[LACNIC/Politicas] LAC-2018-13 v4 - sobre los honeypot
JORDI PALET MARTINEZ
jordi.palet at consulintel.es
Sat Nov 30 09:03:54 -02 2019
Hola a todos,
Voy a volver a explicar como funciona los honeypot en listas de correo, para que, por favor, los que estén en contra sugieran otro mecanismo, o que justifiquen porque creen que tiene impacto operacional (a pesar de que el staff lo ha eliminado de su análisis).
1) El staff registro una cuenta de correo (anónima, que no se sepa que es del staff) en Gmail o yahoo, etc.
2) Redirige esa cuenta a la persona que monitorizará esa cuenta.
3) Se envía cualquier consulta u opinión a la lista de políticas, para que ese correo sea conocido por el resto de los participantes de la lista (obviamente sin indicar que es staff).
4) La persona del staff solo debería recibir spam si alguien captura los correos de la lista de LACNIC. Hasta aquí el honeypot *ya* ha cumplido su misión.
5) Si se quiere mejorar, en muchos casos la cabecera del correo del spam nos permitirá (por diversos medios, prefiero no entrar en detalles para no dar pistas) saber si ha sido un usuario de la lista (IP, huellas en la cabecera, etc.). Esto se puede incluso automatizar, pero si solo hay un caso de vez en cuando quizás no merece la pena.
6) Este proceso se puede repetir, agregando otra cuenta de correo, cada x meses o años, o incluso solo cuando haya un caso de captura de correos.
Donde esta el impacto? En el peor de los casos *solo* sirve para determinar que el correo se capturó de la lista, aunque no se llegue a saber quien.
Insisto en que yo he usado este mecanismo en el IETF durante 12 años, y me ha sido extremadamente útil y creo que en el 99% de los casos supe quien era, y no me ha supuesto mayor carga de trabajo que unos pocos minutos (exagerando 5-10 minutos) al año.
En la lista hay expertos en correo, que seguro que saben mas que yo. Quizás pueden dar alguna alternativa.
Saludos,
Jordi
@jordipalet
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
More information about the Politicas
mailing list