El despliegue se ha realizado gracias a una herramienta maravillosa que es Amazon Web Services (aws.amazon.com), que permite la colocación de servidores en distintos países y reunirlos en una única consola de gestión. Básicamente este servicio reúne a 8 de los 14 Honey Pots desplegados, los 6 restantes están alojados en servicios de hosting locales.
Las webs que se han alojado a la espera de los ataques son webs normales, basadas en CMSs más utilizados en el mercado como Joomla y Wordpress, a los que se les ha dotado de un sistema de captación de datos. Las temáticas son variadas, una empresa de seguros, una floristería, un restaurante, etc ... cualquiera podría ser una de las webs normales y corrientes que visitamos a diario para hacer una reserva de mesa o comprar un libro en una librería local.
Los datos de los dos primeros meses (exactamente 57 días) son impresionantes, los Honey Pots recibieron 77521 "ataques". Una media de 93 al día. Hemos resumido los datos en esta tabla:
Por países de origen de los ataques podemos pintar el siguiente mapa:
Los países de origen mas utilizados son China, Estados Unidos, Francia, Rusia y Holanda. Es evidente que muchos de estos países son puntos de salida de VPNs o TOR, pero hemos decidido tomar ese punto como origen dado que se escapa de nuestra mano el poder controlar el origen real.
Pero lo que si nos esta permitiendo el proyecto es la recolección de IPs de origen dudoso, las cuales estamos tratando y ya tenemos unas 37000+ identificadas para crear una pequeña lista en Excel lista para importar en distintos tipos de WAF.
Poco a poco iremos afinando los informes, y en los meses siguientes comenzaremos con informes mas elaborados y mejorados.
Seguiremos trabajando ...
