über den Glastopf und seine Entstehung geschrieben. Weiterhin hat er ein paar Details zur Funktionsweise und dem Webinterface erläutert.
Den lesenswerten Artikel findet man hier.

Mark Hofman hat sich mit dem DShield Web Application Honeypot (Projekt Seite) beschäftig, und beim Aufsetzen fleißig mitgeschrieben. Das Ergebnis hat er in einem Blog Eintrag bei SANS veröffentlicht (Direktlink).
Interessant bei DShields Honeypot ist der zentrale Server, der die Daten aller beteiligten Honeypots sammelt.

Heute wurde die erste Version des DShield (Webpage) Webhoneypots (google code page) eingefroren (Changelog). Es handelt sich dabei um den 0.1 – alpha Code Freeze. Die nächsten Tage wird der Honeypot auf Herz und Nieren überprüft und dann released.

In ;login: “The USENIX Magazine” December 2008, Volume 33, Number 6 (Weitere Informationen) haben Sam Small, Joshua Mason, Ryan MacArthur und Fabian Monrose einen Artikel über Web Honeypots veröffentlicht.
weiterlesen »

Vor knapp 2 Stunden gab es ein Update für DShields Webhoneypot. Unter anderem wurde die Struktur überarbeitet. Die einzelnen Templates teilen sich nun eine Konfiguration. Die vielen kleinen, aber wichtigen Änderungen findet man im Changelog:
weiterlesen »

Die Arbeit an meinem Web Honeypot glastopf geht stetig voran. Um das ganze Projekt zu präsentieren, habe ich eine vorläufige Seite erstellt. Aktuell ist noch nicht viel zu finden, aber Inhalte werden im Laufe des Wochenendes folgen.

Die erste stabile Version von glastopf ist soweit auch fertig. Viele Features fehlen noch, werden aber Stück für Stück in die stabile Version übertragen.

Der interessanteste Teil, die Auswertung der gesammelten Daten, hat jedoch noch kaum Beachtung erhalten. Ich werde jedoch alle Erkentnisse hier veröffentlichen.