PDA

Bekijk Volledige Versie : honeypots gebruiken tegen spam



Herr_Qn
19/10/05, 00:12
Olla,

Ik vroeg me af hoeveel van jullie met honeypots werken mbt spam en security issues, soms moet je om te leren wat er mis gaat het maar gewoon laten gebeuren in een gecontroleerde omgeving...

In de tijd dat wij nog onze zelf geprogde bayesian spam filter (http://en.wikipedia.org/wiki/Bayesian_filtering) gebruikten weet ik nog wel dat we een spam honeypot op hadden gezet om het systeem te trainen met false negatives.

In wezen was dat niet anders dan een dedicated mail adres waarop we bewust spam lieten binnen komen (dat is makkelijk te realiseren zoals jullie zullen begrijpen ;-)

Op die manier hadden we dus een heleboel spam, en non-spam (die hadden we zelf nog wel in onze mailbox) om het algoritme mee te trainen.
Dat werkte eigenlijk verbazend goed, de eerlijkheid gebied wel te zeggen dat dat voor een belangrijk deel kwam omdat onze klanten voornamelijk nederlands zijn en spam veelal engels is.

Inmiddels werken we met een standaard opensource oplossing voor spam filtering omdat die ook blacklists gebruikt ed waardoor die iets accurater is...maar toch was het erg interessant om mee bezig te zijn.

Natuurlijk zijn ook voor secutity doeleinden (intrusion detection) honeypot constructies te bedenken die erg leerzaam kunnen zijn, wij hebben daar nooit actief iets mee gedaan, alleen met interesse bestaande projecten gevolgt...

wat interessante links:
www.projecthoneypot.org
www.honeynet.org
www.honeypots.net

Ben benieuwd naar jullie ervaringen / verhalen ;-)

Digiover
19/10/05, 10:27
Origineel geplaatst door Herr_Qn
Natuurlijk zijn ook voor secutity doeleinden (intrusion detection) honeypot constructies te bedenken die erg leerzaam kunnen zijn, wij hebben daar nooit actief iets mee gedaan, alleen met interesse bestaande projecten gevolgt...

Idem.
Voor aanmeldingen op websites maak ik altijd gebruik van een spamtrap e-mailadres, zodat ik kan herleiden of ik later op dat adres gespammed wordt. Meestal is het e-mailadres iets in de zin van:
domein.com-datum@example.org(of omgekeerd).
Maar ik weet uit eigen ervaring en de ervaringen van bekenden dat je erg veel tijd kwijt bent aan spamtraps en honeypots, iets wat ik momenteel niet (over) heb. Daarom volg ik liever sites zoals isc.sans.org/dshield.org, honeynet.org, discussies op Usenet en fora.

mind
19/10/05, 12:47
Origineel geplaatst door Digiover


Idem.
Voor aanmeldingen op websites maak ik altijd gebruik van een spamtrap e-mailadres, zodat ik kan herleiden of ik later op dat adres gespammed wordt. Meestal is het e-mailadres iets in de zin van:(of omgekeerd).
Maar ik weet uit eigen ervaring en de ervaringen van bekenden dat je erg veel tijd kwijt bent aan spamtraps en honeypots, iets wat ik momenteel niet (over) heb. Daarom volg ik liever sites zoals isc.sans.org/dshield.org, honeynet.org, discussies op Usenet en fora.

Hier een soortgelijke constructie aleen heb ik er een subdomain aan gewaagd. Iets in de zin van www-domain-tld@1.domain.tld als je dan op een gegevenmoment overspoeld wordt met spam kan je eenvoudig door het subdomain uit het dns te verwijderen de stroom weer stil zetten. Doe je het op je eigen domain dan blijft het verkeer naar de mailserver lopen.
Testen met honeypots is natuurlijk prima, let er alleen op dat aan het einde van de testperiode de schade weer tot een minimum beperkt kan worden.

mvgr,

Kees

Digiover
21/10/05, 01:08
Origineel geplaatst door mind
Testen met honeypots is natuurlijk prima, let er alleen op dat aan het einde van de testperiode de schade weer tot een minimum beperkt kan worden.

Daarom doe je dit in een gesloten netwerk ;)
Je laat een (Windows) PC geinfecteerd raken met "mallware", snifft het traffic om te zien welk bestand (of datastream zoals commando's) het mallware waar vandaan ophaalt. De data die na het installeren van het nieuwe bestand verstuurd wordt kan je dan tegen houden. Veelal is dit een spamrun of (D)DoS actie.

Zoek de archieven van nl.internet.misbruik er maar eens op na, er wordt veel onderzoek naar gedaan.