Vediamo gli attacchi di malware in diretta mondiale

[Carlotux]

E assolutamente da vedere.

Sto parlando di Honeymap, una mappa che come dice il nome, nella quale vengono raccolti in diretta gli attacchi informatici realizzati in tutto il mondo.

Ad un puntino rosso corrisponde un attacco, con un ticker in basso che spiega dove sta avvenendo precisamente.

Questi dati sono raccolti dal progetto Honeynet, un’organizzazione no-profit impegnata a fronteggiare attacchi condotti attraverso i malware. Si tratta di una rappresentazione sicuramente interessante e suggestiva. QUI

[gian64]

Ciao Carlo, se ho capito bene i puntini rossi indicano la provenienza dell'attacco mentre quelli gialli rappresentano gli obbiettivi?

[Carlotux]

Il puntino rosso indica dove e stato attaccato. Puoi ingrandire la mappa, puoi spostarla ,puoi sapere con il mouse la nazione , etc.. insomma e interessante.

[SiO2]

Ciao Carlo, se ho capito bene i puntini rossi indicano la provenienza dell'attacco mentre quelli gialli rappresentano gli obbiettivi?

La direzione dell'attacco è scritta sotto, in quella finestra tipo terminale, ad es: From Taipei Taiwan to Zagreb Croatia. I colori sembrerebbero come dici tu...
Interessante, anche se non ho capito bene la provenienza dei dati.

[Carlotux]

anche se non ho capito bene la provenienza dei dati

Questi dati sono raccolti dal progetto Honeynet, un’organizzazione no-profit impegnata a fronteggiare attacchi condotti attraverso i malware.

QUI


Schermata fatta ora.

[gian64]

Ciao Carlo, se ho capito bene i puntini rossi indicano la provenienza dell'attacco mentre quelli gialli rappresentano gli obbiettivi?

La direzione dell'attacco è scritta sotto, in quella finestra tipo terminale, ad es: From Taipei Taiwan to Zagreb Croatia. I colori sembrerebbero come dici tu...
Interessante, anche se non ho capito bene la provenienza dei dati.

Si, ho desunto questa cosa proprio dall'output che compare in basso... <from>...<to>...

Condivido i tuoi dubbi, ma è da documentarsi meglio, o forse sono io che ho la sindrome del complotto...

[Carlotux]

Vi ho postato il link. http://project.honeynet.org/

[SiO2]

Vi ho postato il link. http://project.honeynet.org/

Sìsì, l'ho visto. Mi incuriosiva tecnicamente come fosse possibile individuare un attacco con tanta certezza e precisione da poterne disegnare una mappa in tempo reale. Ma sono io che sono ignorante in materia, non voglio dire che non si possa fare...
Poi cliccando sull' md5 che compare nel terminale si accede alla pagina di Virustotal che mostra come il virus corrispondente a quell' md5 viene rilevato dai vari antivirus. Però mi sfugge come si perpetri l'attacco rappresentato nella mappa: significa che c'è un hacker a Taipei che tenta di entrare in un PC a Zagabria? E l'md5 che c'entra?
Probabilmente nel link ci sono tutte le spiegazioni, io per ora l'ho sfogliato superficialmente e non ho capito bene il meccanismo...

[Carlotux]

@SiO2, se lo capisci spiegalo anche a me.

[SiO2]

@SiO2, se lo capisci spiegalo anche a me.

Le spiegazioni le ho trovate nel "punto interrogativo" in alto a sinistra nella mappa. In sostanza hanno piazzato delle "trappole" che simulano sistemi vulnerabili in giro per il mondo e, tutte le volte che queste ricevono un attacco viene registrato e mostrato nella mappa.
Quindi si tratta di attacchi provenienti da computer reali verso vittime simulate. Più trappole ci sono più la mappa degli attaccanti è precisa... Attualmente dicono che le trappole che pubblicano sulla mappa siano relativamente poche e non statisticamente rappresentative della situazione mondiale.

You are looking at the HoneyMap, a real-time world map which visualizes attacks captured by honeypots of the Honeynet Project. Red markers on the map represent attackers, yellow markers are targets (honeypot sensors).

This project is highly experimental and should be considered an ALPHA version. So far, current Chrome and Firefox browsers should work fine. Opera, Safari and Internet Explorer probably wont work. If you identify bugs or have feature requests, please let us know.

Technology

Frontend: jQuery, jVectorMap, jQuery-Transit, bootstrap
Backend: node.js, socket.io, hpfeeds
Authors

Florian Weingarten (flo@hackvalue.de) (@fw1729)
Mark Schloesser (ms@mwcollect.org) (@repmovsb)
Frequently Asked Questions
What am I looking at? Is this real?

Yes, you are looking at real attacks which are captured by our honeypot sensors. Those sensors emulate vulnerable systems and record incoming attacks.

Sensors run dionaea, glastopf, or thug.

Where does the data come from?

Some (by far not all) of our sensors publish their captures to our internal feed system (hpfeeds). The map backend subscribes to this feed and makes geo location lookups on the corresponding IP addresses.
Is the data representative?

No! Not at all. The Honeynet Project has many more sensors around the world, but only a few push their captures.
What is going on in Aachen?!

Most of the time, you will see attacks targeted against Aachen. This is because our honeypot at RWTH Aachen University is very active and captures attacks against hundreds of target IP addresses. This does not mean that Aachen is attacked more often than the rest of the world!
How can I participate?

If you are already a member of the Honeynet Project, you can just publish your captures to hpfeeds and they will automatically show up on this map. If you are not a member, you can run your own copy of this map on your own server. Code is on GitHub (LGPL license).
Why did you create this map?

Just for fun. We like visualization and we wanted to play around with node.js/socket.io. This map was hacked together in essentially 2-3 days.

[mikexu]

Infatti ho notato che ci sono pochi attacchi negli Usa rispetto all'Asia e l'Europa...che sia un caso? bah...

[Carlotux]

Le spiegazioni le ho trovate nel "punto interrogativo" in alto a sinistra nella mappa. In sostanza hanno piazzato delle "trappole" che simulano sistemi vulnerabili in giro per il mondo e, tutte le volte che queste ricevono un attacco viene registrato e mostrato nella mappa.

@ SiO2 grazie, ora ho capito tutto, ho cliccato su "?" e mi sono venute le spiegazioni, io non ci avevo fatto caso.

[mikexu]

Le spiegazioni le ho trovate nel "punto interrogativo" in alto a sinistra nella mappa. In sostanza hanno piazzato delle "trappole" che simulano sistemi vulnerabili in giro per il mondo e, tutte le volte che queste ricevono un attacco viene registrato e mostrato nella mappa.

@ SiO2 grazie, ora ho capito tutto, ho cliccato su "?" e mi sono venute le spiegazioni, io non ci avevo fatto caso.

Ciao Carlotux, ho visto che un "qualche attacco" è partito anche dalla zona di Firenze e diretto in Veneto..mah!

[Carlotux]

Ciao Carlotux, ho visto che un "qualche attacco" è partito anche dalla zona di Firenze e diretto in Veneto..mah!

Acc... non dovevo mettere la mappa.

[mikexu]

Ecco Carlotux, ti ho beccato! Come vedi un attacco sta partendo proprio dalla provincia di Firenze

[gian64]

Oggi in Italia si danno da fare...

[Carlotux]

Ecco Carlotux, ti ho beccato! Come vedi un attacco sta partendo proprio dalla provincia di Firenze

Lo sapevo che prima ho poi mi beccavano.

[gian64]

Allora confessi?

[Carlotux]

Oggi in Italia si danno da fare...

Hai ragione, oggi in Italia ci danno sotto. stanno tutti attaccando la germania. Ha avuto migliaia di attacchi.

[mikexu]

C'è un puntino rosso anche in Veneto... che sia un caso? Te lo immagini il titolo: Sgominata banda di pirati informatici... era composta da diverse cellule sparse per l'Italia.; il loro capo aveva come nome di battaglia Carlotux ed è stato arrestato a Firenze in flagranza di reato....