---

Min honeypot startede indenfor 24 timer med at få bid af
3 IP adresser fra en Caniadisk ISP, og har nu flere gæster.
Bl.a. fra Israel.

Typisk anvender de min SOCKS -> SMTP fake gw.

Er der nogen der har erfaringer med om det virker at klage ?
Hvordan kan man ellers ramme dem ? Det er vel ulovligt brug af
mine ressourcer.

Gør jeg nogen gavn med min honeypot udover at mindske hitrate
på reklamerne ?

---

"Povl H. Pedersen" wrote:
>
> Min honeypot startede indenfor 24 timer med at få bid af
> 3 IP adresser fra en Caniadisk ISP, og har nu flere gæster.
> Bl.a. fra Israel.
>
> Typisk anvender de min SOCKS -> SMTP fake gw.

Hvordan fungerer den? Jeg har selv en SMTP honeypot og en
HTTP -> SMTP fake kørende på 1080, 3128, 6588, 8000, og
8080.

>
> Er der nogen der har erfaringer med om det virker at klage ?

Det afhænger af deres udbyder. Jeg har nogle gange prøvet.
Jeg har da oplevet at nogen har sagt tak og at min hjælp
var medvirkende til at de fik stoppet misbruget. Desværre
lød de personer jeg kommunikerede med dengang ikke særligt
kompetente.

Man vil tit komme ud for personer, der ikke forstår hvad
en honeypot er, og endeligt kan man jo ikke vide, om ens
henvendelse er den direkte årsag til at trafikken stopper,
eller om den ville være stoppet alligevel.

Så min konklusion er, at det vil en gang i mellem hjælpe,
men ikke nær så ofte som man burde.

> Hvordan kan man ellers ramme dem ?

Det har jeg også tit spurgt mig selv om. Det er jo et
våbenkapløb. Det mest effektive ville jo nok være at
eliminere alle de usikre systemer, de kan misbruge.

> Det er vel ulovligt brug af mine ressourcer.

Det spørgsmål ville nok være mere passende i jura
gruppen (hvis de da ellers forstår det tekniske godt
nok til at kunne svare). Umiddelbart tror jeg ikke det
er ulovlig brug af dine ressourcer, jeg vil mene det
er forsøg på ulovlig brug af dine ressourcer.

>
> Gør jeg nogen gavn med min honeypot udover at mindske hitrate
> på reklamerne ?

Jeg tror det gavner. Men der skal jo nok mange honeypots
til for at det virkelig batter noget. Og hvis antallet
af honeypots kommer op i nærheden af antallet af systemer,
der faktisk kan misbruges, så frygter jeg bare at spamerne
bliver mere aggresive og sender mange flere eksemplarer
afsted for at kompensere for de tabte.

Man kan håbe på at vi på sigt kan køre spammerne så trætte,
at de opgiver at bruge SMTP relays og åbne proxies. Men
honeypots gør det ikke alene. Antallet af usikre systemer
skal reduceres så spammerne har større chance for at få
fat på en honeypot end en ægte usikker maskine.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

> Man vil tit komme ud for personer, der ikke forstår hvad
> en honeypot er, og endeligt kan man jo ikke vide, om ens
> henvendelse er den direkte årsag til at trafikken stopper,
> eller om den ville være stoppet alligevel.

Jeg vidste ikke hvad en honeypot er, men Google gjorde mig klogere
http://www.tracking-hackers.com/misc/faq.html

Men... hvad vil I med en honeypot? Det virker lidt som en privatisering
af "politimæssige" opgaver (og endda en politimæssig "agent" aktivitet,
som ikke må udføres i Danmark), hvis der overhovedet er tale om ulovlige
aktiviteter.

Just curious

--
Jesper Lund

---

Jesper Lund wrote:
>
> Men... hvad vil I med en honeypot? Det virker lidt som en privatisering
> af "politimæssige" opgaver (og endda en politimæssig "agent" aktivitet,
> som ikke må udføres i Danmark), hvis der overhovedet er tale om ulovlige
> aktiviteter.

Jeg holder da bare øje med, hvad der foregår på min
*egen* computer. Jeg skrev sådanset i første omgang
bare min honeypot for at lære en lille smule om SMTP.

At min honeypot bliver kontaktet af tusindvis af
maskiner, der ikke har noget lovligt formål her, det
kan jo aldrig være min fejl.

Hvad mener du om at sshd logger alle forsøg på at
logge ind som root?

>
> Just curious

Ja.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

> SMTP.

> At min honeypot bliver kontaktet af tusindvis af maskiner, der ikke har
> noget lovligt formål her, det kan jo aldrig være min fejl.

Hmm, hvis ikke en SMTP-server har til formål at blive kontaktet af andre
maskiner, hvad er så dens formål?

Definer lovligt formål for en SMTP-server.

Er det f.eks. ulovligt for min SMTP-server at kontakte din SMTP-server,
hvis den "tror" (for passende positive værdier af ordet "tror") den kan
levere emails til dig på den måde?

---

Peder Vendelbo Mikkelsen wrote:
>
> Er det f.eks. ulovligt for min SMTP-server at kontakte din SMTP-server,
> hvis den "tror" (for passende positive værdier af ordet "tror") den kan
> levere emails til dig på den måde?

Selvfølgelig. Jeg snakker om tilfælde hvor man bevidst
sender sin email til en forkert server i håb om, at den
vil blive sendt videre. Tag nu det her eksempel fra min
log:

[9486] === Tue Mar 23 05:23:39 2004 === 218.162.175.44 === Session start ===
[9486] 220 server.name.is.invalid SMTP This is not a mail server
[9486] HELO 80.163.30.199
[9486] 250 OK
[9486] MAIL FROM: <129wsj@ms8.hinet.net>
[9486] 250 OK
[9486] RCPT TO: <shir88@seed.net.tw>

Her er det tydligt, at maskinen på 218.162.175.44 ikke
er ved at levere en email til mig. Hvis man slår mx
recorden op for seed.net.tw får man servernavnet
mx.seed.net.tw og når vi slår dette navn op får vi IP
adressen 139.175.54.239 som ikke er min IP adresse.

Afsenderen har altså intet at gøre på min maskine, det
er tydeligvis et forsøg på at misbruge mine resourcer
for at få emailen leveret videre til sin endelige
destination.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont skrev:

> Jeg snakker om tilfælde hvor man bevidst sender sin email til en forkert
> server i håb om, at den vil blive sendt videre. Tag nu det her eksempel
> fra min

> [9486] === Tue Mar 23 05:23:39 2004 === 218.162.175.44 === Session
> start ===
> [9486] 220 server.name.is.invalid SMTP This is not a mail server
> [9486] HELO 80.163.30.199
> [9486] 250 OK
> [9486] MAIL FROM: <129wsj@ms8.hinet.net>
> [9486] 250 OK
> [9486] RCPT TO: <shir88@seed.net.tw>

> Her er det tydligt, at maskinen på 218.162.175.44 ikke er ved at levere
> en email til mig. Hvis man slår mx recorden op for seed.net.tw får man
> servernavnet mx.seed.net.tw og når vi slår dette navn op får vi IP adres-
> sen 139.175.54.239 som ikke er min IP adresse.

> Afsenderen har altså intet at gøre på min maskine, det er tydeligvis et
> forsøg på at misbruge mine resourcer for at få emailen leveret videre til
> sin endelige destination.

God fornøjelse med abuseafdelingerne hos hinet.net og seed.net.tw.

Da jeg læste dit indlæg kom jeg med det samme til at tænke på denne arti-
kel:

http://news.netcraft.com/archives/2004/01/30/wwwscocom_is_a_weapon_of_mass_destruction.html

---

Peder Vendelbo Mikkelsen wrote:
>
> God fornøjelse med abuseafdelingerne hos hinet.net og seed.net.tw.

Det gider jeg slet ikke forsøge. Jeg fremviste bare
et tilfældigt eksempel på misbrug. At det kom fra
Taipei var måske ikke nogen tilfældighed.

>
> Da jeg læste dit indlæg kom jeg med det samme til at tænke på denne arti-
> kel:
>
> http://news.netcraft.com/archives/2004/01/30/wwwscocom_is_a_weapon_of_mass_destruction.html

Jeg kan ikke lige få øje på sammenhængen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <405a1e48$0$157$edfadb0f@dtext02.news.tele.dk>, Jesper Lund wrote:
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
>> Man vil tit komme ud for personer, der ikke forstår hvad
>> en honeypot er, og endeligt kan man jo ikke vide, om ens
>> henvendelse er den direkte årsag til at trafikken stopper,
>> eller om den ville være stoppet alligevel.
>
> Jeg vidste ikke hvad en honeypot er, men Google gjorde mig klogere
> http://www.tracking-hackers.com/misc/faq.html

Mange honeypots i dag er alene SMTP honeypots. Dvs de tager
imod spam mails, skrotter dem / eller gemmer dem. Har 2 effekter.
Man kan enten klage til ISP'en, eller man kan sørge for at de
100.000 mails man får pr døgn har 0.00% hitrate. Dette rammer
spammerne på pengepungen.

Sidst men ikke mindst, når man har samlet 50 mio adresser kan man sende
mails til dem alle, og tilbyde dem at købe en CD med 50 mio e-mail
adresser som de kan bruge til at sælge alt muligt til :)

> Men... hvad vil I med en honeypot? Det virker lidt som en privatisering
> af "politimæssige" opgaver (og endda en politimæssig "agent" aktivitet,
> som ikke må udføres i Danmark), hvis der overhovedet er tale om ulovlige
> aktiviteter.
>
> Just curious

Det er ikke en politiopgave. Det at stoppe spam ligger hos forbruger-
ombudsmanden.

Men man gør sig muligvis kriminel ved at unddrage modtageren dennes
e-mail. Man er derfor nødt til at brænde dem på en CD og aflevere
dem til politiet eller PostDK, så må de vel sørge for at modtagerens
breve når frem :)

---

"Povl H. Pedersen" wrote:
>
> Men man gør sig muligvis kriminel ved at unddrage modtageren dennes
> e-mail.

Ja, den var god.

Hvis vi nu lige prøver at sammenligne med eksempler
på fysiske breve, så får man nok en bedre idé om,
hvad der kan forventes.

Hvis et enkelt brev ved en fejl havner i min
postkasse, så kan det da godt være, jeg har pligt
til at levere det tilbage til postvæsnet, så de har
en mulighed for at levere det til den rigtige
modtager.

Men hvad nu, hvis en person enten ikke gider bruge
tid på at finde en postkasse, eller bare ikke gider
betale for et frimærke? Så kan han bare skrive en
modtager adresse på, og smide det i min postkasse.

Er det stadig mit ansvar at sørge for, at det når
frem? Hvis jeg går på posthuset med et brev, de ikke
har leveret forkert, og som faktisk slet ikke har et
frimærke, vil de så faktisk tage imod det, og levere
det? Jeg tror det ikke, de vil ikke tro hvad jeg
fortæller dem. De vil tro jeg prøver på at nare dem
til at sende et brev uden at betale porto for det.

Og hvad nu hvis jeg en dag finder ikke et, men ti,
hundred, eller seksogtredivemillioner breve i min
postkasse, skal jeg så stadig levere dem til posthuset
og sige at jeg tror de er kommet til at smide dem i
min postkasse ved en fejl?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Povl H. Pedersen skrev:

> Mange honeypots i dag er alene SMTP honeypots. Dvs de tager imod spam
> mails, skrotter dem / eller gemmer dem. Har 2 effekter. Man kan enten
> klage til ISP'en, eller man kan sørge for at de 100.000 mails man får pr
> døgn har 0.00% hitrate. Dette rammer spammerne på pengepungen.

Du følger åbenbart ikke ret meget med i hvordan spamemails bliver udbredt
idag. Det gør de ved hjælp af inficerede pcere, hvor en orm over flere
generationer vokser op til at blive et spamrelæ.

Læs eventuelt lidt om det i F-secures weblog:

http://www.f-secure.com/weblog/

Spammerne kan overhovedet ikke mærke din honeypot, heller ikke på penge-
pungen.

---

Peder Vendelbo Mikkelsen wrote:

> Spammerne kan overhovedet ikke mærke din honeypot, heller ikke på
> penge- pungen.

Almindelig logik siger du må tage fejl. Ganske uagtet, hvor mange mails
en spammer kan levere, vil et antal ikke leveret give (hitrate * antal)
mindre omsætning. Hvis hitrate er 0,01% giver 100.000 mails smidt væk 1
salg mindre end hvis de var kommet frem.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Bogus virus warnings are spam. Reject them using Postfix:
http://www.t29.dk/antiantivirus.txt

---

Niels Callesøe skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Spammerne kan overhovedet ikke mærke din honeypot, heller ikke på
>> pengepungen.

> Almindelig logik siger du må tage fejl. Ganske uagtet, hvor mange mails
> en spammer kan levere, vil et antal ikke leveret give (hitrate * antal)
> mindre omsætning. Hvis hitrate er 0,01% giver 100.000 mails smidt væk 1
> salg mindre end hvis de var kommet frem.

Hvis 1 salg repræsenterer 5$ er spammeren nok ret ligeglad.

Men du har ret i din kritik, jeg burde have skrevet indlægget mere tydeligt
og defineret hvad jeg mente med at spammerne ikke kan mærke en tilfældig
honeypot på pengepungen.

---

Peder Vendelbo Mikkelsen wrote in
<news:4065f145$1$176$edfadb0f@dtext01.news.tele.dk>:

>>> Spammerne kan overhovedet ikke mærke din honeypot, heller ikke
>>> på pengepungen.
>
>> Almindelig logik siger du må tage fejl. Ganske uagtet, hvor mange
>> mails en spammer kan levere, vil et antal ikke leveret give
>> (hitrate * antal) mindre omsætning. Hvis hitrate er 0,01% giver
>> 100.000 mails smidt væk 1 salg mindre end hvis de var kommet
>> frem.
>
> Hvis 1 salg repræsenterer 5$ er spammeren nok ret ligeglad.

Ja. Men her kommer så lige nogle påstande der bygger på mit skøn (som
du så kan tage for lige så gode varer, eller ej, som det passer dig):

- Mit overslag på 0,01% er i den lave ende. Reelt har nogle typer spam
nok nærmere 0,1%.
- For mange spammere representerer blot et enkelt salg en stor værdi.
For det første sælges produkterne typisk i $30-$60 klassen eller mere,
for det andet koster fremstillingen typisk næsten ingenting (specielt
ved kalktabletter solgt som viagra/fontex og piratkopieret software),
og for det tredie gør et salg, at køberens email addresse nu er mange
penge værd til videresalg til andre spammere (de såkaldte "sucker-
lists"). Nåja, og for det fjerde giver et salg typisk også et brugbart
Visa-nummer der kan sælges til endnu mere lyssky personer. Det er nok
ikke helt så almindeligt, men det sker.

> Men du har ret i din kritik, jeg burde have skrevet indlægget mere
> tydeligt og defineret hvad jeg mente med at spammerne ikke kan
> mærke en tilfældig honeypot på pengepungen.

Det er selvfølgelig svært at vurdere hvorvidt spammerne kan mærke et
*væsentligt* tab, men jvf. ovenstående, er lidt bedre end ingenting.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

Povl H. Pedersen wrote:

> Hvordan kan man ellers ramme dem ? Det er vel ulovligt brug af
> mine ressourcer.

Har vi ikke haft denne diskussion før?

http://www.google.com/groups?threadm=slrnb5qdtp.1g0.povlhp%40povl-h-pedersens-computer.local

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Povl H. Pedersen skrev:

> Min honeypot startede indenfor 24 timer med at få bid af 3 IP adresser
> fra en Caniadisk ISP, og har nu flere gæster. Bl.a. fra Israel.

Tillykke med det. Har gæsterne lavet noget spændende?

> Er der nogen der har erfaringer med om det virker at klage ?

Tjah, der er stor forskel på responsen, især fra de større udbydere.

Jeg har det selv stort set sådan, at hvis jeg modtager en automatisk klage
over 2-3 forsøg på PORTSCANNING, så skriver jeg tilbage at man skulle over-
veje at læse den eventuelle manual som medfulgte det produkt man anvender
til at detektere PORTSCANNINGEN (2-3 forsøg kunne nemt være en fejl, frem-
for et bevidst forsøg på noget grimt).

Det gør jeg selvom henvendelsen kommer fra kabelklipperen fra Uni-C, da han
virker imponerende inkompetent (han bliver altid sur hvis jeg ringer til
ham og læser headere fra spamemails højt, som han påstår kommer fra mine
maskiner, og forklarer ham hvordan man bør læse dem. Næste gang han henven-
der sig derefter, er altid til et jakkesæt, som efterfølgende henvender sig
til mig for at forhøre sig om situationen (jeg ringer naturligvis tilbage
til abuse-personligheden, for at dobbelttjekke om ikke han og jakkesættet
har misforstået noget)).

Hvis du nogensinde henvender dig til mig, med skinger stemme, og udbryder:
NOGEN HOS JER HAR FORSØGT AT HAKKE MIT NETVÆRK!!!!!!!!!!!!!11 Vil jeg bede
dig om at indtage noget med beroligende midler i, f.eks. chokolade eller 20
Viking uden filter, og derefter bede dig overveje hvad dælen du misbruger
en honeypot til.

> Hvordan kan man ellers ramme dem ?

Dokumenter hvad der laves, lad være med at lave et mediestunt ud af det.
Lav eventuelt et samarbejde med andre Honeypots.

> Det er vel ulovligt brug af mine ressourcer.

IANAL!

Tjah, du har jo sat en honeypot op med et formål, du kan vel dårligt klage
over at nogle gør som du ønsker?

> Gør jeg nogen gavn med min honeypot udover at mindske hitrate på re-
> klamerne ?

Om ikke andet, så hindrer det vel at du render rundt i gaderne og generer
ordentlige mennesker.