• Meetings e Workshop
    l'associazione organizza workshop e meeting periodici

  • HowTo e manuali
    come costruire da te gadget elettronici e come programmarli

  • Hacking della PS3
    howto su come installare linux ed effettuare altri hack

  • Una comunità organizzata
    entra a far parte di una associazione organizzata e attiva

  • Strumenti di supporto
    per mantenersi in contatto e favorire la cooperazione

beginner - honeypot low interaction : ssh server kippo PDF Stampa E-mail
Scritto da Carlo Denaro - Blackout   
Carlo Denaro - Blackout

Quando a un professionista che gestisce dei server crescono i peli sulla pancia, quello è il classico momento in cui, il professionista (o sedicente) decide di essersi rotto abbastanza le scatole degli script kiddie. Chi sono costoro?

Uno script kiddie [fonte] è una persona con pochissime skills e conoscenze che pur di ottenere un qualche vantaggio personale (di solito veicolare virus) utilizza script di persone in gamba, spesso senza saperne il funzionamento ne la teoria.

Questi pericolosissimi marmocchi saltano a piedi pari la parte dello studio, parte che ogni buon hacker sa essere quella fondamentale. Di conseguenza spesso si sente l'esigenza di tagliare fuori questi mocciosi con espedienti più o meno fighi.

Ad esempio, il buon Xanio, ci ha illustrato come blindare i nostri server usando il port knocking [articolo], ma seguendo il filone oggi presenteremo un nuovo interessante metodo. Gli honey pot.

Cos'è un honeypot? Letteralmente è un barattolo di miele, in pratica è una trappola, un sistema falso in cui l'attaccante può liberamente sguazzare e sfogare le sue frustrazioni. In questo sistema "protetto" l'attaccante potrà provare qualsiasi sua tecnica, senza successo perchè il sistema è fasullo. Noi ne otteniamo almeno due vantaggi:

  • l'attaccante resta intrappolato nell'honeypot senza venire a capo e senza riuscire a bucare il sistema, scoraggiandolo
  • essendo un sistema falso, noi possiamo vedere le tecniche di moda e porvi rimedio

prerequisiti & installazione

Per far andare il tutto dovremo innanzi tutto installare alcune cose.

apt-get install subversion
e anche la libreria twisted per python
apt-get install python-twisted
Creiamo una cartella. E con un utente non root possiamo fare il checkout del codice di kippo:
svn co http://kippo.googlecode.com/svn/trunk/ .

configurazione

Configurare kippo è abbastanza semplice, aprendo il nostro file di configurazione avremo l'opportunità di decidere su quale IP mettere in ascolto l'honeypot, su quale porta, quale hostname usare e abbiamo anche la possibilità di loggare gli attacchi su mysql. Nella cartella data c'è anche il file userdb.txt in cui potrete sbizzarrirvi a creare coppie user-password valide. Tutte le sessioni verranno loggate su log e i file scaricati andranno a finire su dl.

conosci il tuo nemico

Conoscere il proprio nemico è importante per capire ed elaborare una difesa migliore. Una volta ottenuti i logs degli attacchi possiamo capire come, in genere, gli attaccanti si preparano per un attacco. Kippo ci mette a disposizione uno strumento che ci mostra l'evoluzione dei comandi.

utils/playlog.py log/tty/log-attacco.log
Happy hacking!


 

Aggiungi commento


Codice di sicurezza
Aggiorna


grayhats.org, Powered by Joomla!; Joomla templates by SG web hosting
valid xhtml valid css