Vlákno názorů k článku
Telnet je po SMTP stále druhou nejnapadanější službou, říkají data projektu Turris od HabanR - " Telnet je po SMTP stále druhou nejnapadanější...

" Telnet je po SMTP stále druhou nejnapadanější službou"
Jenže to jsou "umělá" data vytvořená na základě schválně otevřeného Telnet portu na Honeypot, která však říkají jen to, že útočníci na tento port stále útočí. Nic však statistiky neříkají o tom, jaké je procentuální zastoupení "produkčních" systémů s otevřeným Telnet portem.

On ten Minipot toho moc neumi - jen Telnet, HTTP, FTP a zminene SMTP, tak to jinak ani vyjit nemuze :-) Pritom v tom dokumentu, cast "Port Trends" se u telnetoveho portu vykazuje nejakych 222885 spojeni - ale ze MS-DS (tcp/445) hodi 438903 se uz moc neresi, protoze to holt neumi dal zpracovat - a co se tam lovi za stesti je zrejme (a hesla tam budou litat taky)...

Report rika, ze kdyz date utocnikovi na vyber, tak nejvic ho bude lakat SMTP a pote Telnet. Kolik jakych sluzeb bezi na Internetu je trochu jina statistika. Smyslem reportu bylo konstatovat ze o Telnet je stale velky zajem a chapeme proc. Na druhou stranu, kdyby telnet na Internetu uz nebyl k nalezeni, tak uz by ho utocnici taky opustili, ale ocividne se pro ne vyplati ho zkouset. Porad se stava ze se i na novych zarizenich obcas objevi (levne IoT?).

a to právě ty data vůbec neříkají, viz i odpověď od dannyho. Když dáš na výběr 4 protokoly a pak děláš žebříček 2 nenapadějších, moc z toho nezískáš...

To jste si spletl služby ... Turris neodhaluje kdo může být napaden, odhaluje ty co napadají.

Koukněte na Shodan.io a dostanete odpověď na vaši stížnost.

24. 5. 2023, 13:25 editováno autorem komentáře

Veskutecnosti nerikaji ani to, ale co cekat od nicu ...

Prehod si sshcko na nedefaulni port, a stopni si, za jak dlouho prijde pvni pokus o login. O port totiz vubec nejde. Scanuji se vsechny. A kdyz na tom portu neco je, tak se zjistuje co. Samozrejme ze na proflaknutych portech jako prvni zkusis to, co tam cekas.

Ja si naprosto s klidem dovolim tvrdit, ze nejderavejsi aplikaci na webu je ... wordpress. Jadnak na nej jde na moji mucholapku zdaleka nejvic provozu a pak sem jeste nevidel srv, na kterym by to nebylo hackly.

A tak analyzuji data, co maji. A holt z Minipotu toho moc nevypadne - viz vycet vyse, navic tam ani neni podpora pro TLS, nejake data kolem SSH dokaze doplnit jeste HaaS - ale tim koncime. Kazdopadne obecnym smyslem honeypotu je pasivni chytani utocicich stroje, nikoliv aktivne vyhledavat derave aplikace (aka ty wordpressy) :-)

Jenze tady neni rec o tom co maji, ale o tom, co o tech datech prohlasuji.

Viz me prohlaseni vejs (telnet neprovozuju). Ja to teda preformuluju tak, ze z mych dat plyne, ze jedina sluzba na kterou se utoci je http(s). Pitomost ze?

Kdybych chtel prohlasovat neco o tom, na kterou sluzbu se utoci nejcasteji, musel bych provozovat vsechny.

A to si jeste dovolim hodne pochybovat o tom, ze se vubec v jejich pripade o nejake utoky jedna, protoze predpokladam, ze za "utok" oznaci jakoukoli komunikaci na ten port.

predpokladam, ze za "utok" oznaci jakoukoli komunikaci na ten port
Co kdybyste si místo předpokladů jak v hospodě u piva, raději přečetl tu odkazovanou zprávu? Nadávat na něco o čem nic nevím umí úplně každý. Tak zkuste jít o level výš a kritizovat konstruktivně.

Jakou metodiku navrhujete? A proč si myslíte, že je potřeba ty služby reálně provozovat a nestačí jen sledovat skenování portů (případně tu komunikaci po nějakou dobu jen emulovat v honeypotu)?

V textu zprávy je jasně napsané "Port Trends -- This section shows trends in port scans for port-protocol combinations relevant. ... The description serves as a reminder of the services that the attacker may be interested in. ... the number of attackers targeting the port, not the number of attacks"

Možná jste si nevšiml, ale diskutujete pod zprávičkou -- čili stručným shrnutím s určitým zjednodušujícím závěrem z toho 14strankového dokumentu. Když chcete detaily, tak si přečtěte celý dokument, pro vaše pohodlí je odkazovaný hned v úvodu článku.

V něm nastíněná metodika a interpretace dat dává zcela jasný smysl -- router detekuje jakýkoliv pokus o kontaktování portů a také použitý protokol. Uváděné počty jsou detekované počty pokusů o spojení na daný port daným protokolem.

To je zcela relevantní bezpečnostní údaj, který je potřeba brát v úvahu, protože jasně ukazuje, že se stále ve velké míře cílí na (id)IoT zařízení či špatně konfigurované routery, kde bývá port pro telnet stále aktivní, ačkoliv by neměl. Dává tedy smysl být opatrný a u každého nového zařízení si sám zkusit oskenovat, jestli ten port náhodou není aktivní a případně to nějak řešit...

No tak zase prohlasovat muze kdo chce a co chce. Muzete s tim nesouhlasit, ale to je asi tak vse :-) Ano, jejich data jsou omezena a realne se omezuji na jednoduche plaintextove protokoly. Ono implementovat kvalitni honeypot neni zadna sranda - aneb zkuste si nastudovat RFCcka ke vsem protokolum, ze? ;-) A to se nebavime o proprietarnich resenich, ke kterym verejne dostupna dokumentace ani neexistuje.

Ale muzete prekvapit a ten honeypot splnujici vase predstavy napsat a opensourcovat :D

Mně teda po přehození SSH na jiný port než 22 cizí pokusy o přihlášení úplně zmizely. A musím říct, že kdybych se sám pokoušel někam takto nabourat, tak bych se na stroje, kde není SSH na 22, rovnou vykašlal. Považuji za celkem pravděpodobné, že člověk, který si ten port takto přepne, má nějaké ponětí, co dělá, a nebude povolovat login s heslem.

Tak treba Shodan i SSH na nestandardnim portu dost casto odhali :-) A samozrejme to ma svuj banner, takze sparovat port se sluzbou tam fakt neni zadna raketova veda. Ale do zaveru, ze lidi pri prehozeni SSH soucasne zakazou prihlaseni heslem bych se fakt nepoustel :-)

Ja si naprosto s klidem dovolim tvrdit, ze nejderavejsi aplikaci na webu je ... wordpress.
A já si dovolím s klidem tvrdit, že lýkožrout nejvíc napadá smrky. Vzhledem k tomu, že už v nadpise zprávičky se píše o "nejnapadanější **službě**", nejsem o moc víc offtopic, než vy.