Релиз Messor, децентрализованной системы для обнаружения вторжений

08.01.2022 21:19

После двух лет разработки доступен первый выпуск проекта Messor, развивающий свободное, независимое и децентрализованное ПО для обеспечения безопасности сетей и прозрачного сбора данных об атаках и сканированиях. Разработчики проекта запустили сеть Messor.Network и опубликовали плагин для платформы электронной коммерции OpenCart3. Код плагина написан на языке PHP и распространяется под лицензией Apache 2.0. В разработке находятся модуль для nginx/apache2 (С++), плагин для Magento (php) и плагин для Wordress (php).

Проект предоставляет связку из IPS, Honeypot и гибридного P2P-клиента, реализующую защиту от сканирования, независимо от назначения, будь то эксплуатация уязвимостей, боты, поисковые системы или другие приложения. Главное отличие Messor от других IPS - это своя сетевая структура. Связанные между собой сайты образуют единую P2P-сеть Messor-Network, каждый участник которой собирает данные о злоумышленниках, отправляет информацию другим участникам сети и получает ежедневные обновления базы данных. На каждого участника сети Messor накладываются обязанности раздачи актуальной базы данных другим участникам сети и отправки на центральные сервера сети собранных данных об атаках.

База данных содержит:

Список ip-адресов, которые сеть признала опасными, значит в последние время с них неоднократно были зафиксированы атаки;
Списки ip-адресов различных ботов;
Регулярные выражения для детектирования атак по данным UserAgent/GET/POST/COOKIE;
Регулярные выражения для выявления ботов;
Список ловушек (honeypot) для определения сканирований.

исправить +6 +/–

Автор новости: MessorNetwork

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56472-ips

Ключевые слова: ips, messor

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Аноним (1), 00:30, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
OpenCart хороший магазин... а ip клиентов тоже передаются?

2.3, Messor (ok), 00:38, 09/01/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Конечно нет ! ip и данные предаются только в случае, если зафиксирована атака или активность как бота.

3.10, Аноним (-), 02:12, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
Это именно один из тех инструментов, глядя на интерфейс которого можешь со 100% уверенностью сказать - телеметрии немеряно. Зато вот г-н Майор нас посетил лично, только буковку надо вторую на У поменять в нике, не кононично

4.16, тов. майор (?), 06:53, 09/01/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Ну что вы, в самом деле-то... Тут гораздо более интересная задумка - это же аналог KSN и тому подобных распределенных шпионских сетей, но развернутый на ТВОЕМ и других лохов оборудовании за ваш счет! А то мне квартира для другого нужна...

5.27, Аноним (-), 15:38, 10/01/2022 [^] [^^] [^^^] [ответить]	+/–
Для пыток нужна?

4.23, YetAnotherOnanym (ok), 12:00, 09/01/2022 [^] [^^] [^^^] [ответить]	+2 +/–
А по-твоему, ценртальные сервера сети должны получать инфу об атаках через libastral, и раздавать её клиентским хостам, которые сами не будут присылать ничего? Кстати, об отправке телеметрии ясно сказано в тексте новости: > На каждого участника сети Messor накладываются обязанности раздачи актуальной базы данных другим участникам сети и отправки на центральные сервера сети собранных данных об атаках. Лично для меня вопрос в другом - если кто-то развернёт "публичный" центральный сервер для работы с клиентскими хостами, не состоящими под его контролем (например, как коммерческий проект) - как он будет бороться с возможным "отравлением" БД ложной информацией от злоумышленников или просто неправильно сконфигурированных хостов?

1.2, анонимус (??), 00:36, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
https://github.com/wwood-dev/messor - 404 Page not found Nuff said

2.4, Messor (ok), 00:39, 09/01/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Use this link https://github.com/messor-network/messor-opencart

3.5, анонимус (??), 01:03, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
Прошу прощения, не заметил, что релизнулся только плагин для OpenCart. Жду плагина для nginx.

4.6, Messor (ok), 01:13, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
Постараемся выпустить поскорее =)

5.13, Странник (??), 03:00, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
А нет в планах для PrestaShop?

1.7, Аноним (7), 01:32, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Должен заметить, что, как и в Blink Comparison, защита от вскрытия тоже осуществляется с помощью глаз. Т.е. при вскрытии можно будет это заметить, просто применив возможности человеческого глаза к интерфейсу проекта Messor.

2.8, Аноним (8), 01:41, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
Емнип у сурикаты много false-positive и протухщие базы (во всяком случае, бесплатные). Наверно, тут не лучше.

1.9, john_erohin (?), 02:09, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Регулярные выражения для детектирования атак по данным UserAgent/GET/POST/COOKIE; > Регулярные выражения для выявления ботов; то же самое что ловить вирусы по сигнатурам. т.е. детский сад. т.е. против личинок сработает, против профессионалов вряд ли.

2.14, Аноним (14), 06:16, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
где ты, а где профессионалы

3.17, профессиональный карманник (?), 07:54, 09/01/2022 [^] [^^] [^^^] [ответить]

+/–

Конечно-конечно, я не в твоем кармане шарю.

И мой приятель, профессиональный домушник, тоже не твою квартирку прям щас обносит.

Где ты, а где профессионалы! Наверняка мы где-то в параллельном мире, и твоему карманцу и твоей тумбочке с деньгами никогда и ничего не грозит.

1.11, Аноним (11), 02:16, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
А что будет, если злоумышленник подключится к сети, и начнёт рассылать фейки, что члены сети, рассылающие правду - атакующие, которых нужно сразу блочить?

2.12, Аноним (12), 02:42, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
Из документации При генерации базы данных используются данные полученные от peer. Чем выше trust у этого peer ,тем больше доверия к полученным данным. Trust определяется количеством верификаций Это сделано для того, чтобы фейковые peer не могли засорять сервера фальшивыми данными.

3.15, Анонус (?), 06:51, 09/01/2022 [^] [^^] [^^^] [ответить]	+2 +/–
А что будет, если злоумышленник подключится к сети, и начнет использовать получаемую из Messor информацию чтобы лучше маскироваться? Например быстро менять адреса и сигнатуры, как только сеть его задетектила.

1.18, КО (?), 08:41, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
С его децентрализацией за ложные срабатывания и локальные проблемы обращаться будет не к кому

2.20, . (?), 10:15, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
Обратитесь к системному администра...а, ну да, ну да - его ж уволили давно. Девляпсам обращаться будет не к кому, это правда.

1.19, Аноним (19), 09:27, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Задумка вроде бы и норм, но признаки странного стартапа чую я. Там и Сейшелы и компания в Делвавере, с HQ в России, судя по всему. Те кто про майоров шутят вверху, вполне могут оказаться вангами :) Повангую тоже - новая гб-тактика добычи шекелей из MageCart и им подобных стартанула. Однако, надеюсь, что все паранойики, включая меня, неправы и добрые ребята окажутся котиками с понятной монетизацией и организационной структурой здорового человека для постепенного выхода в кремний.

1.21, Аноним (21), 11:21, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чем оно лучше/хуже Сrowdsec https://crowdsec.net/ ?

1.22, asand3r (ok), 11:56, 09/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А оно может обнаружить вторжение на Украину?..

2.24, YetAnotherOnanym (ok), 12:03, 09/01/2022 [^] [^^] [^^^] [ответить]	+/–
Дык давно уже.

2.28, kusb (?), 12:39, 11/01/2022 [^] [^^] [^^^] [ответить]	+/–
Для этого нужна другая программа.

1.25, Аноним (25), 02:08, 10/01/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Инициатива хорашая, но у нас годами Cloudflare WAF, который оперативно справляется с задачами. Если не ошибаюсь, они первые массово блокировали все попытки эксплуатации Log4j для всех сервисов, а так и должно работать подобное решение. Стартапу удачи.

2.26, Аноним (-), 02:24, 10/01/2022 [^] [^^] [^^^] [ответить]	+1 +/–
этажетакудобна

Добавить комментарий

Текст: