RAPORT INTERMEDIAR

Perioada ...........................

Activitatea: 2. Cercetare industrială, activități de inovare de produs, servicii,

de proces și organizațională
Subactivitatea: 2.2. Efectuarea unui studiu/cercetare privind tipurile de
simulatoare de tip
“honeypot” existente pentru componentele infrastructurilor critice (PLC,
HMI), în vederea identificării potențialilor atacatori ai acestora
Rezultat cuantificat: Studiu/analiza privind tipurile de simulatoare de tip
“honeypot” existente pentru componentele infrastructurilor critice (PLC, HMI) și
infrastructurilor de cercetare în vederea identificării potențialilor atacatori ai acestora

Acest livrabil este realizat în cadrul contractului de finanțare nr.

270/23.06.2020, finanțat prin Programul Operaţional Competitivitate 2014-2020, Axa
prioritară 1: Cercetare, dezvoltare tehnologică și inovare (CDI) în sprijinul
competitivităţii economice și dezvoltării afacerilor, Acțiunea 1.2.1: Stimularea cererii
întreprinderilor pentru inovare prin proiecte de CDI derulate de întreprinderi
individual sau în parteneriat cu institutele de CD și universități, în scopul inovării de
procese și de produse în sectoarele economice care prezintă potențial de creștere si
este rezultatul activității proprii de cercetare.
 Centrul de excelență pentru securitatea cibernetică și
reziliența infrastructurilor critice SafePIC

A2. Cercetare industrială, activităţi de inovare de produs,

servicii, de proces şi organizaţională

Studiu privind tipurile de simulatoare de tip “honeypot”

existente pentru componentele infrastructurilor critice (PLC, HMI),
în vederea identificării potențialilor atacatori ai acestora.
Pag.2
 CUPRINS

CAPITOLUL I____________________________________________________5

Analiza modului în care au loc atacurile cibernetice din lumea reală, cât de
des au loc, tipurile de atacuri (de exemplu, rootkit-uri, troieni și exploit-uri) și
găsirea de modalități mai bune de a apărare împotriva unor astfel de atacuri.____5

Principalele tipuri de amenințări cibernetice______________________________5

Concluzii__________________________________________________________11

CAPITOLUL II:__________________________________________________13

Cercetare/analiză privind tipurile de simulatoare de tip "honeypot" în

funcție de interacțiunea cu rețeaua/infrastructura critică (simulatoare de tip
"honeypot" cu interacțiune mare și simulatoare de tip "honeypot" cu interacțiune
mică), studiul avantajelor și dezavantajelor fiecărei categorii._________________13

A. Introducere. Ce este un honeypot?________________________________13

B. Tipologie_____________________________________________________14

C. Principiul de funcționare a unui honeypot__________________________15

D. Analiza diferitelor tipuri honeypot________________________________16

CAPITOLUL III__________________________________________________52

Analiza conceptului de "honeynets" - colecții de simulatoare de tip

"honeypots" concepute pentru a arata ca servicii de rețea comune și servere.____52

A. Introducere_____________________________________________________52

B. Arhitectura dispozitivelor honeypot si a retelelor honeynet____________53

CAPITOLUL IV__________________________________________________59

Studiul și analiza privind beneficiile simulatoarelor de tip “honeypot”

Pag.3

asupra infrastructurilor și serviciilor critice față de alte măsuri de securitate_____59

A. Avantajele și dezavantajele implemetării unui honeypot_________________59

B. Preocupări etice legate de honeypot-uri______________________________59

 C. Firewall-uri și Honeypot-uri. Cum interacționează împreună______________60

CAPITOLUL V___________________________________________________64

Studiul/analiza proiectului dezvoltat de compania de cercetare în domeniul

securității infrastructurilor critice - Digital Bond (o mașină virtuală acționează ca un
honeypot PLC ce simulează protocoalele FTP, Telnet, HTTP, SNMP și Modbus TCP și
o mașină virtuală ce monitorizează traficul în cadrul rețelei)__________________64

A. Arhitectura SCADA Honeynet_______________________________________64

B. Servicii SCADA Honeynet___________________________________________65

C. Implementare SCADA Honeynet I - Expunerea la Internet________________74

D. SCADA Honeynet Deployment II - Stație electrică_______________________75

CAPITOLUL VI__________________________________________________78

Analiza proiectului CONPOT ce simulează SIMATIC S7-200 PLC și

protocoalele Modbus TCP, SNMP și HTTP._________________________________78

A. Introducere___________________________________________________78

B. Instalare si configurare__________________________________________81

Concluzii finale________________________________________________101

Pag.4
 CAPITOLUL I

Analiza modului în care au loc atacurile cibernetice din lumea reală,

cât de des au loc, tipurile de atacuri (de exemplu, rootkit-uri, troieni
și exploit-uri) și găsirea de modalități mai bune de a apărare
împotriva unor astfel de atacuri.

Amenințările cibernetice au ajuns să fie un impediment din ce în ce mai

prezent în viețile noastre. Mai mult, unii specialiști vorbesc deja de un război
”cibernetic”, cel mai elocvent exemplu fiind reprezentat de Statele Unite ale Americii,
care deja tratează conflictul cibernetic ca unul de tip terorist. Atunci când sisteme de
comunicații, infrastructuri critice, instituții financiar-bancare sau organisme
guvernamentale devin ținte ale atacatorilor, trebuie să tragem un semnal de alarmă în
ceea ce privește căile și metodele prin care ne putem apăra. Amenințările cibernetice
din mediul online sunt în continuă creștere. Spațiul cibernetic va fi mereu animat de
cursa continuă dintre atacatori și cei care sunt afectați de aceste atacuri. Din
nefericire, așa cum precizează ENISA, infractorii cibernetici sunt cu un pas înainte.
Pentru a ține pasul cu aceștia este esențial ca utilizatorul să fie informat corespunzător
cu privire la metodele de atac cel mai des folosite. De aceea, studiul de față, ca
livrabil al proiectului SafePIC 19,se adresează studenților/cursanților și conține
informații cu privire la principalele amenințări din spațiul cibernetic, inclusiv un
clasament al acestora și o analiză a conceptelor și termenilor cu care operăm în cadrul
SafePIC 19.

Principalele tipuri de amenințări cibernetice

1. De tip „Drive-by exploits”

Amenințările de tip Drive-by pot exploata în mod automat vulnerabilități

existente în software-ul instalat pe un PC, fără a interacționa cu utilizatorul de drept.
Atunci când un utilizator vizitează un site ce conține exploit-uri drive-by, se pot
Pag.5

exploata vulnerabilități în browser, în plugin-urile acestuia sau în sistemul de operare

pentru a instala malware pe PC fără știrea și acceptul utilizatorului. Dezinfectarea în
acest caz este extrem de importantă tocmai prin faptul că infecția poate fi inițiată
printr-o simplă navigare pe internet, care poate duce la vizitarea unui website ce
conține un astfel de drive-by. Mai există posibilitatea ca atacatorii să conceapă un site
special (fake website sau chiar phishing) pentru a infecta pe cei ce îl accesează.
Astfel, pentru a determina utilizatorii obișnuiți să îl viziteze, se apelează la o strategie
bazată pe e-mail-uri de tip spam (trimiterea de mesaje nesolicitate de către destinatar)
ce conțin link-uri către astfel de site-uri ilegale. Distribuția de malware prin exploit-
uri de tip drive-by se axează aproape în totalitate pe compromiterea website-urilor
legitime. În fiecare zi, atacatorii manipulează mii de site-uri web din întreaga lume și
apoi injectează un cod malițios în conţinutul acestora. Aceste site-uri de regulă sunt
compromise prin furtul datelor de autentificare. Analiștii care investighează serverele
atacate adesea găsesc liste de credențiale pentru servere FTP extrase de la utilizatori.
Este foarte important de menționat că exploit-urile de tip drive-by și-au extins
aria de acțiune în ultimul timp și la terminalele mobile. Conform unor rapoarte date
publicității de către companiile de securitate McAffe și F-Secure începînd cu luna mai
2012 au apărut primele rapoarte cu privire lafolosirea acestui instrument de către
atacatori pentru exploatarea vulnerabilităților sistemului de operare Android.
2. Viermi/Troieni

 Viermi: programe care se pot auto-replica. Acestea folosesc rețeaua de

calculatoare pentru a-și trimite propriile copii ȋn alte noduri (calculatoare din rețea),
reușind să facă acest lucru fără intervenția vreunui utilizator. Spre deosebire de un
virus informatic, un vierme informatic nu are nevoie să fie atașat la un program
existent. Viermii provoacă daune rețelei, chiar și prin simplul fapt că ocupă bandă, în
timp ce virușii corup sau modifică aproape întotdeauna fișiere de pe computerul țintă.
 Troieni: aceste programe se prezintă sub forma unor programe legitime, care,
în realitate, sunt create cu scopul de a fura date confidențiale, sau de a permite unor
utilizatori sau programe neautorizate accesul la sistemul infectat. Conform ENISA
Threat Landscape, troienii constituie marea majoritate a infecțiilor (80%). Acest lucru
arată că epidemia worm a devenit istorie și a fost substituită de către o invazie a
Pag.6

troienilor.
 În ceea ce privește aria terminalelor mobile, un raport al F-Secure arăta că
84% din amenințări sunt reprezentate de către Troieni, principala motivare pentru
atacatori fiind una exclusiv bazată pe profit financiar. Totodată, utilizatorul trebuie să
fie atent și la modul cum operează în cadrul rețelelor de socializare. Acestea pot
constitui totodată modalități prin care creatorii de malware să ajungă la ținta dorită.
3. Injecție de cod

Acest tip de amenințare include tehnici de atac binecunoscute împotriva

aplicațiilor web, cum ar fi SQL Injection (SQLi), cross-site scripting (XSS), cross-site
request forgery (CSRF), Remote File Inclusion (RFI) etc. Atacatorii care generează
un astfel de atac încearcă să extragă date, să fure credențiale, să preia controlul
serverului web țintit sau să își promoveze activitățile malițioase prin intermediul
exploatării vulnerabilităților de aplicații web. În ultimii ani, cel mai frecvent vector de
atac împotriva aplicațiilor web este SQL Injection. Mai mult de cât atât, atacurile de
acest tip sunt populare în rândul grupurilor hacktivist (ex: Anonymus), grupurilor de
hackeri (ex: LulzSec) și în rândurile infractorilor cibernetici (ex: LizaMoon25).
4. Kit-uri de exploatare

Pe scurt, această categorie se referă la acele software-uri automatizate care

ajută atacatorii, mai puțin experimentați, în compromiterea sistemelor prin
exploatarea vulnerabilităților de tip client-side, în special a celor din browsere web
sau aplicații ce pot fi accesate de site-uri web (ex: Adobe Reader, Flash, JRE etc.).
Practic, aceste pachete “ready to use’’ (gata de utilizare) automatizează procesul
criminalității informatice.
De regulă, acestea se bazează pe atacuri de tip drive-by download, în urma
căruia codul malițios este injectat în site-urile web compromise. Aceste atacuri pot
exploata vulnerabilități din broswer sau din plugin-urile acestuia. Mai mult decât atât,
acest exploit kit poate utiliza o multitudine de canale de comunicare cu scopul
distribuirii de malware către alți utilizatori web. O caracteristică importantă a acestui
exploit kit o reprezintă ușurința cu care acesta poate fi utilizat (de obicei printr-o
Pag.7

interfață web) chiar și de către persoane fără cunoștințe tehnice.

 5. Botnet

Un botnet reprezintă un set de computere care se află sub controlul unui

atacator. Aceste sisteme compromise poartă denumirea de ‘bots’ sau ‘zombies’.
Aceasta este o rețea de sisteme informatice infectate care sunt controlate de alte
persoane/organizații decât deținătorii acestora.O rețea de tip botnet poate fi utilizată
cu scopuri multiple: atacuri de tip „Distributed Denial of Service - DDoS”, spamming,
furt de identitate, distribuire de malware, infectarea sistemelor informatice etc. În
prezent botnet-ul poate fi folosit ca marfă. Părțile interesate pot chiar închiria o rețea
de tip botnet pentru a-și atinge scopurile malițioase și inclusiv pentru a obține
avantaje materiale. Mai mult, acestea pot acționa pe mai multe sisteme de operare.
Spre exemplu, în 2016 botnet-ul ‘’Flashback’’ a reușit să infecteze aproximativ
600.000 de computere Apple. Conform raportului CERT-RO, peste 80% dintre
alertele primite se referă la activităţi suspecte/maliţioase generate de reţelele de tip
botnet.

6. Denial of Service

Un atac de tip Denial of Service este o încercare de a afecta disponibilitatea

unor sisteme/servicii informatice sau comunicații electronice. Sistemul țintă este
atacat prin transmiterea unui număr foarte mare de solicitări nelegitime, ce consumă
resursele hardware sau software ale acestuia, făcându-l indisponibil pentru utilizatorii
legitimi. Conform raportului ENISA Threat Landscape din 2017, principalele
motivări ale atacurilor de tip DDoS sunt hacktivismul, vandalismul și înşelăciunea.
7. Phishing

Phishing-ul este o formă de înșelăciune în mediul online care constă în

folosirea unor tehnici de manipulare a identității unor persoane/organizații pentru
obținerea unor avantaje materiale sau informații confidențiale.Atacatorii folosesc
diverse tehnici de social engineering pentru a-și determina victimele să-și dezvăluie
date de autentificare. Țintele cele mai întâlnite sunt site-urile instituțiilor financiare,
Pag.8

precum băncile. Alte ținte sunt reprezentate de serviciile de plată online, rețelele de
socializare, furnizorii de servicii de internet, organizațiile non-profit, servicii de
coletărie sau site-urile unor sectoare guvernamentale.
 8.Compromiterea informațiilor confidențiale

Compromiterea informațiilor confidențiale se referă la încălcări ale securității

datelor care au apărut prin dezvăluirea (fie intenționată, fie neintenționată) de
informații confidențiale de către agenți interni sau externi. Această amenințate are ca
țintă informații confidențiale din diferite sectoare, cum ar fi sectorul public de
sănătate, organizații guvernamentale, întreprinderi mici și mijlocii etc. Scurgerea de
informații se realizează de regulă prin hacking, distribuire de malware, atacuri de tip
social engineering, atacuri fizice sau prin abuz de privilegii.
9. Rogueware/scareware

Mesaje electronice nesolicitate, de cele mai multe ori cu caracter comercial,

care fac publicitate pentru produse și servicii, fiind folosite de către industria e-
marketingului și de către proprietarii de site-uri cu conținut indecent.De obicei
mesajele spam sunt trimise de către calculatoare infectate cu troieni, care fac parte
dintr-un botnet (o rețea de calculatoare compromise și utilizate pentru trimiterea de
spam, sau atacuri asupra unor site-uri de internet, fără știrea posesorilor
calculatoarelor respective). Mesajele spam, deși nu reprezintă un program malițios în
sine, pot include atașamente conținând astfel de programe, și trimit utilizatorii către
pagini de internet periculoase.
10. Atacuri direcționate

Tip de amenințare ce vizează o anumită persoană sau organizație. Are ca scop

fie colectarea de date cu caracter personal/confidențial sau compromiterea sistemelor
informatice țintă.Acest tip de atac are în general o fază prin care atacatorul se
informează prin diverse tehnici (ex. inginerie sociala) asupra sistemului informatic
vizat și apoi declanşează atacul. De multe ori acțiunile lui par legitime deoarece par a
fi venite din partea unei persoane de încredere.Conform raportului CERT-RO
amenințările de tip APT, specifice campaniilor de spionaj cibernetic, au devenit o
realitate și în România, fiind deja detectate o serie de astfel de atacuri.
Pag.9

11. Furt/Pierderi/Distrugere fizică

Furtul fizic, pierderea sau distrugerea efectivă pot fi considerate o amenințare

la adresa securității cibernetice. Datorită mobilității crescute pe care o oferă
laptopurile, telefoanele inteligente sau tabletele, acest tip de amenințare este pe cale să
devină una majoră. În acest sens backup-ul consistent al datelor și criptarea
conținutului pot fi o soluție de limitare a pierderilor efective de date sau de divulgare
către persoane străine a datelor confidențiale.
12. Furt de identitate

Furtul de identitate este o ameninţare reală într-un mediu ce devine pe zi ce

trece cu preponderență online. Credențialele de acces sau datele cu caracter personal
sunt astăzi ținta atacatorilor. Odată intrat în posesia acestora, atacatorul poate efectua
tranzacții frauduloase (în special financiare) sau obține date cu caracter confidențial.
13. Scurgere de informații

Scurgerea de informații se referă la dezvăluirea în mod voit sau nu de

informații către o persoană neautorizată. Odată ajunse în mâna unei persoane
neautorizate aceste informații pot fi folosite fie pentru a porni un atac (targeted
attacks), fie pentru a avea acces la surse suplimentare de informații.Se cuvine a fi
menționată aici și scurgerea de informații în mod voit prin instalarea de aplicații pe
telefoanele mobile fără ca utilizatorul să se informeze suficient asupra datelor la care
aplicația are acces. Astfel informaţii cum ar fi geo-localizarea şi contactele din agendă
pot ajunge cu uşurinţă în mâinile unor atacatori și folosite în scopuri frauduloase.

14. Manipularea motoarelor de căutare (SEP)

Acest tip de atac manipulează motoarele de căutare pentru a afișa rezultate de

căutare care conțin referinţe către site-uri malițioase. Există o multitudine de metode
pentru a efectua SEP, unul din ele fiind preluarea controlului unor site-uri populare și
includerea de link-uri sponsorizate către site-urile malițioase.O altă metodă este SEP
via Cross-Site Scripting, în acest caz un motor de căutare este forțat să returneze
referințe către site-uri infestate cu Cross Site Scripting (XSS).
Astfel o pagină web infestată redirectează userii către site-uri malițioase, iar în
cazul în care victimele accesează site-urile respective îşi infestează computerele cu
Pag.10

malware. De menționat că în acest caz atacatorul nu trebuie să spargă sau să preia

controlul unui server aflat în schemă.
 15. Certificate digitale false

Certificatele digitale false sunt folosite de către atacatori pentru semnarea

digitală a resurselor (site-uri web, aplicații, coduri sursă etc.) folosite în diverse
atacuri cibernetice, cu scopul de a trece nedetectabile de utilizatorul final. Acestea
sunt des folosite pentru semnarea aplicațiilor web malițioase de tip e-banking sau e-
commerce, ce folosesc protocolul HTTPS.Un astfel de certificat poate fi creat sau
furat prin exploatarea unor vulnerabilități ale asistemelor de tip PKI (Public Key
Infrastructure) ale autorităților de certificare, care emit certificate digitale pentru site-
uri web securizate. Certificatele digitale sunt un mijloc de definire a încrederii în
internet. Atacatorii pun în circulaţie certificate false (rogue certificates) care rup lanțul
de încredere, oferindu-le astfel capacitatea de a se angaja în atacuri nedetectabile de
utilizatorii finali. Un astfel de certificat este văzut ca trusted de browsere deoarece
apare ca fiind semnat de o autoritate de certificare root pe care browserele o consideră
de încredere în mod implicit. Acest tip amenințare este folosit și pentru obținerea de
date confidențiale prin spargerea tunelurilor SSL, folosind tehnici de tip ‘man in the
middle. Mai mult decât atât, certificatele rogue pot fi folosite pentru a semna malware,
astfel încât malware-ul devine legitim și se sustrage mecanismelor de detectare. Ca şi
măsura de prevenire a atacurilor, autoritățile de certificare trebuie să pună în aplicare,
să revizuiască şi să adapteze permanent politicile de securitate conform celor mai
bune practici în domeniu. Diverse distribuții de malware, precum cele folosite de
Stuxnet, Duqu sau Flame, se bazează pe certificate digitale false furate de la diverse
autorități de certificare.

Concluzii

Analizând comparativ evoluția incidentelor de securitate cibernetică din

ultimii ani, putem sesiza evoluții interesante în ceea ce privește peisajul amenințărilor,
astfel:
 Infractorii cibernetici ajung să folosească metode din ce în ce mai avansate
Pag.11

pentru a implementa vectori de atac care sunt nedetectabili și dificil de

neutralizat. Un rol important în acest caz îl joacă tehnologiile de anonimizare
 și utilizarea tehnologiilor distribuite pentru structuri mai rezistente, cum ar fi
P2P (Peer to peer).
 Este din ce în ce mai clar că tehnologia mobilă este și va deveni din ce în ce
mai exploatată de către infractorii cibernetici. Amenințări deja cunoscute și
rulate în spațiul tradițional IT vor prevala și pe terminalele mobile.
Proliferarea dispozitivelor mobile va conduce la o amplificare a abuzurilor
generate prin intermediul social media.
 Activitatea infracțională ce se desfășoară în mediul online are în acest moment
noi perspective: consumerizarea malware-ului, instrumente și servicii de
cyber-hacking, apariția valutei digitale și servicii de plată anonime.
 Așa cum raporta ENISA în atacurile cibernetice au ajuns pe locul 6 într-un
clasament al celor mai probabile cauze ale întreruperilor survenite în
infrastructurile de telecomunicații. Ca număr de utilizatori afectați în acest
sector, impactul este unul considerabil.

Referințe bibliografice:

 ENISA Threat Landscape

 Bitdefender - E-Threat Landscape Report
 F-Secure - Mobile Threat Report Q1
 Federal Office for Information Security, The IT Security situation in Germany
 SOPHOS Security Threat Report
 www.enisa.europa.eu
 www.fortinet.com
 www.infoworld.com
 www.cert-ro.eu
 www.computerworld.ro
Pag.12
 CAPITOLUL II:

Cercetare/analiză privind tipurile de simulatoare de tip "honeypot"

în funcție de interacțiunea cu rețeaua/infrastructura critică
(simulatoare de tip "honeypot" cu interacțiune mare și simulatoare
de tip "honeypot" cu interacțiune mică), studiul avantajelor și
dezavantajelor fiecărei categorii.

A. Introducere. Ce este un honeypot?

În limba engleză, un honeypot este un sistem informatic sau o aplicație creată

pentru a atrage agenți rău intenționați care încearcă să atace rețelele de calculatoare
Pag.13

prin utilizarea de spam, phishing, DDoS sau alte metode. Odată ce un atacator cade în
această capcană, honeypot-urile le permit administratorilor să obțină date valoroase
despre tipul de atacator, despre activitatea pe care a încercat-o și, în multe cazuri,
chiar să identifice atacatorul.
Scopul principal al tuturorhoneypot-uriloreste identificarea atacurilor
emergente împotriva diferitelor tipuri de software și colectarea rapoartelor pentru
analizarea și generarea datelor/informațiilor - care vor fi ulterior utilizate pentru a crea
tehnici de prevenire împotriva amenințărilor în rețea. În figura de mai jos avem
prezentat un model de schemă de rețea a unui honeypot.

B. Tipologie

Există două tipuri diferite de honeypot-uri:

B.1. de cercetare:Acest tip de honeypot (capcană) este folosit de dezvoltatori,
administratori de sistem și manageri de echipe albastre care lucrează în instituții
precum universități, colegii, școli și alte asociații conexe.Exemplu: Poligonul Cyber
Range, partea a proiectului SafePic 19, dezvoltat de SAFETEC și Universitatea
Națională de Apărare.
B.2. de producție: Acesta tip de honeypot este folosit de instituții private și
publice, companii și corporații pentru a investiga comportamentul și tehnicile
Pag.14

hackerilor care doresc să atace rețele de pe Internet.

În plus, pe baza criteriilor de proiectare ahoneypot-urilor sunt clasificate în
continuare:
 - de interacțiune înaltă
- de interacțiune scăzută
- mixtă
Cele cu interacțiune înaltă imită activitățile sistemelor de producție care
găzduiesc o varietate de servicii și, prin urmare, unui atacator i se poate permite multe
servicii prin care să-și piardă timpul. Folosind mașini virtuale, mai multe honeypot-uri
pot fi găzduite pe o singură mașină fizică. În general, cele cu interacțiune ridicată
oferă mai multă securitate, fiind dificil de detectat, dar sunt costisitoare de întreținut.
Dacă nu sunt disponibile mașini virtuale, trebuie să se mențină un computer fizic
pentru fiecare honeypot, care poate fi exorbitant de scump. Exemplu: Honeynet.
Honeypot-urile cu interacțiuni reduse simulează doar serviciile solicitate
frecvent de atacatori. Deoarece consumă relativ puține resurse, mai multe mașini
virtuale pot fi găzduite cu ușurință pe un singur sistem fizic.
C. Principiul de funcționare a unui honeypot

Așa cum este menționat mai sus, un honeypoteste un sistem de capcane.

Aceste sisteme de capcane sunt adesea configurate într-un server VM (Virtual
Machine) sau cloud conectat la o rețea, dar izolate și monitorizate strict de echipele de
sistem și de rețea. Pentru a-i ajuta să devină observați de către atacatori, honeypot-
urilesunt concepute să fie vulnerabile în mod intenționat, cu puncte slabe pe care un
atacator le va detecta și va încerca să le exploateze.Aceste puncte slabe ar putea face
parte dintr-o breșă de securitate din interiorul unei aplicații sau vulnerabilități ale
sistemului, cum ar fi porturile deschise inutil, versiunile de software depășite, o parolă
slabă sau un vechi nucleu neatacat.
După ce atacatorul și-a găsit ținta vulnerabilă, va încerca să lanseze un atac și
să escaladeze privilegiile până când va putea obține un anumit control asupra căsuței
de email sau a aplicației.Ceea ce nu știu cei mai mulți dintre ei, este că un
administrator al unui honeypotle urmărește fiecare dintre pași cu atenție, colectând
date de la atacator, care vor ajuta efectiv la întărirea politicilor de securitate actuale.
Pag.15

De asemenea, administratorul poate raporta incidentul în fața autorităților legale, ceea

ce se întâmplă adesea cu rețelele corporative de ultimă generație.
 Majoritatea honeypot-urilorfuncționează ca niște capcane care distrag
atacatorii de la datele critice găzduite în rețelele reale. O altă obișnuință este aceea că
aproape toate încercările de conectare la un honeypot pot fi tratate ca ostile, deoarece
pot motiva un utilizator legitim să se conecteze cu aceste tipuri de sisteme.
În timp ce configurăm unhoneypot, trebuie să fim conștienți de nivelul de
dificultate de hacking pe care dorimsă îl expunem atacatorului. Dacă este prea ușor de
piratat, probabil că își vor pierde interesul sau chiar își vor da seama că nu au de-a
face cu un sistem de producție real.
Pe de altă parte, dacă sistemul este prea întărit, vom împiedica de fapt orice
atacuri și nu vom putea colecta date. Așadar, în termeni de dificultate, atragerea unui
atacator cu ceva între facil și dificil este cel mai bun pariu pentru simularea unui
sistem din viața reală.
Poate un atacator să detecteze dacă se află într-un honeypot?Depinde de
nivelul atacatorilor! Utilizatorii avansați, cu un nivel ridicat de cunoștințe tehnice,
sunt capabili să recunoască câteva semne că intră într-un spațiu de honeypot.

D. Analiza diferitelor tipuri honeypot

În literatura de specizlitate studiată, unii ingineri de sisteme tind să

clasificehoneypot-urilepe baza software-ului vizat pe care încearcă să-l protejeze sau
să-l expună. Așadar, în timp ce o listă cu honeypot-uri ar putea fi extinsă, în acest
studiu vor fi enumerate și analizate unele dintre cele mai populare:
 HONEYPOT-uri de tip spam: Cunoscut și sub numele de capcană de spam,
acest honeypot este creat special pentru a prinde spamurile înainte de a atinge
căsuțele de email legitime. Acestea au adesea relee deschise pentru a fi atacate
și lucrează îndeaproape cu listele RBL pentru a bloca traficul rău intenționat.
 HONEYPOT-uri de tip Malware: Acest tip de honeypot este creat pentru a
simula aplicațiile, API-urile și sistemele vulnerabile în scopul de a primi
atacuri malware. Datele care sunt apoi colectate vor fi utilizate ulterior pentru
Pag.16

recunoașterea modelelor malware, pentru a ajuta la crearea de detectoare de

malware eficiente.
  HONEYPOT-uri pentru protecția bazelor de date: Bazele de date sunt o
țintă comună a atacatorilor web și, prin crearea unei baze de date, putem
urmări și învăța diferite tehnici de atac, cum ar fi injecția SQL, abuzul de
privilegii, exploatarea serviciilor SQL și multe altele.
 HONEYPOT-uride tip păianjen: acest tip de honeypot funcționează prin
crearea de pagini web și link-uri false care sunt accesibile doar de crawler-uri
web. După ce crawlerul accesează punctul de honeypot, acesta este detectat
împreună cu anteturile sale pentru analize ulterioare, de obicei pentru a ajuta la
blocarea roboților rău intenționați și a crawler-urilor din rețeaua publicitară.

Există atâtea tipuri de honeypot, câte tipuri de software. Deci crearea unei liste
definitivear fi destul de dificilă. Pe această listă am inclus câteva dintre cele mai
populare instrumente pentru honeypot-uri, care sunt, în experiența echipei de
cercetare din proiectul SAFEPic, un element indispensabil pentru toate echipele
albastre și roșii.
D.1.Honeypot-uriSSH (Secure Shell)

 KIPPO:Acest tip de honeypot SSH, scris în Python, a fost conceput pentru a

detecta și înregistra atacurile de forță brută și, cel mai important, istoricul complet al
shell-urilor efectuate de atacator. Este disponibil pentru cele mai moderne sisteme
Linux și oferă atât gestionare și configurare clic-command, cât și interfață bazată pe
web.
Kippo oferă un sistem de fișiere false, cu conținut fals, atacatorilor (cum ar fi
fișierele cu parolă ale utilizatorului etc.), precum și un sistem statistic puternic numit
Kippo Graph.
O modalitate obișnuită de a oferi acces la distanță de pe un sistem de operare
este utilizarea protocolului de rețea Secure Shell. Utilizând protocolul SSH, putem
efectua o autentificare sigură de la distanță într-o rețea nesigură pentru a accesa un
shell de la distanță. Pentru a vă autentifica la shell-ul de la distanță, utilizatorul trebuie
să se autentifice cu succes pe serverul SSH. Pentru a studia activitățile desfășurate de
Pag.17

atacatori, după ce au compromis un sistem cu un server SSH, putem folosi

unhoneypot Kippo. Kippo este unhoneypot de tip SSH de interacțiune medie,
conceput pentru a înregistra toate atacurile de forță brută și, cel mai important,
întreaga interacțiune de suprafață efectuată de atacator. Are un sistem de fișiere false,
care simulează un server Linux Debian și asta vede atacatorul la autentificare. Ei pot
naviga în continuu, dar nu pot face niciun fel de daune reale. Kippo permite unei
entități atacatoare să încerce o autentificare la sistem, considerând că intră într-o
sesiune SSH legitimată de server. După ghicirea cu succes a parolei, atacatorul este
apoi mutat într-un sistem fals cu care poate interacționa. În acest sistem fals, toate
interacțiunile cu rețeaua sunt monitorizate și înregistrate. Sistemul permite, de
asemenea, utilizarea de wget și alte comenzi utilizate în mod obișnuit pentru a obține
sau descărca fișiere și să manipuleze „gazda compromisă”, precum și un set de
utilități de bază. Se salvează fișierele descărcate cu wget pentru investigații ulterioare.
În esență, printr-o mimică eficientăKippo este capabil să permită unui atacator să se
autentifice și să interacționeze cu ceea ce consideră că este o gazdă reală și
compromisă. Kippo este independent de sistemele de operare, deoarece este
implementat în Python.
Principalul obiectiv al implementării Kippo este de a aduce atacatorului
impresia că navighează în sistemul real. Securitatea IT poate oferi o vedere pe baza
comenzii date de el - în ce scop a fost hackuit, ce date încercă atacatorul și ce tehnici
au fost utilizate. Fără îndoială, este și o sursă de învățare a modului în care
administratorul, în viitorul apropiat, ar trebui să consolideze sistemul.
Câteva caracteristici interesante pe care Kippo le oferă sunt:
 Sistem de fișiere false cu posibilitatea de a adăuga/elimina
fișiere. Este inclus un sistem complet de fișiere false care
seamănă cu o instalare a Debian 5.0.;
 Posibilitatea de a adăuga conținut de fișiere false, astfel încât
atacatorul să poată „muște” fișiere precum / etc / passwd. Sunt
incluse doar conținutul minim al fișierului;
 Jurnalele de sesiune stocate într-un format compatibil UML
pentru redare ușoară cu cronometrări originale;
Pag.18

 Stochează toate fișierele descărcate în timpul sesiunii SSH

(simularea comenzilor wget și curl) pentru inspecții ulterioare;
  Stochează informații despre comportamentul atacatorului în
sistemul de operare (comenzi care au fost invocate) într-un
format care permite redarea acestuia într-o formă de ecran;
 Simulează terminarea sesiunii SSH –honeypot-ul nu oprește cu
adevărat conexiunea, ci oferă un alt mediu asemănător unui
shellpentru colectarea de date suplimentare despre
comportamentul atacatorului, adică ieșirea nu se realizează cu
adevărat etc.
După ce navigăm în directorul Kippo din honeypot, vom putea vedea:

Cele mai notabile directoare și fișiere Kippo sunt:

 Date - director pentru fișiere de date diverse, cum ar fi baza de date cu parole;
 fs.pickle - fișier în formatul Python care conține sistemul de fișiere virtuale;
 dl - acesta este un director implicit în care Kippo va stoca toate programele
malware și exploatările descărcate de hacker folosind comanda wget;
 kippo.cfg - fișierul de configurare al lui Kippo;
 honey- acest director include câteva fișiere care vor fi prezentate atacatorului;
 Txtcmds - director pentru crearea comenzilor simple care emit doar text;
 jurnal - directorul implicit pentru interacțiunea atacatorului cu shell-ul și unde
sunt salvate fișierele jurnal;
 start.sh - acesta este un script shell pentru a porni Kippo;
 utils - conține diverse utilități Kippo, dintre care cea mai notabilă este
playlog.py, ceea ce ne permite să redăm sesiunea shell atacatorului.
Pag.19

Sistemul de fișiere Kippo:

 Kippo își păstrează sistemul de fișiere într-un fișier de tip pickle;

 Pickle este mecanismul standard pentru serializarea obiectelor. Pickle
folosește o mașină virtuală simplă bazată pe stivă, care înregistrează
instrucțiunile utilizate pentru reconstruirea obiectului. Un fișier de tip pickle
este ca un disc de memorie parțială care vă permite să scrieți cu ușurință
obiecte pe hard disk în format binar. Putem citi apoi ușor obiectul în memorie
laun moment ulterior.
 De fiecare dată când un utilizator nou se conectează la honeypot, Kippo
încarcă sistemul de fișiere în memorie. Atacatorul poate face orice dorește la
sistemul de fișiere, dar atunci când următoarea persoană se conectează, Kippo
încarcă fișierul cu sistemul de fișiere curat. În acest fel, toată lumea începe de
la zero.
Mod de lucru:

 Kippo este foarte simplu pentru a începe în HoneyDrive. Pentru a porni Kippo,
deschidem un terminal și navigăm la / honeydrive / kippo / și executăm
start.sh. Apoi executăm unhoneypot SSH. A se vedea captura de ecran de mai
jos.

 Pentru testare, folosim BackTrack. Deschidem terminalul pe mașină și

introducem următoarea comandă pentru a ne autentifica pe serverul de
honeypot. A se vedea captura de ecran de mai jos.
Pag.20

 După introducerea comenzii, apare avertizarea că sistemul nu poate identifica

autenticitatea gazdei. ApăsămYES, după introducerea parolei. Parola implicită
 pentru Kippo este 123456..... După cum vedem în rezultatul de mai sus,
atacatorul se va putea conecta la serverul nostru, dar numai la sistemul de
fișiere false. De aici, el poate face toate interacțiunile precum crearea și
ștergerea de fișiere sau foldere. Pentru a adăuga un nou utilizator fals
înhoneypot Kippo SSH, un atacator nu poate pur și simplu să utilizeze
comanda useradd din cadrulhoneypot. Cu toate acestea, comanda useradd
oferă o caracteristică mai interesantă. Încearcă să colecteze toate informațiile
esențiale personale despre atacator.A se vedea captura de ecran de mai jos.

 Parole root alternative

În fișierul „/honeydrive/kippo/data/userdb.txt” putem seta numele de
utilizator / parola „permis” pentru a avea acces la sistemul fals. Putem seta
parole la orice dorim pentru a permite accesul la hacker. A se vedea captura de
ecran de mai jos.
Pag.21
  Pentru a adăuga un utilizator nou, trebuie să adăugăm un nume nou de
utilizator și o combinație de parole în fișierul date / userdb.txt. În mod similar,
în cazul în care o autentificare reușită este făcută de atacator, un atacator
trebuie să lanseze o comandă passwd, iar noua parolă va fi anexată direct la
fișier.

Mai jos este fișierul actualizat userdb.txthoneypot Kippo.

Numele gazdei: Numele implicit de gazdă Kippo este svr03.Dacă dorim să

folosim un nume real ex. banking- server, edităm fișierul kippo.cfg și schimbăm
Pag.22

numele de gazdă. Accesăm directorul dvs. Kippo și edităm fișierul kippo.cfg. Găsim
următoarea linie și schimbăm numele de gazdă în funcție decomoditatea noastră.
Putem vedea exemplul din captura de ecran de mai jos.
 Când atacatorul încearcă să se conecteze prin SSH pe serverul dvs., acesta va
fi prezentat cu numele de gazdă Banking-Server. Schimbați numele sistemului de
operare: Pentru a schimba numele sistemului de operare, accesați directorul Kippo și
editați fișierul / etc / problema. Modificați numele sistemului de operare după bunul
plac.

Există câteva modalități excelente de a monitoriza Kippo cu scripturi

personalizate. Pentru a vedea statistici grafice de la Kippo putem folosi Kippo-grafic.
Kippo-grafic este un script complet caracterizat pentru a vizualiza statisticile dintr-un
punct de honeypot Kippo. Putem vizualiza statisticile Kippo prin intermediul
browserului web vizitând http: // localhost / kippo-graph.
Pag.23
 Mai sus, putem vedea ecranul de pornire pentru Kippo-Graph. Kippo-Graphs
urmărește informații incredibil de detaliate și poate arăta în prezent graficele
următoare:
Cele mai utilizate 10 parole:

Această diagramă verticală de bare afișează top 10 parole pe care atacatorii

încearcă atunci când atacă sistemul.
Cele mai multe 10 nume de utilizator:
Pag.24
 Această diagramă verticală de bare afișează primele 10 nume de utilizator
pe care atacatorii încearcă atunci când atacă sistemul.
Top 10 combinații de nume utilizator și parolă:

Aceste bare afișează primele 10 combinații de nume de utilizator și parolă

pe care atacatorii încearcă atunci când atacă sistemul.
Rata de succes:

Această diagramă verticală de bare afișează rata generală de succes a

atacului pentru sistemul special de honeypot.

Succesele pe zi:
Pag.25
 Această diagramă verticală de bare afișează cele mai de succes intrări pe zi
(Top 20) pentru sistemul special de hipo-uri. Numerele indică de câte ori au fost
acordate acreditări corecte de atacatori.
Număr de conexiuni pe IP unic:

Aceste diagrame afișează primele 10 IP-uri unice ordonate după numărul de

conexiuni generale la sistem.
Conectări de succes de la același IP (Top 20):

Pag.26
 Această diagramă verticală de bare afișează numărul de autentificări reușite de
la aceeași adresă IP (Top 20). Numerele indică de câte ori sursa particulară a
deschis o sesiune de succes.

Diagrama de bare verticală vizualizează primele 20 de zile cele mai

aglomerate de activitate umană reală, numărând intrările în sistem. Aceasta afișează
cele mai multe încercări pe zi / săptămână (Top 20) în raport cu sistemul de honeypot.

Top 10 clienți SSH:

Acesta afișează primii 10 clienți SSH folosiți de atacatori în încercările de

hacking.
• Activități umane zilele cele mai aglomerate (Top 20)
Acest grafic vizualizează primele 20 de zile cele mai aglomerate ale
activității umane reale, numărând intrările în sistem.
Pag.27

• Activitatea umană pe zi / săptămână

Aceste diagrame vizualizează activitatea reală a omului pe zi /
săptămână, numărând intrările în sistem pentru fiecare zi de funcționare.
 Top 10 input (general):

Acest tabel și grafic afișează primele 10 comenzi (în general) introduse de

atacator în sistemul de honeypot.
Top 10 de intrări de succes:

Tabelul și graficul afișează primele 10 comenzi reușite introduse de atacator în

sistemul de honeypot.
Primele 10 intrări eșuate:

Tabelul și diagrama afișează primele 10 comenzi eșuate introduse de

atacator în sistemul de honeypot.
Pag.28
 Comenzi wget:

Tabelul de mai sus afișează cele mai recente comenzi „wget” introduse de
atacatori în sistemul de honeypot.
Scripturi executate:

Tabelul de mai sus afișează cele mai recente scripturi executate de atacatori în
sistemul de honeypot.

Număr de conexiuni pe IP unic (Top 10) + Coduri de țară (diagramă de

bare și grafic):

Aceste bare și grafice grafice vizualizează primele 10 IP-uri ordonate după

numărul de conexiuni la sistem. Observați codul țării cu două litere pentru ca după
fiecare IP să obțineți o vizualizare rapidă a locațiilor de unde vin atacurile.
• Reproduceți introducerea de către atacatori prinși de sistemul
dehoneypot:
Pag.29
 Informații despre geolocalizare colectate din primele 10 IP-uri care
sondează sistemul:

Tabelul afișează cele mai bune 10 adrese IP conectate la sistemul de de

honeypot.
Activitatea IP colectată din sistemul de honeypot:

Pag.30
 Kippo-Malware în HoneyDrive este un script Python care va descărca toate
fișierele dăunătoare stocate ca adrese URL într-o bază de date Kippo SSH. Acest
lucru este util în situațiile în care v-ați pierdut fișierele sau s-a întâmplat ceva cu
serverul dvs., dar aveți în continuare DB-ul dvs. intact. Scriptul acceptă, de asemenea,
utilizarea proxy-ului HTTP pentru a-ți acoperi adresa IP de pe servere rău intenționate
și valori personalizate ale User-Agent.

Pipal este un instrument de analiză a parolelor care oferă statistici relevante

privind parolele date cu o descărcare de parole. Putem folosi acest instrument pentru a
analiza parolele colectate de Kippo.

Avantajele utilizării Kippo: În primul rând, Kippo oferă un răspunsîn scurt

timp a unei încercări de intruziune și recunoaștere cu care avem de-a face. O valoare
adăugată considerabilă este wget-ul care leagă analiza jurnalului, în care
administratorul poate găsi o adevărată comoară a scriptului. În plus, Kippo stochează
informații despre comportamentul unui atacator în sistemul de operare, într-un format
Pag.31

care permite înlocuirea acestuia într-o formă ecranizată.

Concluzii: Kippo este a fi un honeypot performant și ușor de configurat SSH.
Kippo ne va ajuta să învățăm foarte mult cum încearcă cineva să ne atace rețeaua, ce
informații cunoaște sau folosește pentru a încerca să obțină acces și, eventual, care
sunt intențiile lor. Un alt lucru care este foarte bun este capacitatea sa de a reda
acțiunile unui atacator, inclusiv toate dactilografiile lor. Kippo este însă vulnerabil la
unele atacuri DOS, deoarece nu există limite la cât de mulți oameni se pot conecta la
acesta sau la câte fișiere se pot descărca.
 COWRITE:Acest SSH de interacțiune medie oferă un sistem de fișiere false
bazat pe Debian 5.0, permițându-ne să adăugăm și să eliminăm fișierele după cum
dorim. Această aplicație salvează, de asemenea, toate fișierele descărcate și încărcate
într-o zonă sigură și în carantină, astfel încât să putem efectua analize ulterioare, dacă
este necesar. În afară de shell-ul emulat SSH, acesta poate fi utilizat ca proxy SSH și
Telnet și vă permite să redirecționați conexiunile SMTP către un alt punct de
honeypot SMTP.Este folosit mai ales pentru a înregistra ședințele unui atacator, apoi
cu cowrie obținem o mai bună înțelegere a detaliilor atacatorului, cum ar fi
instrumentele, metodele și procedurile atacatorului. Cowrie este o simulare a
serverului dvs., ceea ce înseamnă că atacatorul va crede că v-a piratat / atacat serverul.
Așadar, atunci când un atacator introduce datele corecte (nume de utilizator sau
parolă) pentru a se conecta în sistemul dvs., sistemul le va permite să intervină fără
nicio eroare și îi va introduce într-un sistem fals. Honeypot-ul păstrează înregistrările
atacatorului, cum ar fi comenzile lui sau orice tastatări și salvează tot ce a fost
descărcat de atacator. Echipa de cercetare din proiect consideră că acesta este un mod
genial de a captura un atacator.
Cerințe și proceduri pentru instalarea cowrite: Schimbăm portul implicit 22 în
port 22222: Schimbăm portul 22 (port SSH implicit), astfel încât botul sau atacatorul să
creadă că se află într-un port SSH real. Acesta este un tip de apărare atunci când mutăm
portul SSH pe serverele noastre. Honeypot-ul va face ca portul 2222 să acționeze ca cel
real.Primul tip din această comandă pentru a schimba portul:sudo code
/etc/ssh/sshd_config --user-data-dir /home/[home folder]/vscode.Aceasta va deschide
fișierul sshd_config:
Pag.32
 Repornim SSH, astfel încât să vedem dacă urmează noul port
configurat.

Pentru a vedea dacă urmează cu adevărat tipul de port 22222 in:

ssh [your-username]@localhost -p 22222
Pag.33
Acum instalăm Cowrie Honeypot pe Ubuntu / Lubuntu
Mai întâi trebuie să actualizăm sistemul:
Actualizare sudo apt
Apoi instalăm toate dependențele Cowrite:
sudo apt-get install git python-virtualenv libssl-dev build-esențial
libpython-dev python2.7-minimal authbind

Apoi, trebuie să adăugăm un utilizator Cowrite: sudo adduser -- disabled-

password cowrie
Pag.34
 Pentru parolă, dacă o lăsați goală, doar apăsați enter și introduceți
parola. Apoi, pentru a verifica id-ul trebuie doar să introduceți: id
Acum permiteți descărcarea codului pentru Cowrite:
http://github.com/micheloosterhof/cowrie

Acum trebuie să creăm un mediu virtual pentru care Python și

Cowrite să poată rula și să îl activeze:
cd cowrie/
virtualenv cowrie-en
source cowrie-env/bin/activate

Atunci trebuie să instalăm pachetele Python pe care Cowrie trebuie

să le ruleze:
pip install --upgrade pip
pip install --upgrade -r requirements.txt
Pag.35
 Acum trebuie să configurăm daemonul Cowrie: cd etc/

cp cowrie.cfg.dist cowrie.cfg

Această comandă creează un fișier de configurare pe care îl putem

edita, apoi utilizăm un editor pentru a edita acest fișier: nano cowrie.cfg

După aceea, vom edita acest fișier modificând mai întâi numele de
gazdă, deoarece acest lucru îl va face pe atacator să creadă că este în serverul
nostru fără ca noi să știm:
Pag.36
 Schimbați numele de gazdă de la svr04 la testserver5 la fel ca mai
jos:

Atunci trebuie să activăm telnet:

Pag.37
 În acest fișier (cowrie.cfg) există multe opțiuni cu care să te joci, de
la logare și alertare până la descărcare falsă de adrese și fișiere:
În sfârșit suntem gata să începem daemonul:

Din netstat, putem vedea daemonul SSH și Telnet honeypot pe porturile 2222,
respectiv 2223. Apoi, trebuie să redirecționăm traficul porturilor 22 și 23 către porturile
2222 și 2223 folosind iptables:
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-
port 2222
iptables -t nat -A PREROUTING -p tcp --dport 23 -j REDIRECT --to-port 2223

Pentru a scana porturile și a scana ceea ce se întâmplă în tipul de

honeypot: tail -f log/cowrie.log
Pag.38

Pentru a urmări jurnalele honeypotului scrieți: cat cowrie.log

 D.2.Honeypot-uri HTTP
GLASTOPF: acest honeypot bazat pe HTTP permite detectarea efectivă a
atacurile de aplicații web. Scris în Python, Glastopf poate imita mai multe tipuri de
vulnerabilități, incluzând inserția de fișiere,locală și la distanță, precum și InjecțiiSQL
(SQLi), folosind un sistem de logare centralizat cu HPFeeds.

Abordare generală:

 Emulare tip de vulnerabilitate în loc de emulare de vulnerabilitate. Odată ce un

tip de vulnerabilitate este emulat, Glastopf poate gestiona atacuri necunoscute
de același tip. În timp ce punerea în aplicare poate fi mai lentă și mai
complicată, rămânem în fața atacatorilor până când vin cu o nouă metodă sau
descoperim un nou defect în implementarea noastră.
 Proiectare modulară pentru a adăuga noi funcții de logare sau manipulatoare
de tip atac. Înregistrarea HPFeeds este acceptată pentru colectarea centralizată
a datelor.
 Emularea populară tip de atac este deja în vigoare: includerea fișierului de la
distanță printr-un PHP încorporat, includerea fișierelor locale care furnizează
fișiere dintr-un sistem de fișiere virtual și injecție HTML prin solicitări POST.
 Adversarii folosesc de obicei motoarele de căutare și cereri de căutare special
concepute pentru a-și găsi victimele. Pentru a-i atrage, Glastopf furnizează
Pag.39

acele cuvinte cheie (AKA „dork”) și le extrage în plus din cereri, extinzându-
și automat suprafața de atac. În consecință, rețelele dehoneypot devin din ce în
ce mai atractive cu fiecare nou atac încercat asupra lor.
 Instalare: cd / opt /clonă sudo git https://github.com/mushorg/glastopf.git/cd
glastopf/instalare sudo python setup.py
Configurare:cd / opt / sudo mkdir myhoneypot/ cd myhoneypot/ sudo glastopf-
runner
Model testare Honeypot Glastopf:
sudo glastopf-runner
2013-03-14 08:34:08,129 (glastopf.glastopf) Initializing Glastopf using
"/opt/myhoneypot" as work directory
2013-03-14 08:34:08,130 (glastopf.glastopf) Connecting to main database
with: sqlite:///db/glastopf.db
2013-03-14 08:34:08,152 (glastopf.modules.reporting.auxiliary.log_hpfeeds).
Connecting to feed broker.
2013-03-14 08:34:08,227 (glastopf.modules.reporting.auxiliary.log_hpfeeds).
Connected to hpfeed broker.
2013-03-14 08:34:11,265 (glastopf.glastopf) Glastopf started and privileges
dropped
2013-03-1408:34:32,853 (glastopf.glastopf) 192.168.10.85 requested GET/ on
192.168.10.102
NODEPOT: Această aplicație web poate fi concentrată pe Node.js și permite
să o rulăm în hardware limitat, cum ar fi Raspberry Pi / Cubietruck. Dacă executăm o
aplicație Node.js și căutăm să obținem informații valoroase despre atacurile primite și
să descoperim cât de vulnerabili suntem, atunci acesta este unul dintre cele mai
relevantehoneypoturi pentru noi. Disponibil pe cele mai moderne sisteme Linux,
rularea acestuia depinde doar de câteva cerințe minimale de hardware.

GOOGLE HACK HONEYPOT: cunoscut în mod obișnuit ca GHH, această

aplicație de honeypot emulează o aplicație web vulnerabilă care poate fi indexată de
crawler-urile web, dar rămâne ascunsă de cererile directe ale browserului. Legătura
transparentă folosită în acest scop reduce pozitivarea falsă și împiedică detectarea
Pag.40

prezențeihoneypot-urile. Acest lucru vă permite să testați aplicația dvs. împotriva unor

aplicații Google atât de populare. GHH oferă un fișier de configurare facil, precum și
câteva funcții de logare pentru a obține informații critice ale atacatorului, cum ar fi IP,
agent de utilizator și alte detalii despre antet.

Un Google Hack Honeypot (GHH) este conceput pentru a fi vulnerabil la

întrebările sofisticate ale motoarelor de căutare în scopul atragerii hackerilor și a
studierii comportamentului acestora. GHH plasează un link invizibil pe site-ul
utilizatorului care poate fi detectat prin utilizarea operatorilor de căutare avansată.
Hackingul Google (uneori numit Google dorking) reprezintă utilizarea operatorilor de
căutare avansate pentru a accesa informații greu de găsit. Deși hackingul Google are
multe scopuri de cercetare valabile, este folosit și de atacatori pentru a strânge
informații care pot fi utilizate în scopuri ilicite, precum furtul de identitate sau
spionajul corporativ. Motivul pentru care hackingul Google este eficient, este dat de
faptul că nici securitatea site-ului web, nici activele corporative nu sunt protejate în
mod adecvat.

Pentru un atacator, un punct de honeypot acționează ca un sistem live, dar nu

oferă acces la date mportante. De asemenea, un honeypot configurat în mod
corespunzător nu oferă dovezi unui hacker că acțiunile sale sunt monitorizate. Acesta
ar trebui să aibă conturi de utilizator, fișiere de sistem și porturi care răspund la
scanările de porturi. Cu toate acestea, în loc să ofere acces la date reale de back-end,
linkul invizibil de pe site-ul utilizatorului îi conduce pe hackeri către un script PHP
care își înregistrează activitatea.

Administratorii pot utiliza informațiile colectate pentru a bloca accesul la

resurse, pentru a întocmi statistici privind tentativele de hacking sau, dacă au ales, să
transmită informațiile despre hackeri către autorități.

D.3. HONEYPOT-uri WordPress

FORMIDABLE HONEYPOT:Acesta este unul dintre cele mai

popularehoneypoturi folosite cu Wordpress. Este literalmente invizibil pentru oameni;
numai bot-urile pot cădea în capcana lor, astfel încât odată ce un atac automat va intra
Pag.41

în rețeaua dvs., acesta va fi detectat și evitat în mod eficient. Este o modalitate

neintruzivă de a apăra Wordpress împotriva spamului. În mod convenabil, nu necesită
nicio configurație. Pur și simplu activați pluginul și acesta va fi adăugat la toate
formele pe care le utilizați în Wordpress, atât în versiunile gratuite, cât și în cele
profesionale.

BLACKHOLE PENTRU BAD BOTS:Acest honeypot este creat pentru a evita

boții automatizați să folosească lățimea de bandă inutilă și alte resurse de server din
infrastructura site-ului. Prin configurarea acestui plugin, puteți detecta și bloca boții
răi, de la atacuri malware automatizate la spam și chiar la mai multe tipuri de atacuri.
Acest cod de honeypot Wordpress funcționează prin adăugarea unui link ascuns în
subsolul tuturor paginilor tale. În acest fel, acesta nu este detectat de oameni și prinde
doar boți răi care nu respectă regulile botilor. Odată ce un bot rău este prins, acesta va
fi blocat de la accesarea site-ului dvs. web.

Ce?
Blackhole for Bad Bots este un plugin simplu care creează o capcană de
tip honeypot pentru boții răi. Include un link ascuns către site-ul dvs. WordPress
și adăugați o linie în fișierul robots.txt pentru a interzice roboților să urmărească
linkul ascuns. Orice boți care ignoră sau nu ascultă regula robots.txt vor accesa
Pag.42

link-ul și vor fi prinși - le va fi refuzat accesul suplimentar pe site-ul dvs.

De ce?
 Robots.txt, standardul de excludere a boților, este un standard care
specifică modul de informare a botului web despre ce zone ale site-ului nu
trebuie procesate sau scanate. Boții buni ar trebui să respecte standardul. Putem
presupune în siguranță că orice bot care nu respectă regulile robots.txt este
unbot rău, apoi îl împiedică să mai acceseze site-ul.
StopBadBots

Ce?
StopBadBots blochează boții răi web de a vizita site-ul dvs. WordPress. Nu
folosește roboți.txt și .htaccess. Baza de date include peste 2570 de boți și se
actualizează automat. Puteți adăuga manual boturi nelimitate și opțiunea de a activa /
dezactiva blocarea pentru fiecare bot.
De ce?
Boții afectează performanțele site-ului dvs. web, vă fură conținutul, consumă
Pag.43

lățimea de bandă și caută vulnerabilități pentru a vă hackui site-ul. StopBadBots este

ușor de configurat pentru a rezolva problema boților răi.
 WORDPOT: acesta este unul dintre cele mai eficientehoneypot-uri
Wordpress pe care le puteți utiliza pentru a îmbunătăți securitatea Wordpress. Vă
ajută să detectați timpuriu semnele rău intenționate pentru pluginuri, teme și alte
fișiere comune utilizate pentru a amprenta instalări de wordpress. Scris în Python, este
ușor de instalat, poate fi gestionat de la linia de comandă fără probleme și include un
fișier wordpot.conf pentru o configurare ușoară a honeypot-ului. Ne permite, de
asemenea, să instalăm pluginuri Wordpot personalizate, astfel încât să putem imita
vulnerabilitățile populare Wordpress.

Fișierele sysconfig, precum și fișierele docker-compose.yml de mai jos sunt

destinate să ne ajute să înțelegem diferitele opțiuni. Deși pot servi drept bază pentru
utilizatorii cu nevoi avansate de implementare, majoritatea utilizatorilor ar trebui să
facă implicit fișierele de configurare furnizate de scripturile de implementare din
interfața web CHN.

 Exemplu de wordpot docker-compose.yml

 version: '2'

 services:

 wordpot:

 image: stingar/wordpot:1.8

 volumes:

 - ./wordpot.sysconfig:/etc/default/wordpot
Pag.44

 - ./wordpot:/etc/wordpot
 ports:

 - "8080:8080"

Exemplu de wordpot.sysconfig file

Înainte de a începe, Wordpot va analiza unele opțiuni de la

/etc/default/wordpot   pentru sisteme sau containere bazate pe Debian. Ceea

ce urmează este un exemplu de fișier de configurare:

# This file is read from /etc/default/wordpot

 #

 # This can be modified to change the default setup of the wordpot

unattended installation

 DEBUG=false

 # IP Address of the honeypot

Pag.45

 # Leaving this blank will default to the docker container IP

 IP_ADDRESS=

 # CHN Server api to register to

 CHN_SERVER="http://<IP.OR.NAME.OF.YOUR.CHNSERVER>"

 # Server to stream data to

 FEEDS_SERVER="<IP.OR.NAME.OF.YOUR.HPFEEDS>"

 FEEDS_SERVER_PORT=10000

 # Deploy key from the FEEDS_SERVER administrator

 # This is a REQUIRED value

 DEPLOY_KEY=


Pag.46

 # Registration information file

  # If running in a container, this needs to persist

 WORDPOT_JSON="/etc/wordpot/wordpot.json

 # Wordpress options

 WORDPRESS_PORT=8080

D.4. HONEYPOT-uri pentru protecția bazelor de date

HoneyMYSQL:Acest tip de honeypot MySQL este creat pentru a vă proteja
bazele de date bazate pe SQL. Scris în Python, funcționează pe majoritatea
platformelor și poate fi instalat cu ușurință prin clonarea repo GitHub.Pentru a
înțelege MySQL, trebuie mai întâi să înțelegem bazele de date și SQL. Dacă știm deja
baze de date și SQL, putem sări la secțiunea Ce este MySQL?

Introducere în baze de date

Te ocupi de date în fiecare zi ...
Când doriți să ascultați melodiile preferate, vă deschideți lista de redare de pe
smartphone. În acest caz, lista de redare este o bază de date.
Când faceți o fotografie și o încărcați în contul dvs. pe o rețea de socializare
precum Facebook, galeria foto este o bază de date.
Când parcurgeți un site de comerț electronic pentru a cumpăra încălțăminte,
haine etc., utilizați baza de date cu coșul de cumpărături.
Bazele de date sunt peste tot. Deci, ce este o bază de date? Prin definiție, o
bază de date este doar o colecție structurată de date. Datele referitoare la fiecare, prin
natură, de exemplu, un produs aparținea unei categorii de produse și asociate cu mai
Pag.47

multe etichete. Prin urmare, folosim termenul de bază de date relațional.În baze de
date relaționale, modelăm date precum produse, categorii, etichete etc., folosind
tabele. Un tabel conține coloane și rânduri. Este ca o foaie de calcul.Un tabel se poate
raporta la un alt tabel folosind o relație, de exemplu, relații unu la unu și unul la mai
multe.Deoarece avem de-a face cu o cantitate semnificativă de date, avem nevoie de o
modalitate de a defini bazele de date, tabele etc. și să procesăm datele mai eficient. În
plus, dorim să transformăm datele în informații.
Și aici aprea rolul SQL.
SQL conține trei părți:
A. Limbajul de definire a datelor include enunțuri care vă ajută să definiți baza
de date și obiectele acesteia, de exemplu, tabele, vizualizări, declanșatoare, proceduri
stocate etc.
B. Limbajul de manipulare a datelor conține declarații care vă permit să
actualizați și să interogați datele.
C. Limbajul de control al datelor vă permite să acordați permisiunile unui
utilizator pentru a accesa date specifice din baza de date.
Acum, înțelegeți baza de date și SQL și este timpul să răspundem la următoarea
întrebare:
Ce este MySQL?
Numele este dat de numele fiicei co-fondatorului MySQL, Monty Widenius.
Numele MySQL este combinația dintre My și SQL, MySQL.
MySQL este un sistem de gestionare a bazelor de date care vă permite să
gestionați baze de date relaționale. Este un software open source susținut de Oracle.
Înseamnă că puteți utiliza MySQL fără să plătiți niciun ban. De asemenea, dacă doriți,
puteți modifica codul sursă pentru a se potrivi nevoilor dvs.
Chiar dacă MySQL este un software open source, puteți cumpăra o versiune de
licență comercială de la Oracle pentru a obține servicii de asistență premium.
MySQL este destul de ușor de gestionat în comparație cu alte programe de bază
de date precum Oracle Database sau Microsoft SQL Server.
MySQL poate rula pe diverse platforme UNIX, Linux, Windows etc. Se poate
instala pe un server sau chiar pe un desktop. În plus, MySQL este fiabil, scalabil și
rapid. Modul oficial de a pronunța MySQL este My Ess Que Ell. Dacă dezvoltați site-
Pag.48

uri web sau aplicații web, MySQL este o alegere bună. MySQL este o componentă
esențială a stivei LAMP, care include Linux, Apache, MySQL și PHP.
 ELASTICHONEY: Acesta este un honeypot simplu, dar eficient, care ne va
permite să surprindem încercări de exploatare a vulnerabilităților RCE. Funcționează
primind cereri de atac pe mai multe puncte finale populare, cum ar fi /, / _search și /
_nodes, și apoi răspunde difuzând un răspuns JSON care este identic cu Elasticsearch
vulnerabilă. Toate jurnalele sunt salvate într-un fișier numit elastichoney.log. Este
important de menționat că este disponibil atât pentru sistemele de operare Windows
cât și pentru Linux.

MongoDB-HoneyProxy: Unul dintre cele mai popularehoneypot-uri

MongoDB, acesta este în mod special un proxy de tip honeypot care poate rula și
înregistra tot traficul rău intenționat într-un server MongoDB. Node.js, npm, GCC, g
++ și un server MongoDB sunt necesare pentru ca acest hipo MongoDB să
funcționeze corect. Poate fi rulat în interiorul unui container Docker sau în orice alt
mediu VM.

E.5. HONEYPOT Email

Honeymail: Dacă sunteți în căutarea unei modalități de a opri atacurile bazate
pe SMTP, aceasta este soluția perfectă. Scris în Golang, acesthoneypot pentru
protecția e-mailurilor vă va permite să configurați numeroase funcții pentru a detecta
și preveni atacurile împotriva serverelor dvs. SMTP. Principalele sale caracteristici
includ: configurarea mesajelor de răspuns personalizate, care permite criptarea
StartSSL / TLS, stocarea e-mailurilor într-un fișier BoltDB și extragerea informațiilor
atacatorului cum ar fi domeniul sursă, țara, atașamentele și părțile de e-mail (HTML
sau TXT). De asemenea, oferă protecție DDoS simplă, dar puternică împotriva
conexiunilor masive.

Mailoney: Acesta este un excelent mesaj de e-mail scris în Python. Poate fi

rulat în diferite moduri, cum ar fi open_relay (înregistrarea tuturor e-mailurilor care
au încercat să fie trimise), postfix_creds (folosit pentru a înregistra acreditările din
încercările de autentificare) și schizo_open_relay (care vă permite să înregistrați
Pag.49

totul).
 SpamHAT:Acest honeypot este conceput pentru a prinde și a preveni atacarea
spamului din oricare dintre căsuțele dvs. de e-mail. Pentru a face acest lucru,
asigurați-vă că aveți Perl 5.10 sau o versiune superioară instalată, precum și unele
module CPAN precum IO :: Socket, Mail :: MboxParser, LWP :: Simple, LWP ::
UserAgent, DBD :: mysql, Digest: : MD5 :: Fișier, precum și un server MySQL care
rulează cu o bază de date numită 'spampot'.

D.6.HONEYPOT-uri IOT

HoneyThing: Creat pentru Internetul serviciilor activate TR-069, acest tip de

honeypot funcționează ca un modem / router complet care rulează serverul web
RomPager și acceptă protocolul TR-069 (CWMP). Acesthoneypot este capabil să
emuleze vulnerabilități populare pentru Rom-0, Cookie, RomPager și multe altele.
Oferă asistență pentru protocolul TR-069, incluzând majoritatea comenzilor CPE
populare, cum ar fi GetRPCMethods, valori de parametri Get / Set, Download, etc. În
cele din urmă, toate datele critice sunt înregistrate într-un fișier numit honeything.log

Kako: configurația implicită va rula o serie de simulări de servicii pentru a

capta informații de atac de la toate cererile primite, inclusiv corpul complet. Include
servere Telnet, HTTP și HTTPS. Kako necesită următoarele pachete Python pentru a
funcționa corect: Faceți clic, Boto3, Cereri și Cerberus. După ce ați fost acoperit cu
pachetele necesare, puteți configura acest Ipot de honeypot-uri folosind un fișier
YAML simplu numit kako.yaml. Toate datele sunt înregistrate și sunt exportate în
format AWS SNS și în format JSON cu fișier plat.

D.7.Alte HONEYPOT-uri

Dionaea: Acest honeypot de interacțiune scăzută scrisă în C și Python

folosește biblioteca Libemu pentru a emula execuția instrucțiunilor Intel x86 și a
detecta codurile shellcode. În plus, putem spune că este un punct de honeypot multi-
Pag.50

protocol care oferă suport pentru protocoale precum FTP, HTTP, Memcache,
MSSQL, MySQL, SMB, TFTP, etc. Capacitățile sale de înregistrare oferă
compatibilitate cu Fail2Ban, hpfeeds, log_json și log_sqlite.
 Miniprint:imprimantele fiind unele dintre cele mai ignorate dispozitive din
rețelele de calculatoare, Miniprint este aliatul perfect atunci când trebuie să detectați
și să colectați atacuri bazate pe imprimantă. Funcționează prin expunerea imprimantei
la Internet folosind un sistem de fișiere virtual unde atacatorii pot citi și scrie date
simulate. Miniprint oferă un mecanism de logare foarte profund și salvează orice
postscript sau lucrări simple de imprimare a textului într-un director de încărcare
pentru analiză ulterioară

Honeypot-ftp: Scris în Python, acest FTP tip hpot oferă suport complet pentru
FTP și FTPS simpli, astfel încât să puteți efectua o pistă profundă de credențe de
utilizator și parolă utilizate în încercările de conectare ilegale, precum și fișiere
încărcate pentru fiecare sesiune FTP / FTPS.

HoneyNTP: NTP este unul dintre cele mai ignorate protocoale de pe Internet
și de aceea este o idee bună să rulați un NTP Honeypot. Acesta este un server NTP
simulat Python, care rulează fără blocare atât pe sistemele de operare Windows cât și
pe Linux. Funcționează prin logarea tuturor pachetelor NTP și a numerelor de port
într-o bază de date Redis, astfel încât să puteți efectua o analiză ulterioară.

Pag.51
 CAPITOLUL III

Analiza conceptului de "honeynets" - colecții de simulatoare de tip

"honeypots" concepute pentru a arata ca servicii de rețea comune și
servere.

A. Introducere

În cadrul sistemelor de comunicatii ale companiilor, atat in retelele de business

(IT) cat și în cadrul retelelor aferente infrastructurilor industriale (OT), cresterea
nivelului securității cibernetice reprezintă un proces continuu în care problema
principală o reprezintă determinarea modului în care atacatorii pot acționa sau, altfel
spus, ce metodele pot folosi pentru a se asigura că acțiunile lor au succes.
Pentru dezvoltarea și îmbunătățirea măsurilor de protecție împotriva atacurilor
cibernetice îndreptate împortiva infrastructurilor critice, unul dintre instrumentele
utilizate de către specialiștii în securitate cibernetică este așa-numita rețea honeypot, o
rețea proiectată folosind diferite instrumente și sisteme de operare cu scopul precis de
a fi ținta atacatorilor, simulând cât mai fidel un mediu de producție similar
infrastructurii de comunicații și control industrial. In urma unui atac asupra acestui
mediu simulat, putem obține informații despre atacatori și modul în care aceștia
operează.
Cum să proiectăm și să implementăm o rețea honeypot OT nu este o sarcină
atât de banală pe cât ne-am dori să fie, având în vedere că aceasta rețea constă în
interconectarea mai multor dispozitive de tip honeypot cu roluri distincte, simulând
astfel cât mai fidel o infrastructură de comandă, achiziție de date și control al
execuției unor procese industriale reale (SCADA). Componentele principale ale
rețelei, numite sisteme sau noduri de tip honeypot, sunt instrumente concepute pentru
Pag.52

a-l înșela și atrage pe atacator, de unde și denumirea de „honeypot - borcan cu miere”.

Prin utilizarea acestui tip de instrumente se pot obține informații valoroase
despre atacatori, oferind protecție împotriva posibilelor încercări de intruziune în
sistemele de control industrial, acționand în scopul prevenirii, detecției și răspunsului
la incidentele de securitate.
Fiind mereu cu un pas inaintea specialiștilor în securitate cibernetică,
atacatorii învață și folosesc tehnici noi pentru a încerca să compromită sistemele
vizate. Folosind o rețea honeypot care a fost proiectată și pregătită ca mijloc de
apărare, pentru a putea fi atacată și a aduna o cantitate cât mai mare de informații
despre metodele și tehnicile utilizate de atacatori, specialistii în securitate cibernetică
se pot adapta foarte repede la noile metode de atac, pregătind astfel intr-un timp cât
mai scurt metode de contra-atac și apărare a rețelelor reale industriale și IT. Utilizarea
acestui tip de rețea a început în 1999 cu „The Honeynet Project”, când fondatorul său,
Lance Spitzner, a dezvăluit conceptul de honeypot.

B. Arhitectura dispozitivelor honeypot si a retelelor honeynet

Obiectivul principal urmarit in realizarea unei retele honeynet este de a realiza

o simulare cât mai realistă a ceea ce ar fi o rețea reală OT, incluzand sisteme de
producție, PLC-uri, servere SCADA, servicii, etc. Reteaua trebuie conceputa pentru a
putea fi compromisa de atacatori, dar in acelasi timp pentru a permite extragerea unei
cantitatati insemnate de informații în ceea ce privește tehnicile și instrumentele
utilizate de atacator.
Gradul de succes in implementarea unei rețele honeypot constă în posibilitatea
de a monitoriza toate mișcările și acțiunile atacatorului în cadrul rețelei. Toate urmele
lăsate de atacator, datorită acțiunilor și utilizării instrumentelor specifice atacului, sunt
analizate și monitorizate pentru a putea ști ce tactici sunt utilizate și care este
obiectivul final urmarit de catre acesta. Un factor important in succesul implmentarii
retelei îl constituie abilitatea atacatorilor, deoarece, dacă atacatorul are experiență,
este posibil să detecteze că este intr-un mediu simulat și să oprească atacul. În plus, pe
Internet există instrumente care pot fi folosite pentru identificarea rețelelelor care
utilizează honeypot-uri, cum ar fi Honeypot Or Not de la Shodan.
Pag.53

Cea mai semnificativă provocare constă în identificarea și localizarea

activităților desfășurate de atacatorii cibernetici în rețeaua honeypot. Instrumentele
folosite in acesst scop sunt cele specifice captarii si analizei traficului din retea,
Wireshark, tcpdump etc.
În general, nu există modele de arhitectură specifice atunci când trebuie sa
implementam o retea honeypot industriala, deoarece nu există un standard general
acceptat, astfel încât marea majoritate a acestor retele au arhitecturi diferite.
Elementele specifice simularii unei retele industriale de tip honeynet, cum ar fi
echipamente de tip PLC, HMI, servere SCADA sau sistemele pentru jurnalizarea
activității atacatorilor, precum și uneltele software de analiză utilizate pentru
detectarea acțiunilor acestora, variază în funcție de tipul infrastructurii simulate. Altfel
spus, o retea honeypot nu este un produs software finit, deși elementele cheie sunt
produse software, ci este o rețea binecontrolată pentru inducerea în eroare și
analizarea atacatorilor și a metodelor de operare ale acestora în timp real.
Principalele componente care alcătuiesc o retea honeypot sunt:
- Un gateway prin care trece tot traficul, atât cel de intrare cât și cel de ieșire
din rețeaua simulată,și prin care atacatorul este obligat să treacă.
- Elementele de tip honeypot menite să simuleze echipamente finale țintă ale
atacurilor cibernetice, cum ar fi echipamente de tip PLC, servere SCADA, HMI,
RTU, și alte elemente specifice capabile să-l facă pe atacator să creadă că se află în
rețeaua industrială reală și nu într-un mediu simulat.
Sistemele de tip honeypot pentru echipamntele specifice SCADA mai sus
enumerate, trebuie întotdeauna sa fie configurate astfel încat să simuleze un mediu cât
mai realist posibil, încercând să-l înșele pe atacator pentru a-l face să creadă că
accesează echipamente reale de producție. In cazul în care atacatorul ar avea
suspiciuni, ar putea să finalizeaze atacul fără a lăsa nicio informație utilă specialistilor
care analizează metodele și instrumentele folosite de acesta.
Cele două componente principale ale unei rețele honeynet sunt usor
identificabile in figura de mai jos:
Pag.54
 Firewall-ul folosit în cadrul arhitecturii rețelei honeynet este o mașină care
este pregătită exclusiv să acționeze ca un firewall de perimetru, pentru a filtra și
monitoriza traficul care intră și iese din rețeaua monitorizată. Prin urmare, acesta
trebuie să combine funcții de tip IDS, monitorizare rețea șiraportare audit.
Honeyid-ul este un sistem simulat în cadul retelei honeynet si care servește ca
instrument de securitate conceput pentru a primi atacuri. Obiectivul său principal este
de a obține date valoroase despre atacatorii cibernetici, dintre care menționăm:
metodele de expoatare a vulnerabilitățior, instrumentele utilizate, tehnicile de
intruziune și modul de operare.
Atunci când instalăm un honeypot, trebuie să decidem între cele două opțiuni
existente: echipamente fizice sau virtuale. Diferențele dintre cele două opțiuni constau
în faptul că un echipament fizic va face mai dificil pentru atacator să-și dea seama că
se află în interiorul unei simulări dar, din pacate, nu poate îndeplini decât un numar
limitat de funcții, similar cu un echipament real dintr-o rețea industrială, ca de
exemplu un PLC sau un echipament de control și monitorizare de tip HMI. Pe de altă
parte, honeypotul simulat nu este pe deplin funcțional, ca un echipament real de
Pag.55

productie. Acesta ruleaza servicii care vă permite să imitați simultan mii de sisteme de
operare și caracteristicile acestora, fiind capabil să simuleze sistemul de operare la
nivelul stivei TCP/IP, astfel încât să vă permită să înșelați instrumente de scanare a
rețelei și a porturilor, cum ar fi nmap și xprobe. Deoarece este un sistem virtual, vă
permite să aveți servicii reale precum http, ftp sau telnet, cu scopul de a-l face pe
atacator să creadă că se află într-un mediu real.
Pentru mediile industriale, trebuie luate în considerare diferite aspecte pentru a
configura o rețea cât mai completă posibil, în special în ceea ce privește dispozitivele
PLC, HMI sau serverele SCADA, în sensul că decide care dintre aceste echipamente
trebuie sa fie reale si care simulate. Actul de a simula complet rețeaua industrială
presupune un balans fin între costurile implementării și folosirea echipamentelor
virtuale cu posibile efecte adverse in prezentarea unui mediu cât mai real cu putință
atacatorilor.

În ce fel este diferit conceptul de honeynet de cel de honeypot și honeyd?

Două sau mai multe honeypot-uri formează o rețea de honeypot. În unele
cazuri, un singur honeypot nu va fi suficient (exemplu: baze de date, ATC-uri), prin
urmare, o retea de honeypot joacă un rol esențial în monitorizarea întregii rețele la o
scară mai mare. Rețelele (plasele) de honeypot sunt de obicei implementate ca părți
ale sistemelor mai mari de detectare a intruziunilor în rețea. În plus față de honeypot,
de obicei, o rețea de honeypot are aplicații și servicii reale, astfel încât să pară o rețea
normală și o țintă demnă de a fi atacată. Cu toate acestea, pentru că rețeaua de
honeypot nu servește de fapt niciunui utilizator autorizat, orice încercare de a penetra
rețeaua fără aprobare este probabil o tentativă ilicită de a-și încălca securitatea, iar
orice activitate de ieșire este o probă că un sistem a fost compromis. Din acest motiv,
informațiile suspecte sunt mult mai evidente decât ar fi într-o rețea reală, unde ar
trebui să fie găsite în mijlocul tuturor datelor legitime ale rețelei. Aplicațiile din cadrul
unei rețele de honeypot sunt adesea date cu numele „finanțe” sau „resurse umane”
pentru a le face să sune atrăgător pentru atacator.

Poate fi configurat wireless un honeypot?

Da, se poate!
Odată cu creșterea exponențială a utilizării dispozitivelor wireless,
Pag.56

amenințarea atacurilor wireless este de asemenea în creștere. Scopul implementării

honeypotu-urilor de tip wireless este captarea comportamentelor sistemului nostru
într-o zonă wireless și obținerea unor informații și statistici. Honeyspot este
binecunoscutul proiect wireless, susținut de Spanish Honeynet Project.În figurile de
mai jos (5 și 6) este prezentat schematic un honeyspot.

Instrumentul Honeyd este creat pentru a oferi topologie falsă pe Internet. Acest
lucru poate fi realizat prin configurarea unei topologii de rețea virtuală pentru întreg
spațiul de adrese IP, cu excepția intervalului de adrese care este servit de DHCP.
Acest lucru se poate face fără ca laptopul să fie conectat la internet în sine. Există
diferite tipuri de scenarii de atac pe care straturile rețelei sunt configurate odată cu
Pag.57

desfășurarea punctelor de honeypot.

Studii bibliografice aferente:
http://ijns.jalaxy.com.tw/contents/ijns-v15-n5/ijns-2013-v15-n5-p373-383.pdf
http://www.diva-portal.org/smash/get/diva2:327476/fulltext01

Pag.58
 CAPITOLUL IV

Studiul și analiza privind beneficiile simulatoarelor de tip

“honeypot” asupra infrastructurilor și serviciilor critice față de alte
măsuri de securitate

A. Avantajele și dezavantajele implemetării unui honeypot

Avantaje:
1. Simplu de înțeles și întreținut;
2. Rezultate fals pozitive foarte reduse - în cazul în care majoritatea
tehnologiilor de detectare (IDS, IPS), o mare parte din alerte sunt avertismente false,
în timp ce în cazul Honeypot-urilor acest lucru nu este valabil;
3. Rentabilitate;
4. Colectați date reale – Honeypot-urile colectează un volum mic de date, dar
aproape toate aceste date sunt un atac real sau o activitate neautorizată;
5. Criptare IPv6.
Dezavantaje:
1. Risc - un honeypot, odată atacat, poate fi folosit pentru a infiltra sau dăuna
altor sisteme sau organizații;
2. Câmpul îngust al vizualizării - dacă un atacator intră în rețeaua dvs. și atacă
o varietate de sisteme, honeypot-ul dvs. nu va cunoaște în mod fericit activitatea decât
dacă este atacat direct;
3. Honeypot-urile pot fi folosite ca un zombie pentru a ajunge la alte sisteme și
a le compromite.
Acest lucru poate fi foarte periculos.
B. Preocupări etice legate de honeypot-uri

Fiecare țară are legi diferite cu privire la utilizarea honeypot-urilor și captarea

informațiilor. Pe baza scenariilor de utilizare, există diferite probleme legale care
Pag.59

vizează același lucru. Nu există precedente privind utilizarea honeypot-urilor și nu au

fost înregistrate cazuri legale cu privire la aceste probleme.
Există trei aspecte care sunt discutate în mod obișnuit:
 1. Confidențialitate: întrucât honeypot-urile captează o cantitate mare de
informații despre hackeri, acest lucru poate încălca confidențialitatea lor. În unele
cazuri există o acoperire legală, ceea ce înseamnă că tehnologiile de securitate pot
capta informații despre identitatea atacatorului, atât timp cât este folosită pentru a vă
asigura mediul.
2. Răspundere: În cazul în care honeypot-ul este folosit pentru a ataca sau a
dăuna altor sisteme din rețea, există îngrijorarea cu privire la răspunderea pentru
honeypot. Riscul este cel mai mare în cazul honeypot-urilor de cercetare. Aici este
cazul și Cyber Range-ului de cercetare din Universitatea Națională de Apăare Carol I.
3. Deconspirare: în majoritatea cazurilor care implică honeypot, nu este o
problemă. Potrivit articolului Lance Spitzner The Value of Honeypots, Partea a doua:
Honeypot Solutions și Legal Issues, honeypot-urile nu pot reprezenta probleme. Iată
cele trei motive pentru care capturarea lor nu este o problemă pentru honeypot:
- „Honeypot-urile nu induc și nu conving pe nimeni, sunt cel mai adesea
sisteme de producție sau emulează sisteme de producție.
- Atacatorii găsesc și atacă honeypotu-rile pe baza propriei inițiative.
- Majoritatea administratorilor nu fac aplicarea legii. Nu folosesc honeypot-
urile pentru colectarea probelor și urmărirea penală. În mod normal, sunt folosite ca
mijloace pentru a detecta și, eventual, pentru a afla despre atacuri"
Bibliografiecu studii detaliate:
https://link.springer.com/article/10.1186/s13635-017-005
http://www.diva-portal.org/smash/get/diva2:327476

C. Firewall-uri și Honeypot-uri. Cum interacționează împreună

Practic, un firewall este conceput pentru a-i ține pe atacatori în afara rețelei, în
timp ce honeypot-urile sunt concepute pentru a atrage hackerii să atace sistemul.
Acest lucru se face astfel încât un cercetător de securitate să știe cum funcționează
hackerii și să știe în ce sisteme și porturi sunt cei mai interesați hackerii. De
asemenea, activitățile de jurnal de firewall conțin și evenimente legate de sistemele de
Pag.60

producție. Pe baza aplicației și a mărimii rețelelor, honeypot-urile sunt dislocate fie în

firewall, fie în exterior.
 Cu toate acestea, în cazulhoneypot-urilor, jurnalele se datorează numai
sistemelor neproductive, acestea sunt sistemele cu care nimeni nu ar trebui să
interacționeze. Așadar, un jurnal de firewall conține 1000 de intrări ale tuturor
sistemelor rețelei, în timp ce jurnalul punctului de honeypot conține doar 5-10 intrări.

SCADA (Supervisory Control and Data Aqusition )

Controlul, supravegherea și achiziția de date (SCADA) este o parte integrată a
unei rețele de control de proces. SCADA are aplicații în multe locuri complexe și
critice, cum ar fi centralele nucleare, rețelele de electricitate, controlul traficului
aerian, centrele de lansare prin satelit și multe altele. „Virusul Stuxnet” și „Duqu” au
dovedit necesitatea securității și controlului proceselor care a provocat daune
substanțiale programului nuclear iranian. O rețea tipică de control de proces (PCN)
este clasificată pe patru niveluri, începând cu nivelul 0. Considerând ca exemplu, un
control al temperaturii într-o podea dintr-o fabrică.
Nivelul 0: Senzorul de temperatură sesizează temperatura unui cazan și trimite
valorile controlerului - de obicei semnalele sunt de natură analogică.
Nivelul 1: Pe baza valorii sesizate, acțiunile necesare sunt executate de
controler, fie reglați temperatura, fie activați-o / opriți-o.
Nivelul 2: Pe podeaua fabricii pot exista mai multe dintre aceste controlere,
acestea fiind conectate la un sistem de control centralizat (SCADA) care
supraveghează controlul pentru a asigura sincronizarea între diferite procese.
Nivelul 3: Aici sunt instalate controlere avansate pentru optimizarea
proceselor.
De obicei, nivelul 1 până la nivelul 3 poate utiliza Ethernet pentru
conectivitate. Rețeaua de afaceri care nu face parte din PCN este considerată ca nivel
4 și trebuie să avem grijă să controlăm accesul între aceste două rețele. SCADA la
nivelul 2, este una dintre cele mai importante părți ale PCN. Este utilizat pentru a
monitoriza și înregistra centralizat diverși parametri de proces. Aici, procesele pot fi
rulate într-o singură locație fizică și SCADA poate fi localizată în locații complet
Pag.61

diferite. Conform cerințelor, legăturile WAN/LAN sunt utilizate pentru

interconectarea dintre ele.Honeypot-uri/ Honeynet-uri ar putea fi implementate la
nivelul 2 imitând sistemele SCADA. Un atacator poate ataca un honeypot SCADA
percepând că este un adevărat sistem SCADA.

Source: http://www.water-simulation.com/wsp/2013/08/13/hackers-caught-
taking-over-honeypot-water-pumping-station

Cum se setează un honeypot pe SCADA?

Honeyd: Un honeypot open source
După cum este definit de honeyd.org, Honeyd este un mic daemon care
creează gazde virtuale într-o rețea. Aceste gazde pot fi configurate pentru a rula
servicii arbitrare, iar personalitatea lor poate fi adaptată astfel încât să pară că rulează
anumite sisteme de operare.Honeyd permite unei singure gazde să solicite mai multe
adrese (testate până la 65536) pe o rețea LAN pentru simularea rețelei. Honeyd
îmbunătățește securitatea cibernetică prin furnizarea de mecanisme pentru detectarea
și evaluarea amenințărilor. De asemenea, detronează adversarii prin ascunderea
Pag.62

sistemelor reale în mijlocul sistemelor virtuale.

Fișierul de configurare Honeyd definește modul în care pot răspunde
honeypot-urile configurate la diferite tipuri de solicitări, cum ar fi ICMP Ping, cereri
pe porturile UDP, TCP SYN, etc, astfel, într-un fel, definirea stării diverselor porturi
și servicii. Acest răspuns este interpretat de instrumentul de scanare ca un sistem care
rulează un serviciu corespunzător.

Ubuntu: http://opensourceforu.com/2013/12/secure-scada-network-using-
honeypot/

Pag.63
 CAPITOLUL V

Studiul/analiza proiectului dezvoltat de compania de cercetare în

domeniul securității infrastructurilor critice - Digital Bond (o mașină
virtuală acționează ca un honeypot PLC ce simulează protocoalele
FTP, Telnet, HTTP, SNMP și Modbus TCP și o mașină virtuală ce
monitorizează traficul în cadrul rețelei)

Honeynet-urile sunt instrumente de securitate care pot fi utilizate în proiecte

de cercetare pentru a afla despre amenințarea la un sistem sau rețea sau ca dispozitiv
de avertizare timpurie pentru atacuri cibernetice asupra sistemelor de producție.
Proiectul Honeynet a direcționat calea în dezvoltarea tehnologiei Honeynet, dar până
în prezent, țintele Honeynet au fost limitate la sisteme și aplicații de operare foarte
comune. A existat un efort anterior SCADA Honeynet al lui Franz și Pothamsetty care
au arătat posibilitățile pentru un SCADA Honeynet, dar nu a folosit software-ul Open
Source existent pentru serviciile SCADA. În acest capitol, echipa de cercetare din
cadrul proiectului SAFEPic a ales să discute despre un proiect de cercetare digitală a
obligațiunilor,Digital Bond,care a exploatat tehnologia Honeynet existentă și
instrumentele SCADA Open Source pentru a crea și monitoriza SCADA Honeynets.
Obiectivele proiectului au fost:
• a adăuga inteligență SCADA soluțiilor Honeynet existente;
• a proiecta un SCADA Honeynet care simulează în mod realist un
PLC;
• a proiecta un SCADA Honeynet care nu necesită nicio plată pentru
licențe software pentru sisteme de operare, simulatoare sau servicii;
• a proiecta un SCADA Honeynet ușor de implementat și care nu
necesită cunoștințe detaliate despre Honeynets sau PLC.
A. Arhitectura SCADA Honeynet
Pag.64

Obiectivele SCADA Honeynet au dictat selecția Linux ca sistem de operare și

alte servicii Open Source. VMware a fost un instrument cheie pentru furnizarea unei
soluții de computer SCADA Honeynet, ușor de implementat. Modificările recente ale
licențelor VMware au permis crearea de mașini virtuale SCADA Honeynet (VM) care
pot fi distribuite fără costuri destinatarului. Cu VMware există o comunicare destul de
mare între interfețele virtuale care au loc pe un singur computer SCADA Honeynet
PC, așa cum se arată în figura de mai jos.

Caseta mare din partea de jos a figurii de mai sus (Fig. 10) reprezintă
computerul. În computer se află Sistem de operare gazdă Linux care rulează VMware
cu două mașini virtuale, un VM Honeywall și un VM. Comunicarea se schimbă și se
împarte între cele trei sisteme, după cum este necesar.
Diagrama prezintă două interfețe fizice, 1 care este expusă hackerilor și 0 care
este utilizat pentru management. Eticheta fizică de fapt nu are o adresă IP. Tot traficul
este transferat prin VM Honeywall către interfața eth0 a VM.

B. Servicii SCADA Honeynet

Simulare Web
Cele mai multe distribuitoare automate din ultimii cinci ani oferă o interfață
web pentru administrare, care expune un protocol atacat frecvent adversarilor care,
inițial, ar putea să nu aibă cunoștințe despre sistemele de control. Atacurile
Pag.65

automatizate asupra tcp / 80 pot identifica vulnerabilitățile serverului web sau datele
slabe de autentificare. Atacurile manuale pot vizualiza paginile web ale PLC-ului,
identifica dispozitivul și permit unui atacator să cerceteze vulnerabilitățile cunoscute
pentru a crea un atac pe serverul web sau porturile SCADA. PLC-ul țintă pe care
SCADA îl simulează are o interfață administrativă web.
Un serviciu http trebuie să fie realist și să crească suprafața atacului. Am
selectat FizMez, un proiect autorizat GPL bazat pe Java, pentru serviciul web. FizMez
este un serviciu portabil intuitiv pentru a emula o interfață web PLC. Emularea unor
servicii SCADA poate necesita simulatoare sau servicii proprii care rulează pe
Microsoft Windows, iar Java oferă această flexibilitate viitoare. Atacatorii pot
determina de multe ori furnizorul de server web și numărul versiunii, prin telneting la
tcp / 80 și emiterea unei comenzi GET. Deoarece PLC-ul țintă nu utilizează serviciul
http FizMez, a fost necesară modificarea amprentei serverului web PLC, așa cum se
arată mai jos.
telnet popular.plc.digitalbond.com 80
Connected to popular.plc.digitalbond.com.
Escape character is '^]'.
GET index.htm HTTP/1.1
HTTP/1.0 200 OK
Server: DECORUM/2.0
Content-Type: text/html
Emularea daemonului serviciului web PLC a necesitat o modificare minoră a
sursei fișierului FizMezWebServer.java. După cum a arătat ieșirea câmpului antetului
de răspuns al serverului, răspunsul realist pentru a emula este:
“DECORUM/2.0”.
conf.put("ServerString","DECORUM/2.0");
Al doilea pas esențial pentru emularea daemonului serverului web este
propagarea FizMez cu conținut PLC. Acest lucru se poate face cu ușurință prin
copierea conținutului de pe dispozitivul PLC cu un instrument precum wget.
Instrumentele Spidering precum wget se conectează la serviciile web PLC, se
autentifică cu acreditările implicite corespunzătoare și încep să descarce tot conținutul
într-o ieșire ierarhică. Acest conținut conține aplicații Java și grafică pe care FizMez
Pag.66

le va folosi atunci când un atacator se conectează și încearcă o solicitare de

administrare web. Odatăce conținutul este încărcat, atacatorului i se prezintă o
interfață administrativă web identică așa cum se arată în figura de mai jos.
 Interfața administrativă web nu are funcționalitatea completă a PLC-ului real.
Cel mai important, acceptă autentificarea utilizatorului și este setat să accepte
acreditările implicite. Sunt acceptate diverse funcții de configurare și diagnosticare și
este probabil ca un atacator sofisticat cu cunoștințe despre PLC să interacționeze cu
interfața web pentru o perioadă de timp înainte de a-și da seama că ceva nu este în
regulă.
Simularea FTP
O altă interfață administrativă utilizată pe scară largă este serviciul Protocol de
transfer de fișiere (FTP). FTP permite utilizatorilor să transfere fișiere către și de la
PLC pentru upgrade-uri de firmware și gestionarea dispozitivelor. FTP are un istoric
de vulnerabilități cunoscute și puncte slabe de confidențialitate. PLC-ul țintă conținea
un server Fx VxWorks. Pentru a părea realist, SCADA Honeynet trebuie să aibă atât
directorul, cât și structura de fișiere a serverului legitim VxWorks FTP împreună cu
bannere FTP corespunzătoare. Acest lucru a fost realizat cu un alt proiect Java
Pag.67

portabil licențiat GPL, iFTPd. Am constatat că iFTPd este flexibil și permite sisteme
de fișiere virtuale, utilizatori și grupuri. Acest lucru are avantajul de a permite
cercetătorilor să ignore structura reală a sistemului de fișiere și utilizatorii / grupurile
de sistem, păstrând platforma de servicii FTP independentă.
Serverul FTP al actualului PLC conține informații despre versiune în bannere
de conectare. Detaliile despre versiunile software pot oferi atacatorului informații
utile pentru cercetarea vulnerabilităților și colectarea exploatărilor. Acesta este un pas
tipic de recunoaștere timpurie a unui atacator direcționat. Un client FTP sau o
telnetare către portul 21 al PLC-ului țintă va afișa un banner similar cu cel de mai jos.
telnet popular.plc.digitalbond.com 21
Connected to popular.plc.digitalbond.com
Escape character is '^]'.
220 VxWorks FTP server (VxWorks 5.3.1)
530 USER and PASS required
Connection closed by foreign host.
Furnizorii de PLC au început recent să elimine informațiile despre versiune de
pe bannere de conectare. Nu se știe dacă aceasta se face în scopuri de securitate sau,
eventual, ca efect secundar al diferitelor procese de dezvoltare. Mai jos este un
eșantion dintr-un PLC fără informații despre versiunea serverului FTP.
telnet popular.plc2.digitalbond.com 21
Connected to popular.plc.digitalbond.com
Escape character is '^]'.
220 FTP server ready.
530 USER and PASS required
Connection closed by foreign host.
SCADA Honeynet a duplicat banner-ul de conectare FTP al PLC-ului țintă
modificând o setare din fișierul de configurare ifpd.conf, așa cum se arată mai jos.
# Server Name
servername = VxWorks FTP server (VxWorks 5.3.1)
Dacă adresa IP a simulatorului folosește Network Address Translation (NAT)
pentru conectivitate, așa cum este în proiectul SCADA Honeynet, iFTPd trebuie
Pag.68

configurat în mod corespunzător cu adresa disponibilă externă și o gamă de porturi

pasive utilizabile (PASV). Mai jos este un extras din fișierul iftpd.conf cu variabile
relevante pentru iFTPd în spatele NAT.
 # FTP data ports
#
# Range of data ports to accept PASV connections on.
# Have at least as many ports open as you expect concurrent users and
transfers.
# Default: 20001-20100
dataports = 50000-50020
# PASV IP
#
# If you are running iFTPd on a NAT, it will not be able to
# detect the IP the client has connected to.
#
# Help iFTPd by setting what IP it should report to the client.
#
# Note: this only works if the iFTPd's IP is private and the client
# IP is on a public network.
#
# default: [empty]
pasvip = 166.x.x.x
Odată ce un atacator a identificat PLC-ul prin bannere sau alte amprente
digitale, el poate încerca să se conecteze la serverul FTP. SCADA Honeynet a
implementat numele de utilizator și parolele implicite pentru a ne conecta la sistem și
a prezenta structura și fișierele de directoare. Utilizatorii sunt configurați în SCADA
Honeynet prin crearea unui fișier text cu numele utilizatorului în directorul conf /
users din iFTPd. Fișierul denumit de utilizator conține variabile specifice acelui
utilizator împreună cu permisiuni și informații despre parolă. Mai jos este ieșirea din
fișierul conf / users / sysdiag. Sysdiag este unul dintre conturile implicite ale unui
PLC Schneider Modicon2.
password=factorycast@schneider
Pag.69

groups=standard
access=
 Un fișier de grup poate fi creat pentru gestionarea mai ușoară a permisiunilor
pentru mai mulți utilizatori. Mai jos este ceea ce este conținut în fișierul conf /
groups / standard.
De reținut este că directorul rădăcină prezentat utilizatorilor FTP se mapează
într-o locație fizică de pe dispozitiv.
“/digitalbond/simulators/ftp/vfs/" r+ "/"
A. SNMP Service
Protocolul de gestionare a rețelei simple (SNMP) este utilizat pentru
monitorizarea stării dispozitivelor conectate la rețea. Administratorii pot citi un număr
mare de valori de pe dispozitive, de la statistici de interfață, versiuni de software și
temperaturi interne ale componentelor. SNMP oferă, de asemenea, capacitatea de a
scrie anumite valori de la distanță ca o formă de administrare automată.Simularea
SNMP pe SCADA Honeynet a fost realizată utilizând un emulator SNMP. Există
două proiecte, fake-snmp și Net-Raddle, ambele concepute pentru a interopera cu
Honeyd. Ambele proiecte furnizează informații unui atacator atunci când efectuează
un snmpwalk pe un Honeynet. Scriptul fake-snmp nu modifică valori precum
statisticile interfeței sau timeticks, acest lucru poate fi suspect pentru un atacator. Net-
Raddle oferă posibilitatea de a schimba timeticks și de a crește statisticile interfeței.
Ambele proiecte au fost foarte utile la asamblarea unei rețele de tip honeypot.SCADA
Honeynet folosește serviciul fake-snmp cu valori statice. Am integrat Net-Raddle în
laborator, dar am găsit probleme de stabilitate care nu au fost încă rezolvate. PLC-ul
țintă are o bază de informații de gestionare SNMP (MIB), iar acest MIB a fost
implementat în SCADA Honeynet.
Serviciul Telnet
Multe PLC-uri sunt încă gestionate de telnet, chiar dacă problemele de
securitate legate de transmiterea de parole în text clar sunt cunoscute pe scară largă.
PLC-ul țintă acceptă telnet, deci este implementat și în SCADA Honeynet. În plus
față de problema cu text clar, unele PLC-uri vor îngheța sau reîncărca dacă șirurile de
caractere mari sunt trecute în câmpurile de nume de utilizator sau parolă ale PLC-ului.
Pag.70

Nu știm dacă aceasta este o problemă în unele servicii telnet RTOS sau tehnici slabe
de programare ale furnizorilor de PLC. În ambele cazuri este interesant să vedem dacă
și cum vor merge atacatorii după serviciul telnet. Furnizarea unui atacator cu
capacități de conectare a fost esențială pentru dezvoltarea SCADA Honeynet.
Daemon-ul telnet simulat disponibil de la Honeynet Project nu a îndeplinit
specificațiile Java portabile ale celorlalte servicii, dar a folosit un script Python
portabil. Un proiect SCADA Honeynet mai vechi a folosit un daemon telnet VxWorks
cu interacțiune mică până la medie pentru atacator. Acest script Python a necesitat o
editare minoră, dar a îndeplinit cerințele de a permite unui atacator să se conecteze și
să emită comenzi bazate pe telnet VxWorks. Editarea minoră a cuprins personalizarea
rezultatului atunci când un atacator lansează o comandă „ajutor” și schimbă calea
fișierului jurnal. Mai jos este un exemplu de autentificare furnizat de simulatorul
telnet și o comandă „help” emisă.
VxWorks login:
Password:
PLC# help
help Print this list
ioHelp Print I/O utilities help info
dbgHelp Print debugger help info
nfsHelp Print nfs help info
netHelp Print network help info
spyHelp Print task histogrammer help info
timexHelp Print execution timer help info
h [n] Print (or set) shell history
i [task] Summary of tasks' TCBs
ti task Complete info on TCB for task
sp adr,args... Spawn a task, pri=100, opt=0,
stk=20000
taskSpawn name,pri,opt,stk,adr,args... Spawn a task
td task Delete a task
ts task Suspend a task
tr task Resume a task
Pag.71

d [adr[,nunits[,width]]] Display memory

m adr[,width] Modify memory
mRegs [reg[,task]] Modify a task's registers
 interactively
pc [task] Return task's program counter
Type <CR> to continue, Q<CR> to stop: nfsHelp
iam "user"[,"passwd"] Set user name and passwd
whoami Print user name
devs List devices
ld [syms[,noAbort][,"name"]] Load stdin, or file, into memory
(syms = add symbols to table:
-1 = none, 0 = globals, 1 = all)
lkup ["substr"] List symbols in system symbol table
lkAddr address List symbol table entries near address
checkStack [task] List task stack sizes and usage
printErrno value Print the name of a status value
period secs,adr,args... Spawn task to call function periodically
repeat n,adr,args... Spawn task to call function n times
(0=forever)
version Print VxWorks version info, and boot line
NOTE: Arguments specifying 'task' can be either task ID or name.
value = 1 = 0x1
La fel ca ftp și http, SCADA Honeynet implementează acreditările telnet
implicite în PLC-ul țintă.
Serviciu TCP Modbus
Modbus TCP este un protocol SCADA la nivel de aplicație utilizat în mod
obișnuit, care provine din activitatea de dezvoltare de către furnizorul care produce
PLC-ul țintă. Deci, este foarte probabil ca PLC-ul țintă să accepte Modbus TCP
pentru puncte de citire și scriere. Cu toate acestea, Modbus TCP nu este la fel de
obișnuit cu un serviciu ca ftp, http, snmp sau telnet și a fost mai dificil să identificăm
un simulator Modbus TCP care a fost Open Source și a fost construit cu Java.În cele
din urmă, am găsit setul de instrumente de dezvoltare Jamod pentru Modbus TCP
Pag.72

(master și slave) și a îndeplinit toate criteriile SCADA Honeynet. Un slave Modbus

personalizat a fost scris și au fost implementate coduri de funcții populare. Atacatorii
pot citi valori și scrie valori, atât analogice, cât și discrete. Mai jos este un exemplu de
ieșire a jurnalului din simulatorul Modbus slave care arată activitatea codului funcției.
INFO: Making new connection
Socket[addr=/10.0.0.87,port=2721,localport=502]
Received ModbusRequest FC:1
Request:00 06 00 00 00 06 01 01 00 00 00 01
Response:00 06 00 00 00 04 01 01 01 01
Received ModbusRequest FC:3
Request:00 07 00 00 00 06 01 03 00 00 00 01
Response:00 07 00 00 00 03 00 83 02
Received ModbusRequest FC:3
Request:00 07 00 00 00 06 01 03 00 00 00 01
Response:00 07 00 00 00 03 00 83 02
Received ModbusRequest FC:3
Request:00 07 00 00 00 06 01 03 00 00 00 01
Response:00 07 00 00 00 03 00 83 02
Received ModbusRequest FC:6
Request:00 08 00 00 00 06 01 06 00 00 00 00
Response:00 08 00 00 00 03 00 86 02
Received ModbusRequest FC:6
Request:00 08 00 00 00 06 01 06 00 00 00 00
Response:00 08 00 00 00 03 00 86 02
Received ModbusRequest FC:6
Request:00 08 00 00 00 06 01 06 00 00 00 00
Response:00 08 00 00 00 03 00 86 02
Există o serie de îmbunătățiri potențiale ale VM-ului țintă. Două dintre cele
mai interesante sunt:
1. Adăugarea capacității de personalizare a listei de puncte și a datelor printr-
un fișier de configurare. Acest lucru ar permite proprietarilor de active ca SCADA
Pag.73

Honeynet să pară foarte asemănător cu unul dintre propriile PLC-uri și să-l facă mai
eficient ca dispozitiv de avertizare timpurie. De asemenea, ar fi o modalitate ușoară
pentru cercetători de a implementa o varietate de SCADA Honeynets.
 2. Adăugarea unuia sau mai multor HMI virtuale care rulează pe Windows, un
server OPC virtual și alte câteva dispozitive pe SCADA Honeynet. Aceasta ar oferi o
suprafață țintă de atac mai mare și ar simula un sistem de control mic sau o porțiune
mică a unui sistem de control mai mare.

Analizarea atacurilor
Rețelele de honeypot-uri sunt adesea desfășurate pentru a afla cum adversarii
își vor efectua atacurile și pentru a furniza informații pentru variabilele de amenințare
și vulnerabilitate ale ecuației riscului. Cele mai multe honeypot-uri desfășurate astăzi
imită dispozitive care sunt foarte populare și comune în rețelele corporative. Acestea
pot părea a fi servere web vulnerabile, cu defecte inerente ale aplicației care se
conectează la servere de baze de date back-end. Honeypot-urile SCADA sunt destul
de rar întâlnite. Acestea prezintă un set de servicii unice, neobișnuite pentru
majoritatea atacatorilor. În acest proiect a fost expus SCADA Honeynet în două
scenarii diferite.
C. Implementare SCADA Honeynet I - Expunerea la Internet

Rețelele SCADA sunt de obicei segmentate din rețelele corporative de un

firewall sau alt dispozitiv de securitate perimetral. Dispozitivele SCADA de câmp
precum PLC-urile, RTU-urile și IED-urile și serviciile lor nu sunt, în general,
accesibile direct din rețeaua corporativă, cu atât mai puțin de pe Internet.În mod
ciudat, chiar dacă crește gradul de conștientizare a problemelor de securitate
cibernetică, numărul dispozitivelor de teren SCADA conectate la internet crește.
Motivul pentru aceasta sunt costurile de comunicare dramatic mai mici și lățimea de
bandă crescută. Operatori precum Verizon, T-Mobile și Cingular vizează în mod
specific utilitățile electrice, operatorii de conducte și operatorii de canale cu oferte
care par a fi prea bune pentru a fi renunțate. Implementarea SCADA Honeynet I a fost
expusă la Internet folosind serviciul Verizon care este vândut proprietarilor de active.
Pag.74

SCADA Honeynet a fost conectat direct la Internet la 1 august 2006 fără a fi filtrat
printr-un modem GPRS Raven recomandat de Verizon. Până la sfârșitul anului
calendaristic 2006, SCADA Honeynet nu a primit atacuri „SCADA”. Nu a existat
nicio activitate pe portul Modbus / 502. Portul tcp / 10000, care este utilizat de DNP3,
a fost scanat de atacatori și capturat de SCADA Honeynet. Analiza a determinat că
scanările au fost destinate unei vulnerabilități populare în concentratorii VPN Cisco
care deservesc conectivitatea VPN pe tcp / 10000.
Deși lipsa atacurilor specifice SCADA nu este neașteptată, aceasta oferă unele
indicații că atacurile automate care au loc pe internet nu atacă încă porturile și
protocoalele SCADA. Acest lucru garantează continuarea monitorizării, iar SCADA
Honeynet-urile reprezintă o modalitate de a urmări acest lucru. Activitatea pe Internet
a expus SCADA Honeynet și reflectă ceea ce s-ar putea vedea pe orice sistem expus
de pe Internet. Un număr mare de atacuri HTTP au fost vizate pentru vulnerabilități în
aplicațiile și serviciile web care nu au afectat serviciul web al PLC-ului simulat. Cele
mai interesante au fost scanările și încercările de conectare pe serverul FTP. În timpul
unui atac, peste 775 de combinații de nume de utilizator și parolă au fost lansate
împotriva serverului FTP SCADA Honeynet. Atacul a durat 15 minute, iar serviciul
FTP a devenit instabil, ceea ce probabil a scurtat ceea ce ar fi fost un atac și mai
susținut. Acest tip de atac a fost automatizat, deoarece momentul introducerii numelui
de utilizator și a parolei a fost foarte rapid și nu s-a depus niciun efort cercetând ce
poate fi dispozitivul.
Pe baza dovezilor foarte limitate, se pare că acreditările implicite pentru
dispozitivele SCADA nu au fost încă adăugate la instrumentele populare de atac
automat. SCADA Honeynet este un instrument pentru a determina dacă și când se
schimbă acest lucru. Internetul expus SCADA Honeynet nu a arătat nicio dovadă că
un atacator face cercetări pentru a exploata PLC-ul simulat. Ar fi fost o sarcină simplă
să ne uităm lainterfață web, determinarea tipului PLC și obținerea acreditări implicite.
Din nou, aceasta nu este o surpriză, deoarece adresa IP nu se află într-o gamă de
utilități sau alte ținte interesante. Ar fi util să vedem date de la o rețea SCADA
Honeynet desfășurată într-un interval de adrese IP ale proprietarului activului
SCADA.
D. SCADA Honeynet Deployment II - Stație electrică
Pag.75

Rețelele LAN fără fir sunt un alt suport de comunicare popular, deoarece sunt
ușor de implementat și elimină timpul și costul cablării. Poate oferi un ROI rapid și o
comoditate semnificativă pentru fabricile, stațiile electrice, instalațiile de pompare și
alte facilități în care dispozitivele sistemului de control trebuie conectate în rețea.
SCADA Honeynet Deployment II a fost implementat și a constat dintr-un punct de
acces wireless 802.11g deschis într-o stație electrică. SSID a fost numit în mod
intenționat pentru a reprezenta utilitatea electrică și DHCP a fost activat pentru a
permite conectarea cu ușurință a computerelor la distanță. După cum ne așteptam,
aproape toată comunicarea către acest SCADA Honeynet a implicat utilizatorii de
computere din zonă care încercau să obțină acces la Internet.

Concluzii
Proiectul de cercetare Digital Bond a avut succes în proiectarea și
implementarea unei interacțiuni ridicate SCADA Honeynet, care este o simulare
realistă a unui PLC popular. Utilizarea mașinilor virtuale Vmware (VM’s) facilitează
folosirea unui SCADA Honeynet pentru un profesionist IT cu o calificare rezonabilă,
cu cunoștințe minime despre Honeynets sau PLC’s. VM-urile SCADA Honeynet sunt
pe site-ul Digital Bond și sunt disponibile oricărui participant. Datele din numărul mic
de SCADA Honeynets desfășurate indică faptul că sistemele de control au în
continuare avantajul securității prin obscuritate. Unul dintre cele mai mari beneficii
ale unei rețele SCADA Honeynet poate fi identificat când se schimbă acest lucru.
Dacă atacurile asupra porturilor SCADA sau folosind acreditările implicite SCADA
sunt văzute într-o rețea SCADA Honeynet, aceasta ar indica o schimbare a profilului
de amenințare. Dat fiind că există taxă de licență asociată cu software-ul SCADA
Honeynet, o implementare mai largă a SCADA Honeynets este ieftin și ar oferi o
evaluare mai semnificativă statistic a amenințării. Această tehnologie poate fi un
proiect ideal pentru unul sau mai mulți dintre mulți studenți absolvenți și doctoranzi
care încep cercetări în domeniul securității SCADA.

Referințe
[1] Spitzner, Lance. Honeypots: Tracking Hackers. Addison-Wesley,
Pag.76

September 2002.
[2] The Honeynet Project. Know Your Enemy: Learning About Security
Threats. Addison-Wesley, Second Edition, 2004.
 [3] Pothamsetty, Venkat. SCADA Honeynet: PLC Simulation Concepts,
Design, and Implementation.
[4] MODBUS Application Protocol Specification V1.1, November 2002

Pag.77
 CAPITOLUL VI

Analiza proiectului CONPOT ce simulează SIMATIC S7-200 PLC

și protocoalele Modbus TCP, SNMP și HTTP.

A. Introducere

Din punct de vedere al modului de funcționare, dispozitivele honeypot pot fi

de trei tipuri diferite: cu interacțiune redusă, interacțiune ridicată și hibrid.
Dispozitivele honeypot cu interacțiune scăzută simulează doar serviciile de rețea de
bază (sau doar o parte de bază a serviciilor de rețea de bază), în timp ce dispozitivele
cu interacțiune ridicată și hibrid simulează servicii mult mai complexe.
Dispozitivele de tip honeypot cu interacțiune scăzută sunt mult mai ușor de
proiectat și întreținut și tind să fie mult mai stabile în functionare. Pe de altă parte,
honeypot-urile cu interacțiune ridicată sunt mult mai greu de implementat, din cauza
complexității mult mai mari, dar suntmai dificil de detectat de un potențial atacator.
Dispozitivele honeypot hibride încearcă să găsească o cale de mijloc între avantajele
și dezavantajele celor două clase, oferind ce este mai bun din ambele tipuri și
prezentând în același timp dezavantaje minime.
Dispozitivele honeypot specifice mediilor industrialesunt concepute pentru a
simula în mod eficient un sistem SCADA sau un subsistem din cadrul rețelei
industriale. Un sistem SCADA minimal este alcătuit din patru părți:
 un computer central;
 un număr de unități de măsurare și control la distanță, cunoscute sub
numele de unități terminale la distanță (RTU);
 un sistem de telecomunicații care le interconecteaza;
 și o interfață om-masina (Human Machine Interface - HMI) care
permite operatorului să acceseze sistemul industrial.
Una dintre primele încercări de a emula un sistem SCADA a fost efectuată de
Pag.78

membri Cisco Critical Infrastructure Assurance Group (CIAG) în martie 2004.

Există mai multe beneficii pentru a rula un honeypot specific infrastructurilor
SCADA, spre deosebire de utilizarea altor măsuri de securitate. Un honeypot nu
modifică configurațiile existente ale rețelei SCADA, inclusiv firewall-ul de perimetru
și nu necesită nici inserarea de dispozitive suplimentare inline. Instalarea
dispozitivelor inline ar cauza timpi de nefuncționare și, în funcție de arhitectură, ar
putea reprezenta un singur punct de defect care ar putea cauza nefuncționalitatea
echipamentelor conectate în spatele și în serie cu acesta. Honeypot-ul SCADA este
pur și simplu conectat la rețea așa cum ar fi orice alt sistem și este configurat pentru a
rula servicii care prezintă exact ca și alte dispozitive legitime din rețeaua SCADA.
Deoarece acest echipament nu este inlinie și nu blochează de fapt traficul malitios, așa
cum ar face un IPS, acest lucru reduce probabilitatea nefuncționării anumitor părți ale
retelei SCADA cauzate de incidente de tip fals-pozitiv.
Un alt avantaj al unui honeypot industrial este că poate fi configurat să arate
similar cu dispozitivele specifice din cadrul rețelei SCADA, putând fi configurat să
arate, de exemplu, ca un sistem de încălzire, ventilație și răcire, ca un sistem de
control al accesului în clâdire sau ca un sistem de control industrial (ICS), având ca
principal beneficiu monitorizarea atacurilor concepute special pentru a viza
infrastructura reală.
Cu toate aceste aspecte pozitive și intrinseci unui honeypot SCADA,
prezentate succint în paragrafele anterioare, acest tip de soluție de securitate
informațională prezintă un singur dezavantaj major: sistemul trebuie permanent
monitorizat și acționat în concordanță la apariția unui incident de securitate. Spre
deosebire de o solutie de securitate de tip IPS, un honeypot SCADA nu va putea bloca
automat atacurile detectate, fiind necesar ca specialiști în securitate cybernetică,
specializați în sisteme industriale, să aloce timp pentru monitorizare continuă,
investigare și remediere a incidentelor detectate. Acest neajuns poate fi minimizat în
cadul companiilor mari prin dezvoltarea sau externalizarea serviciilor aferente către
un departamanet sau instituție externă de tip Computer Emergency and Response
Team industrial (CERT)
CONPOT este un honeypot opensource cu interacțiune minimă, proiectat
având în vedere sistemele Supervisory Control and Data Acquisition(SCADA).
Pag.79

Printre avantajele sale se numără faptul că este ușor de implementat, modificat și

extins. Utilizarea sa ușoară și capacitatea de a simula o gamă largă de protocoale și
sisteme industriale îl fac să poată implementa aproape orice sistem SCADA. În mod
implicit, simulează Siemens SIMATIC S7-200 PLC, protocoale Modbus, SNMP și
HTTP. Datorită utilizării pe scară largă în cadrul soluțiilor de securitate cybernetică
SCADA, CONPOT este inclus în “The Honeynet Project”
“The Honeynet Project”este o organizație non-profit internațională de
cercetare a securității informaționale, dedicată investigării celor mai recente atacuri
cibernetiuce și dezvoltării instrumentelor de securitate open source pentru
îmbunătățirea securității internetului. Cu filiale înîntreaga lume, voluntarii înscriși în
cadrul proiectului au contribuit la lupta împotriva programelor malware, ca de
exemplu Confickr, descoperind noi atacuri și creând instrumente de securitate
utilizate de companii și agenții guvernamentale din întreaga lume. Organizația
continuă să fie in topul cercetarii securității informationale, lucrând pentru a analiza
cele mai recente atacuri și educând publicul despre amenințările la adresa sistemelor
de informații din întreaga lume.
Proiectul CONPOT a fost lansat în mai 2013 și folosește un sistem de
jurnalizare pentru a monitoriza modificările efectualte asupra mediului emulat. De
asemenea, CONPOT înregistrează evenimentele serviciilor HTTP, SNMP și Modbus
cu o precizie la nivel de milisecundă și oferă informații de urmărire a adresei IP sursă,
tipul cererii și resursa solicitată în cazul HTTP.

LOGO-ul proiectului

Pagina specifică a acestui proiect se gasește accesând urmatorul link:

Pag.80

https://github.com/mushorg/conpot
Datorită faptului că honeypot-ul CONPOT este afiliat cu “The Honeynet
Project”, acesta poate fi configurat pentru a raporta datele de atacîn cadrul proiectului,
pentru a oferi cercetătorilor date valoaroase despre metodele de atac și răspândire a
programelor malițioase în cadrul sistemelor informaționale industiale.
Oferind o serie de protocoale comune de control industrial, CONPOT pune la
dispozitia dezvoltatorilor de systeme honeypot/honeynet elementele de bază pentru
dezvoltarea propriului sistem capabil să imite infrastructuri complexe pentru a
convinge un adversar că tocmai a găsit un imens complex industrial. Pentru a
îmbunătăți capacitățile înșelătoare, CONPOT oferă posibilitatea de a emula o interfață
personalizată om-mașină (HMI) cu scopul de a crește suprafața de atac a sistemului
emulat. De asemenea, timpii de răspuns ai serviciilor pot fi întârziați artificial pentru a
imita comportamentul unui sistem sub încărcare constantă.

Deoarece furnizeaza stive complete de protocoale, CONPOT poate fi accesat

cu un HMI real de productie sau extins cu hardware real de tip RTU/PLC.

B. Instalare si configurare

Pentru a testa modul de funcționare și abilitățile de a se prezenta cât mai

apropiat de un PLC Siemens s7-200, honeypot-ul CONPOT a fost instalat folosind o
mașină virtuală VMware Linux folosind distributia Ubuntu server 20.04.1 LTS.
Mașina virtuală a fost configurată cu 8GB RAM si 100GB spațiu de stocare, o singură
interfațpă ethernet conectată la host prin intermediul adaptorului vmnet1 și care
partajaza conexiunea de date cu adaptorul ethernet al hostului, pentru acces
nerestrictionat la Internet.
Pentru a putea instala CONPOT versiunea 0.6.0, în prealabil se vor instala
dependințele necesare:
conpotadmin@conpot:~/.local/bin$ sudo apt-get
install libsmi2ldbl snmp-mibs-downloader python-dev
libevent-dev libxslt1-dev libxml2-dev
conpotadmin@conpot:~/.local/bin$ sudo apt-get
install libmysqlclient-dev

Se instalează PIP pentru a permite ulterior instalarea altor pachete necesare

Pag.81

honeypot-ului:
conpotadmin@conpot:~/.local/bin$ sudo apt-get
install python3-pip
 Se instalează CONPOT:
conpotadmin@conpot:~/.local/bin$pip3 install conpot

Pentru a putea emula diverse componente specifice infrastructurilor SCADA,

CONPOT vine preconfigurat cu urmatoarele modele (tamplates):
conpotadmin@conpot:~/.local/bin$ ./conpot -f
_

___ ___ ___ ___ ___| |_

| _| . | | . | . | _|
|___|___|_|_| _|___|_|
|_|

Version 0.6.0
MushMush Foundation
WARNING:root:--force option specified. Using testing
configuration
2020-09-01 05:18:26,985 --force option specified.
Using testing configuration
--------------------------------------------------
Available templates:
--------------------------------------------------
--template kamstrup_382
Unit: Kamstrup - 382
Desc: Register clone of an existing
Kamstrup 382 smart meter
Protocols: Kamstrup
Created by: Johnny Vestergaard
Pag.82

--template ipmi
Unit: IPMI - 371
 Desc: Creates a simple IPMI device
Protocols: IPMI
Created by: Lukas Rist

--template default
Unit: Siemens - S7-200
Desc: Rough simulation of a basic
Siemens S7-200 CPU with 2 slaves
Protocols: HTTP, MODBUS, s7comm, SNMP
Created by: the conpot team

--template guardian_ast
Unit: Guardian - Guardian AST tank-
monitoring system
Desc: Guardian AST tank-monitoring
system
Protocols: guardian_ast
Created by: the conpot team

--template IEC104
Unit: Siemens - S7-300
Desc: Creates a simple device for IEC
60870-5-104
Protocols: IEC104, SNMP
Created by: Patrick Reichenberger

--template proxy
Pag.83

Unit: None - Proxy

Desc: Sample template that
demonstrates the proxy feature.
 Protocols: Proxy
Created by: the conpot team

În cazul concret al instalării actuale, scopul asumat fiind de test al

capabilităților funcționale, nu a fost necesară îmbunătățirea securității sistemului de
operare Linux. În cazul unei instalări de productie este recomandat ca pe masina
virtuala Ubuntu server, pentru a emula cat mai exact comportamentul PLC-ului
Siemens S7-200, sa se inchida toate porturile TCP si UDP care nu fac parte din
configuratia software standard a PLC-ului, folosind iptables. In acest fel, va fi foarte
dificil pentru un atacator sa distinga intre un PLC real si honeypotul CONPOT
Fiecare template folosit în emularea unor dispozitive SCADA poate fi
configurat individual folosind fisierul de configurare specific XML care se gasește în
următoarele directoare:

conpotadmin@conpot:~/.local/lib/python3.8/site-
packages/conpot/templates$ ls -p
default/ guardian_ast/ IEC104/ ipmi/
kamstrup_382/ proxy/

Template-ul default este responsabil pentru prezentarea PLC-ului Siemens S7-

200 și are următorul fișier de configurare XML:
conpotadmin@conpot:~/.local/lib/python3.8/site-
packages/conpot/templates/default$ cat template.xml
<core>
<template>
<!-- General information about the template -->
<entity name="unit">S7-200</entity>
<entity name="vendor">Siemens</entity>
<entity name="description">Rough simulation of a
basic Siemens S7-200 CPU with 2 slaves</entity>
<entity name="protocols">HTTP, MODBUS, s7comm,
Pag.84

SNMP</entity>
<entity name="creator">the conpot team</entity>
</template>
 <databus>
<!-- Core value that can be retrieved from the
databus by key -->
<key_value_mappings>
<key name="FacilityName">
<value type="value">"Mouser Factory"</value>
</key>
<key name="SystemName">
<value type="value">"Technodrome"</value>
</key>
<key name="SystemDescription">
<value type="value">"Siemens, SIMATIC,
S7-200"</value>
</key>
<key name="Uptime">
<value
type="function">conpot.emulators.misc.uptime.Uptime</valu
e>
</key>
<key name="sysObjectID">
<value type="value">"0.0"</value>
</key>
<key name="sysContact">
<value type="value">"Siemens AG"</value>
</key>
<key name="sysName">
<value type="value">"CP 443-1 EX40"</value>
Pag.85

</key>
<key name="sysLocation">
 <value type="value">"Venus"</value>
</key>
<key name="sysServices">
<value type="value">"72"</value>
</key>
<key name="memoryModbusSlave0BlockA">
<value type="value">[random.randint(0,1) for b in
range(0,128)]</value>
</key>
<key name="memoryModbusSlave0BlockB">
<value type="value">[random.randint(0,1) for b in
range(0,32)]</value>
</key>
<key name="memoryModbusSlave255BlockA">
<value type="value">[random.randint(0,1) for b in
range(0,128)]</value>
</key>
<key name="memoryModbusSlave255BlockB">
<value type="value">[random.randint(0,1) for b in
range(0,32)]</value>
</key>
<key name="memoryModbusSlave1BlockA">
<value type="value">[random.randint(0,1) for b in
range(0,128)]</value>
</key>
<key name="memoryModbusSlave1BlockB">
<value type="value">[random.randint(0,1) for b in
Pag.86

range(0,32)]</value>
</key>
<key name="memoryModbusSlave2BlockC">
 <value type="value">[random.randint(0,1) for b in
range(0,8)]</value>
</key>
<key name="memoryModbusSlave2BlockD">
<value type="value">[0 for b in range(0,32)]</value>
</key>
<key name="Copyright">
<value type="value">"Original Siemens
Equipment"</value>
</key>
<key name="s7_id">
<value type="value">"88111222"</value>
</key>
<key name="s7_module_type">
<value type="value">"IM151-8 PN/DP CPU"</value>
</key>
<key name="empty">
<value type="value">""</value>
</key>
</key_value_mappings>
</databus>
</core>

Așa cum se vede în fișierul standard de configurare al template-ului default, o

problemă majoră în simularea PLC-ului Siemens S7-200 o reprezintă faptul că în mod
standard toate honeypot-urile CONPOT vor prezenta PLC-urile aferente fiecăruia cu
același ID, folosind S7Comm server.
Pag.87

Din păcate, foarte multe instalări de honeypot CONPOT făcute în

multe părti ale lumii prezintă această problemă majoră, fiind foarte usor pentru un
hacker să detecteze faptul că nu atacă un PLC real. Folosind Shodan, cel mai mare
motor de cautare online pentru dispozitive inteligente (IoT si IIoT) conectate la
Internet, în captura de ecran de mai jos se poate observa această problema a ID-urilor
identice pentru instalari distincte:

Pag.88

Dupa configuratea template-ului default, specific PLC-ului Siemens SIMATIC

S7-200, se porneste honeypotul COMPOT astfel:
conpotadmin@conpot:~/.local/bin$ ./conpot -f -t
default
 WARNING:scapy.runtime:No route found for IPv6
destination :: (no default route?)

_
___ ___ ___ ___ ___| |_
| _| . | | . | . | _|
|___|___|_|_| _|___|_|
|_|
Version 0.6.0
MushMush Foundation

WARNING:root:--force option specified. Using testing

configuration
2020-09-01 06:58:33,444 --force option specified.
Using testing configuration
2020-09-01 06:58:33,445 Starting Conpot using
template: /home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/templates/default
2020-09-01 06:58:33,446 Starting Conpot using
configuration found in:
/home/conpotadmin/.local/lib/python3.8/site-packages/conp
ot/testing.cfg
2020-09-01 06:58:33,453 Can't find the temp
directory. Conpot VFS would be kept at :
/home/conpotadmin/.local/lib/python3.8/site-packages/conp
ot/ConpotTempFS
WARNING:conpot.core.virtual_fs:Using default FS
path. tar:///home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/data.tar
2020-09-01 06:58:33,454 Using default FS path.
Pag.89

tar:///home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/data.tar
 2020-09-01 06:58:33,455 Initializing Virtual File
System at /home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/ConpotTempFS/__conpot__anp777ia. Source
specified :
tar:///home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/data.tar
Please wait while the system copies all specified
files
2020-09-01 06:58:33,593 Fetched 89.41.152.195 as
external ip.
2020-09-01 06:58:33,597 Conpot modbus initialized
2020-09-01 06:58:33,597 Found and enabled ('modbus',
<conpot.protocols.modbus.modbus_server.ModbusServer
object at 0x7f8a391efee0>) protocol.
2020-09-01 06:58:33,600 Conpot S7Comm initialized
2020-09-01 06:58:33,600 Found and enabled ('s7comm',
<conpot.protocols.s7comm.s7_server.S7Server object at
0x7f8a39196c10>) protocol.
2020-09-01 06:58:33,603 Found and enabled ('http',
<conpot.protocols.http.web_server.HTTPServer object at
0x7f8a3915fc40>) protocol.
2020-09-01 06:58:33,604 Found and enabled ('snmp',
<conpot.protocols.snmp.snmp_server.SNMPServer object at
0x7f8a3915fb50>) protocol.
2020-09-01 06:58:33,606 Conpot Bacnet initialized
using the /home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/templates/default/bacnet/bacnet.xml
template.
2020-09-01 06:58:33,607 Found and enabled ('bacnet',
<conpot.protocols.bacnet.bacnet_server.BacnetServer
object at 0x7f8a386c80a0>) protocol.
2020-09-01 06:58:33,609 IPMI BMC initialized.
Pag.90

2020-09-01 06:58:33,609 Conpot IPMI initialized

using /home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/templates/default/ipmi/ipmi.xml template
 2020-09-01 06:58:33,609 Found and enabled ('ipmi',
<conpot.protocols.ipmi.ipmi_server.IpmiServer object at
0x7f8a386c83d0>) protocol.
2020-09-01 06:58:33,611 Class 22/0x0016, Instance
1, Attribute 1 <== [{'class': 22}, {'instance': 1},
{'attribute': 1}]
2020-09-01 06:58:33,612 Class 22/0x0016, Instance
1, Attribute 2 <== [{'class': 22}, {'instance': 1},
{'attribute': 2}]
2020-09-01 06:58:33,612 Class 22/0x0016, Instance
1, Attribute 1 <== [{'class': 22}, {'instance': 1},
{'attribute': 1}]
2020-09-01 06:58:33,613 Class 22/0x0016, Instance
1, Attribute 3 <== [{'class': 22}, {'instance': 1},
{'attribute': 3}]
2020-09-01 06:58:33,614 Class 22/0x0016, Instance
1, Attribute 1 <== [{'class': 22}, {'instance': 1},
{'attribute': 1}]
2020-09-01 06:58:33,614 Class 22/0x0016, Instance
1, Attribute 2 <== [{'class': 22}, {'instance': 1},
{'attribute': 2}]
2020-09-01 06:58:33,614 Found and enabled ('enip',
<conpot.protocols.enip.enip_server.EnipServer object at
0x7f8a386c8820>) protocol.
2020-09-01 06:58:33,618 Creating persistent data
store for protocol: ftp
2020-09-01 06:58:33,624 FTP Serving File System
at /data/ftp/ in vfs. FTP data_fs sub directory: /ftp
2020-09-01 06:58:33,632 Found and enabled ('ftp',
<conpot.protocols.ftp.ftp_server.FTPServer object at
0x7f8a386c8be0>) protocol.
2020-09-01 06:58:33,633 Creating persistent data
Pag.91

store for protocol: tftp

2020-09-01 06:58:33,640 TFTP Serving File System
at /data/tftp/ in vfs. TFTP data_fs sub directory: /tftp
 2020-09-01 06:58:33,642 Found and enabled ('tftp',
<conpot.protocols.tftp.tftp_server.TftpServer object at
0x7f8a386c8fd0>) protocol.
2020-09-01 06:58:33,642 No proxy template found.
Service will remain unconfigured/stopped.
2020-09-01 06:58:33,643 Modbus server started on:
('0.0.0.0', 5020)
2020-09-01 06:58:33,644 S7Comm server started on:
('0.0.0.0', 10201)
2020-09-01 06:58:33,645 HTTP server started on:
('0.0.0.0', 8800)
2020-09-01 06:58:33,893 SNMP server started on:
('0.0.0.0', 16100)
2020-09-01 06:58:33,895 Bacnet server started on:
('0.0.0.0', 47808)
2020-09-01 06:58:33,895 IPMI server started on:
('0.0.0.0', 6230)
2020-09-01 06:58:33,896 handle server PID [21818]
running on ('0.0.0.0', 44818)
2020-09-01 06:58:33,896 handle server PID [21818]
responding to external done/disable signal in object
140231628485344
2020-09-01 06:58:33,897 FTP server started on:
('0.0.0.0', 2121)
2020-09-01 06:58:33,897 Starting TFTP server at
('0.0.0.0', 6969)

Din outputul comenzii de pornire mai sus menționată se pot observa

urmatoarele:

- în mod automat CONPOT folosește ca adresa Internet IP-ul public al

Pag.92

hostului în care este instalată mașina virtuală. Acest lucru poate fi modificat în cadrul
fisierului conpot.conf.
 - serverele pe care le pornește, subliniate cu roșu mai sus, și porturile aferente
acestora;

- porturile folosite pentru serverele pornite nu sunt cele standard ale PLC-ului
Siemens Simatic S7-200. Motivele pentru care nu se folosesc porturile standard
MODBUS (tcp/502), Siemens S7 (tcp/102), HTTP (tcp/80), SNMP (udp/161), IPMI
(udp/623), FTP (tcp/21) si TFTP (udp/69) țin de securitatea honeypotului în timpul
procedurii de instalare și configurare. Orice pornire de test a honeypot-ului l-ar putea
expune în Internet parțial configurat, cu posibile consecințe negative în demascarea
rolului real al acestuia. Se recomandă ca după configurarea și testarea
functionalităților dorite, fie să se configureze source Port Network Address
Translation (PAT) pe firewall-ul care se instalează în cadrul rețelei honeynet, la
frontiera cu Internetul, fie sa se configureze porturile standard, folosind fisierul de
configurare global conpot.conf, pentru fiecare serviciu SACADA pornit de CONPOT.
Singura excepție de la regula de mai sus o reprezintă BACnet (udp/47808), protocol
care are standard configurat portul de producție real și care se afla deja în zona
superioară a spațiului de adrese tcp/udp 0-1024 (zona de risc maxim la expunerea in
Internet).

MODBUS a fost proiectat în 1979 pentru a controla și monitoriza PLC-uri

Modicon (acum Schneider Electric). Protocolul a devenit rapid standardul de facto
pentru rețelele industriale. Mai nou, MODBUS este folositîn construcții, transporturi
și sisteme de management al energiei. Protocolul funcționează într-o arhitectură
master / slave, acceptă atât rețele seriale (serial Modbus) cât și rețele TCP / IP
(Modbus tcp/502), si are are trei puncte slabe. În primul rând, este limitat la 240 de
dispozitive pe rețea. În al doilea rând, în timp ce protocolul este gestionat de
organizația Modbus, multe extensii ale furnizorilor sunt proprietare și nedocumentate,
acest lucru ridicând probleme majore de interoperabilitate între dispozitive SCADA
diferite. De asemenea, protocolul tcp Modbus prezintă serioase probleme de
securitate.
Pag.93

Siemens S7 este un protocol proprietarutilizat pe scara larga și implementat in

PLC-urile Siemens S7. Aceste controlere sunt utilizate în mod obișnuit în industria
prelucrătoare, în special în industria automobilelor și ambalajelor. Protocolul este
bazat pe comenzi, în care fiecare transmisie este fie o comandă, fie un răspuns. S7 nu
este nici autentificat, nici criptat și este susceptibil de falsificare, deturnare de sesiuni
și atacuri de refuz de serviciu

Societatea americană a inginerilor specialisti în încălzire, refrigerare și aer

condiționat (ASHRAE) a dezvoltat BACnet (Building Automation and Control
Network - rețea de control și automatizare a clădirilor) în 1995 pentru a integra
diferite produse industriale într-o singură clădire. Protocolul pune la dispoziția
dezvoltatorilor SCADA multe obiecte și proprietăți standard definite de specificație,
însa furnizorii pot specifica obiecte proprietare. Consecința acestui fapt: în timp ce
protocolul permite extensibilitatea, acesta previne simultan interoperabilitatea între
producători diferiti. Deși specificația protocolului include caracteristici de securitate,
producătorii nu le pun în mod uzual în practică (Kaur si colaboratorii)

Pentru testarea functionalitatilor CONPOT se poate folosi nmap astfel:

- pentru scanara porturilor UDP: nmap -sU -p udp_port -A -v -Pn

honeypot_address;

- pentru scanarea porturilor TCP: nmap -p tcp_port -A -v -Pn

honeypot_address;

Testele efectuate pe o parte dintre serviciile prezentate de CONPOT arată

capabilitățile sale de simulare a unui PLC real și de jurnalizare a traficului detectat,
pentru analiza ulterioară și forensic. Fișierul în care sunt stocate jurnalele este
conpot.log.

Pentru serviciul MODBUS, jurnalele stocate în fișierul de loguri sunt:

2020-09-01 08:04:10,065 New modbus session from

192.168.2.254 (85c00cb0-3008-4c1b-a92f-5537b09e4dde)

2020-09-01 08:04:10,066 New Modbus connection from

Pag.94

192.168.2.254:11019. (85c00cb0-3008-4c1b-a92f-
5537b09e4dde)
 ERROR:conpot.protocols.modbus.modbus_server:Exceptio
n occurred in ModbusServer.handle() at sock.recv(): timed
out

2020-09-01 08:04:15,068 Exception occurred in

ModbusServer.handle() at sock.recv(): timed out

2020-09-01 08:04:15,069 Modbus client disconnected.

(85c00cb0-3008-4c1b-a92f-5537b09e4dde)

2020-09-01 08:04:18,723 New Modbus connection from

192.168.2.254:11020. (85c00cb0-3008-4c1b-a92f-
5537b09e4dde)

2020-09-01 08:04:23,723 New Modbus connection from

192.168.2.254:11021. (85c00cb0-3008-4c1b-a92f-
5537b09e4dde)

Pentru serviciul IPMI, jurnalele stocate in fisierul de loguri sunt prezentate

mai jos:

2020-09-01 07:37:46,219 New IPMI traffic from

('192.168.2.254', 53208)

Traceback (most recent call last):

File "src/gevent/greenlet.py", line 854, in

gevent._gevent_cgreenlet.Greenlet.run

File "/home/conpotadmin/.local/lib/python3.8/site-
packages/gevent/baseserver.py", line 34, in
_handle_and_close_when_done

return handle(*args_tuple)

File "/home/conpotadmin/.local/lib/python3.8/site-
Pag.95

packages/conpot/protocols/ipmi/ipmi_server.py", line 100,

in handle
 self.session = FakeSession(address[0], "", "",
address[1])

File "/home/conpotadmin/.local/lib/python3.8/site-
packages/conpot/protocols/ipmi/fakesession.py", line 55,
in __init__

self._initsession()

File "/home/conpotadmin/.local/lib/python3.8/site-
packages/pyghmi/ipmi/private/session.py", line 603, in
_initsession

self.logoutexpiry = _monotonic_time() +
self._getmaxtimeout()

File "/home/conpotadmin/.local/lib/python3.8/site-
packages/pyghmi/ipmi/private/session.py", line 736, in
_getmaxtimeout

while incrementtime < self.maxtimeout:

AttributeError: 'FakeSession' object has no

attribute 'maxtimeout'

2020-09-01T07:37:46Z <Greenlet at 0x7f9bfbb0fd00:

_handle_and_close_when_done(<bound method
IpmiServer.handle of <conpot.protoco, <bound method
BaseServer.do_close of<DatagramServ, (b'\x1b\x00\x00=\
x00\x00\x00\x00\x12CONNECTIONLESS)> failed with
AttributeError

Pentru serviciul FTP, jurnalele stocate în fișierul de loguri în urma încercării

de autentificare sunt:
2020-09-01 08:13:13,752 New ftp session from
Pag.96

192.168.2.254 (032e6f81-631d-4bbf-8f09-5eda8e7ef26f)
 2020-09-01 08:13:13,752 New FTP connection from
192.168.2.254:11034. (032e6f81-631d-4bbf-8f09-
5eda8e7ef26f)
2020-09-01 08:13:13,753 FTP traffic to
('192.168.2.254', 11034): {'response': b'200 FTP server
ready.\r\n'} (032e6f81-631d-4bbf-8f09-5eda8e7ef26f)
2020-09-01 08:13:13,753 FTP traffic to
('192.168.2.254', 11034): {'request': b'USER red_hacker\
r\n'} (032e6f81-631d-4bbf-8f09-5eda8e7ef26f)
2020-09-01 08:13:13,754 Received command USER : USER
red_hacker from FTP client ('192.168.2.254', 11034):
032e6f81-631d-4bbf-8f09-5eda8e7ef26f
2020-09-01 08:13:13,755 FTP traffic to
('192.168.2.254', 11034): {'response': b'331 Now specify
the Password.\r\n'} (032e6f81-631d-4bbf-8f09-
5eda8e7ef26f)
2020-09-01 08:13:27,577 FTP traffic to
('192.168.2.254', 11034): {'request': b'PASS Gotcha1234\
r\n'} (032e6f81-631d-4bbf-8f09-5eda8e7ef26f)
2020-09-01 08:13:27,578 Received command PASS : PASS
Gotcha1234 from FTP client ('192.168.2.254', 11034):
032e6f81-631d-4bbf-8f09-5eda8e7ef26f
2020-09-01 08:13:27,578 FTP traffic to
('192.168.2.254', 11034): {'response': b'530
Authentication Failed.\r\n'} (032e6f81-631d-4bbf-8f09-
5eda8e7ef26f)

În cazul de mai sus, se poate ușor observa tentativa de utilizare a unor

credențiale fpt fake, user red_haker si parola Gotcha1234
În plus față de serviciile mai sus prezentate CONPOT prezintă pe portul http o
interfață om-masina customizabilă (HMI). Logurile conectării pe portul 80 al
honewpot-ului sunt:
Pag.97

2020-09-01 08:55:24,876 New http session from

192.168.2.254 (672da1a7-c69d-4fbf-846b-e72a9cb534f2)
2020-09-01 08:55:24,877 HTTP/1.1 GET request from
('192.168.2.254', 2249): ('/index.html', [('Host',
'192.168.2.1:8800'), ('Connection', 'keep-alive'),
('Cache-Control', 'max-age=0'), ('Upgrade-Insecure-
Requests', '1'), ('User-Agent', 'Mozilla/5.0 (Windows NT
6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/85.0.4183.83 Safari/537.36'), ('Accept',
'text/html,application/xhtml+xml,application/xml;q=0.9,im
age/avif,image/webp,image/apng,*/*;q=0.8,application/
signed-exchange;v=b3;q=0.9'), ('Accept-Encoding', 'gzip,
deflate'), ('Accept-Language', 'en-
US,en;q=0.9,ro;q=0.8'), ('Cookie', 'path=/')], None).
672da1a7-c69d-4fbf-846b-e72a9cb534f2
2020-09-01 08:55:24,878 HTTP/1.1 response to
('192.168.2.254', 2249): 200. 672da1a7-c69d-4fbf-846b-
e72a9cb534f2
2020-09-01 08:55:30,042 HTTP/1.1 GET request from
('192.168.2.254', 2249): ('/index.html', [('Host',
'192.168.2.1:8800'), ('Connection', 'keep-alive'),
('Pragma', 'no-cache'), ('Cache-Control', 'no-cache'),
('Upgrade-Insecure-Requests', '1'), ('User-Agent',
'Mozilla/5.0 (Windows NT 6.1; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/85.0.4183.83 Safari/537.36'), ('Accept',
'text/html,application/xhtml+xml,application/xml;q=0.9,im
age/avif,image/webp,image/apng,*/*;q=0.8,application/
signed-exchange;v=b3;q=0.9'), ('Accept-Encoding', 'gzip,
deflate'), ('Accept-Language', 'en-
US,en;q=0.9,ro;q=0.8'), ('Cookie', 'path=/')], None).
672da1a7-c69d-4fbf-846b-e72a9cb534f2
2020-09-01 08:55:30,042 HTTP/1.1 response to
('192.168.2.254', 2249): 200. 672da1a7-c69d-4fbf-846b-
e72a9cb534f2
2020-09-01 08:55:30,299 HTTP/1.1 GET request from
('192.168.2.254', 2249): ('/favicon.ico', [('Host',
'192.168.2.1:8800'), ('Connection', 'keep-alive'),
('Pragma', 'no-cache'), ('Cache-Control', 'no-cache'),
('User-Agent', 'Mozilla/5.0 (Windows NT 6.1; Win64; x64)
Pag.98

AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/85.0.4183.83 Safari/537.36'), ('Accept',
'image/avif,image/webp,image/apng,image/*,*/*;q=0.8'),
('Referer', 'http://192.168.2.1:8800/index.html'),
('Accept-Encoding', 'gzip, deflate'), ('Accept-Language',
'en-US,en;q=0.9,ro;q=0.8'), ('Cookie', 'path=/')], None).
672da1a7-c69d-4fbf-846b-e72a9cb534f2
2020-09-01 08:55:30,299 HTTP/1.1 response to
('192.168.2.254', 2249): 404. 672da1a7-c69d-4fbf-846b-
e72a9cb534f2

În mod standard și necustomizabilă, interfața HMI prezintă în format html

parametrul S7 Technodrome astfel:

Interogarea SNMP facută folosind comunitatea “pubic” returnează, ca și

încazul real al unui PLC S7-200, următoarele date:
2020-09-01 09:30:22,084 SNMPv1 Get request from ('192.168.2.254', 64805):
1.3.6.1.2.1.1.1.0
2020-09-01 09:30:22,084 SNMPv1 Get response to ('192.168.2.254', 64805):
1.3.6.1.2.1.1.1.0 Siemens, SIMATIC, S7-200
În toate cazurile analizate mai sus, folosind NMAP sau scanere specifice
protocoalelor industriale, se poate observa cu ușurință cu care CONPOT detectează și
jurnalizeaza traficul, modul în care acesta stochează metadatele utile pentru o analiză
ulterioară, incluzand IP-urile sursa, tipul de protocol detectat, eventualele tentative de
aflare a parolelor sau de acces folosind credențiale standard, embeded în dispozitivele
SCADA, s.a.m.d.

REFERINTE
Pag.99

J. Kaur, J. Tonejc, S. Wendzel, and M. Meier: Securing BACnet’s pitfalls,

June 2015. https://www.researchgate.net/publication/273773837_Securing_BACnet
%27s_pitfalls
 A. Mirian, Z Ma, D. Adrian, M. Tischer, T. Chuenchuj, T. Yardley, R
Berthier, J. Mason, Z. Durumeric. J. A. Halderman and M. Bailey: An Internet-Wide
View of ICS Devices, University of Michigan, University of Illinois at Urbana-
Champaign, https://nsrg.sprai.org/publications/pst2016_ics.pdf
D. Martyn, OPSEC for Honeypots, https://hackerfall.com/story/opsec-for-
honeypots
Rhyolite, Conpot - Honeypot Results, Sept 2016,
https://zirconic.net/tag/conpot/
D. Hyun: Collecting Cyberattack Data for Industrial control Systems Using
Honeypots, Naval Postgraduate Scool, Monteray California, March 2018.
https://faculty.nps.edu/ncrowe/oldstudents/Hyun_Dahae_ICS_thesis.htm
CONPOT official documentation for 0.6.0 version:
https://buildmedia.readthedocs.org/media/pdf/conpot/master/conpot.pdf
C Scott: Designing and Implementing a Honeypot for a SCADA Network,
SANS Institute Information Security Reading Room, https://www.sans.org/reading-
room/whitepapers/detection/designing-implementing-honeypot-scada-network-35252
INCIBE (Spanish National Cybersecurity Institute): INCIBE-
CERT_INDUSTRIAL_HONEYPOT_IMPLEMENTATION_GUIDE_2019_v1,
October 2019, https://www.incibe-cert.es/sites/default/files/contenidos/guias/doc/
incibe-cert_industrial_honeypot_implementation_guide.pdf
A.V. Serbanescu, S. Obermeier, Der-Yeuan Yu: ICS Threat Analysis Using a
Large-Scale Honeynet,
https://pdfs.semanticscholar.org/71aa/7719c84127b791fe224548ad13a760fd5a37.pdf

Pag.100
 Concluzii finale

În acest studiu au fost prezentate principalele tipuri de amenințări cibernetice

cum ar fi cele de tipul „Drive-by exploits”, viermi/troieni, injectie de cod, kit-uri de
exploatare, botnet, Denial of Service, phishing, compromiterea informațiilor
confidențiale, rogueware/scareware, atacuri directionate, furt/pierdere/distrugere
fizică, furt de identitate, scurgere de informații, manipularea motoarelor de căutare,
certificate digitale false. S-a prezentat conceptul de honeypot, tipologia unui
honeypot, principiul de funcționare, și s-au analizat tipurile de honeypot-uri. A fost
prezentată arhitectura dispozitivelor honeypot si a retelelor honeynet. S-au arătat
avantajele și dezavantajele implementării unui honeypot și s-a prezentat honeypot-
urile Honeyd. S-a prezentat arhitectura SCADA Honeynet, servicii SCADA
Honeynet, s-a prezentat modul în care sunt analizate atacurile și s-a prezentat
implementare SCADA Honeynet. De asemenea, s-a făcut o prezentare generală a
honeypot-ului CONPOT, modul în care se instalează și se configurează, precum și
utilizarea acestuia.

Toate elementele din acest studiu ne vor ajuta să definim cât mai bine
functionalitățile pentru modulul din cadrul platformei SafePIC numit ”Simulare
componente SCADA (PLC, HMI) de tip honeypot în vederea identificării potențialilor
atacatori ai infrastructurilor critice (Safe-SCADA)”
Pag.101
 Referințe suplimentare pentru cercetări ulterioare:

1. http://www.thewindowsclub.com/what-are-honeypots
2. https://en.wikipedia.org/wiki/Honeypot_(computing)
3. http://searchsecurity.techtarget.com/definition/honeynet
4. https://www.sans.org/reading-room/whitepapers/attacking/honey-pots-honey-nets-
security-deception-41
5. http://opensourceforu.com/2013/12/secure-scada-network-using-honeypot/
6. http://www.honeyd.org/concepts.php
7. https://books.google.ca/books?
id=CrIVBAAAQBAJ&pg=PA269&dq=honeypot+modbus&hl=en&sa=X&ved=0ah
UKEwirnr7ll-_YAhUU7GMKHYrgBfQQ6AEIJzAA#v=onepage&q=honeypot
%20modbus&f=false
8. http://www.thewindowsclub.com/what-are-honeypots
9. http://www.informit.com/articles/article.aspx?p=30489&seqNum=2
10. https://www.slideshare.net/amitpoonia404/seminar-report-on-honeypot
11. https://books.google.ca/books?
id=qrk7BAAAQBAJ&pg=PA183&dq=honeypot+modbus&hl=en&sa=X&ved=0ahU
KEwirnr7ll-_YAhUU7GMKHYrgBfQQ6AEILjAB#v=onepage&q=honeypot
%20modbus&f=false
12. https://pdfs.semanticscholar.org/
c437/2e695acd7636367c106d6c347544ed131b98.pdf
13. http://www.diva-portal.org/smash/get/diva2:327476/fulltext01
14. http://www.honeyd.org/concepts.php
15. https://arxiv.org/pdf/1608.06249.pdf
16. https://books.google.ca/books?
id=xbE_DwAAQBAJ&pg=PA203&lpg=PA203&dq=bacnet+honeypot&source=bl&
ots=jWG2zGrRaL&sig=SCFli34LSviVkSEz-
hF557I9STs&hl=en&sa=X&ved=0ahUKEwjV6LKQl-
_YAhUQymMKHXMqDlAQ6AEIWDAH#v=onepage&q=bacnet
%20honeypot&f=false
17. https://www.digitalocean.com/community/tutorials/how-to-install-kippo-
an-ssh-honeypot-on-an-ubuntu-cloud-server
18. http://blog.donovanhubbard.com/2013/10/customizing-kippo-ssh-
Pag.102

honeypot.html
19. http://edgis-security.org/
20. http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-
attacks-debian-7-ubuntu-13-10/
21. http://www.delaat.net/rp/2011-2012/p26/report.pdf

Pag.103