Aller au contenu

Expérimentation d’un honeypot

Voici un article publié dans le site web Securisa.com le 22 octobre 2004:

Nous vous avons entretenu précédemment sur les honeypots. Désirant vous en présenter d’avantage sur les honeypots, nous avons obtenu une copie de BackOfficer Friendly et nous l’avons soumis à un banc d’essais durant cinq jours où il fût très occupé. Voici comment c’est présenté notre expérimentation.

D’abord, le produit a été installé sur un serveur ayant Windows 2000 SP2. Le fait de ne pas appliquer le dernier Service Pack a pour but de laisser croire aux pirates que le serveur n’est pas bien entretenu. Bon truc, n’est-ce pas?

À partir du produit, nous avons activé la simulation des services HTTP, FTP, SMTP, POP3, IMAP2 et Telnet et l’infection du serveur avec Back Orifice. L’appât était parfait (un peu trop même). Il ne restait qu’attendre les fauves.

Ces derniers ne se sont pas fait attendre longtemps; le serveur a subi beaucoup d’attaques durant les cinq journées. Le nombre de requêtes contre ce dernier était au nombre de 2632. Les services qui étaient les plus sollicités étaient Telnet et HTTP. Plusieurs requêtes reçus à répétition dans la même séquence laissent croire que les pirates ont utilisés des analyseurs de ports (Ports Scanner en anglais).

Par contre, deux pirates sérieux se sont acharnés sur notre serveur. Le nombre élevé de tentatives de leur part nous ont démontré leur patience à vouloir réussir. Malheureusement pour eux, BackOfficer Friendly leur retournait des messages laissant croire un succès mitigé et heureusement pour nous, le produit journalisait à l’écran (ou dans un fichier) les tentatives d’intrusion. Fait intéressant: le produit retournait les comptes d’utilisateurs et les mots de passe utilisés par les pirates pour exploiter le service Telnet.

Pour ce qui est de l’exploitation de Back Orifice Server qui était feint sur notre serveur, personne n’a exploité cette faille. Nous avons toutefois expérimenté nous même (avec Back Orifice Client) l’effet que produit BackOfficer Friendly. La simulation était parfaite et le produit nous signalait que le serveur était infecté par Back Orifice!

En conclusion, le produit fonctionne à merveille. C’est un excellent outil pour apprendre les procédés d’intrusion des pirates. Toutefois au cours de l’expérimentation, la plupart des pirates étaient considérés comme des « scripts kiddies » et leurs connaissances en matière de piratage se résumaient à utiliser des analyseurs de ports. Le manque de sérieux de notre serveur les a sûrement attirés pour l’analyser. Les pirates plus sérieux ont peut être senti l’embuscade. La prochaine fois, notre appât sera destiné à charmer ces plus gros prédateurs…

[maxbutton id= »4″]