Honeypot para ataques de Google Hacking.

Share this…

GHH es la reacción a un nuevo tipo de tráfico web malicioso: los atacantes que utilizan los motores de búsqueda para atacar Webs. GHH es un honeypot  para técnicas de Google Hacking. Está diseñado para proporcionar reconocimiento contra los atacantes que utilizan los motores de búsqueda como una herramienta de ataque contra recursos Web. GHH implementa la teoría del honeypot para proporcionar seguridad adicional para este tipo de ataques.

diagram

Google ha desarrollado una poderosa herramienta, su motor de búsqueda, que permite buscar en una cantidad inmensa de información. Su indice de búsquedas crece a pasos agigantados, este crecimiento del indice de Google se refleja en la difusión de aplicaciones basadas en web, también ha  aumentado  el número de aplicaciones web mal configuradas y vulnerables disponibles en Internet. Estas aplicaciones inseguras, cuando se combinan con la potencia de un motor de búsqueda y el índice que ofrece Google, resulta un vector de ataque conveniente para los usuarios malintencionados.

GHH emula una aplicación web vulnerable y es indexada por los motores de búsqueda. Está oculto de los navegadores web, pero se encuentra a través del uso de un rastreador o motor de búsqueda. Esto hace a través del uso de un enlace transparente que no es detectado por la navegación casual, pero se encuentra cuando un motor de búsqueda rastreador indexa un sitio. El enlace transparente (cuando está bien elaborado) reducirá los falsos positivos y evitará  que sea detectado el honeypot.

El honeypot se conecta a un archivo de configuración y el archivo de configuración escribe en un archivo de registro que se elige durante la configuración. El archivo de registro contiene información sobre el host, incluido: la dirección IP, la información de referencia y el agente de usuario. Utilizando la información reunida en el archivo de registro, un administrador puede obtener más información sobre los atacantes que realizan un reconocimiento de su sitio. Un administrador puede cruzar los registros de referencia y ver una mejor imagen de atacantes específicos.

Fuente:https://www.gurudelainformatica.es