Portspoof: técnica que emula serviços válidos em todas as 65.535 portas TCP

 (github.com/drk1wi)
1 pontos por GN⁺ 2024-12-26 | 1 comentários | Compartilhar no WhatsApp

  • Visão geral do software Portspoof

    • Portspoof é um software para reforçar a segurança do sistema operacional.
    • Mantém todas as 65.535 portas TCP sempre abertas para que um invasor não consiga verificar o estado das portas.
    • Durante uma varredura de portas, faz com que todas as portas apareçam como OPEN, neutralizando varreduras furtivas de portas.
    • Cada porta TCP aberta gera banners falsos por meio de emulação de serviços para enganar scanners.
    • Usa um banco de dados dinâmico de assinaturas de serviços para responder a sondas de serviço com assinaturas válidas.
    • Torna difícil para invasores descobrir os números reais das portas do sistema.

  • A arte da defesa contra ataques

    • Portspoof pode aproveitar as ferramentas e exploits dos invasores para transformar o sistema de forma agressiva.
    • Foi projetado como um elemento adicional para um sistema de firewall leve, rápido, portátil e seguro.
    • Reforça a segurança do sistema ao tornar a etapa de reconhecimento do invasor lenta e trabalhosa.
    • É um software em nível de usuário e não requer privilégios de root.
    • Cada instância em execução se vincula a apenas uma porta TCP.
    • Pode ser facilmente personalizado por meio de regras do iptables.
    • Tem baixo uso de CPU e memória e oferece suporte a multithreading.
    • Fornece mais de 9.000 assinaturas dinâmicas de serviços para confundir o software de varredura do invasor.

  • Autor

    • Piotr Duszyński (@drk1wi).

  • Uso comercial

    • Portspoof é fornecido sob uma licença específica, e o uso comercial exige negociação de licença com o autor.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-12-26
Comentários do Hacker News
  • A porta 0 é usada em alguns sistemas operacionais como um host de serviço acessível pela internet
  • A configuração padrão do MariaDB faz o banco de dados escutar na porta 0, então a tentativa de bloquear o acesso pela internet não é eficaz em muitos sistemas
  • Há quem ache que a segurança de computadores vai evoluir para uma "defesa ativa"
    • Faz uma analogia entre a complexidade e a estrutura em múltiplas camadas do sistema imunológico e a segurança de computadores e redes
  • Houve a experiência de criar uma página web que gerava endereços de e-mail aleatórios para bloquear spambots que rastreavam e-mails
  • Levanta a possibilidade de o servidor ser mais investigado por hackers ou bots, ou de haver aumento de tráfego
    • Suspeita-se que a maioria dos script kiddies não filtraria potenciais honeypots
  • Levanta a possibilidade de isso se tornar um amplificador de DoS
    • Questiona se, ao enviar os pacotes falsificados corretos, seria possível fazer muitos pacotes retornarem à origem real
  • Questiona o fato de que cada instância em execução parece se vincular a apenas uma porta TCP
    • Pergunta se seria necessário executar 65535 instâncias para cobrir todas as portas
  • Avalia positivamente que a palavra "honeypot" não foi usada
    • Compartilha a experiência de ter herdado no passado um honeypot "de verdade" e ficado surpreso ao ver 30 portas abertas
  • Sugere que é possível acelerar a varredura de portas dividindo o trabalho entre sistemas em diferentes IPs
  • Menciona a evolução natural de uma abordagem que anuncia falhas de segurança, mantém uma blacklist e realimenta isso em sistemas reais como firewall
  • Opina que usar as duas técnicas juntas dificultaria para um invasor identificar os serviços reais
    • Questiona se isso seria segurança por obscuridade
  • Menciona que, para realizar corretamente a etapa de reconhecimento do sistema, seriam necessárias mais de 8 horas e 200 MB de dados
    • Questiona se isso seria segurança por obscuridade
  • Pode não ter conhecimento suficiente sobre segurança da informação, mas questiona se o sistema poderia atrair mais atenção por causa de uma instância exposta de Redis