En sencillo, cyber deception trata de hacerle perder el tiempo a un hacker. Esto se logra haciendo ingeniería social inversa, pensando en que va a intentar un atacante y desde allí forzarlo a ver cosas donde no hay, analizar que es lo que intenta hacer y mantenerlo a raya.
Dentro de las cadenas de ataque, la fase inicial es el reconocimiento, para ello, usualmente se usan técnicas de mapeo de puertos para determinar que servicios se ofrecen, si las versiones son vulnerables u otras, ahora, que pasaría si te respondo… ¿que tengo todos los puertos abiertos?.
Portspoof
Esta es una herramienta que busca simular que tenemos todos nuestros puertos abiertos (Si, los 65535), además simula las versiones (Puedo decir que tengo una version FTP súper vulnerable, o todos los servicios).
Imaginen lo que significa que un escaneo de los 1000 puertos mas comunes, te responda que todos están abiertos. Eventualmente sirve para que el atacante deje de lado esa máquina y siga con la siguiente.
Algunos datos para la causa:
- 8 horas de tiempo total de scanning de todos los puertos
- 200 MB transmitidos en un scan de reconocimiento
Que potencialidades tiene esta herramienta:
- Añade mucha frustración en la fase de reconocimiento
- No requiere privilegios de root
- Solo 1 puerto habilitado en la práctica
- Fácilmente customizable
- Uso despreciable de CPU y Memoria
- Muchas firmas de servicios para hacer que pierdan el tiempo
¿Cómo funciona?
A través de una regla de ruteo redireccionamos todo el flujo de red al puerto del servicio de Portspoof quien proceso las firmas y responde en consecuencia. ¿simple, no?
Les dejo un video ilustrativo de como implementar portspoof en servidores GNU/Linux
Si quedaron con dudas, pregunten…
