elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Prueba de herramienta honeypot en RaspberryPi.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Prueba de herramienta honeypot en RaspberryPi.  (Leído 8,505 veces)
jlmacal

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Prueba de herramienta honeypot en RaspberryPi.
« en: 4 Septiembre 2013, 17:17 pm »

Saludos!

Al principio del verano presenté mi proyecto final de carrera y durante este he estado jugando a incorporarlo una Raspberry. Aun esta un poco verde pero durante estos dos años me ha agilizado mucho mi trabajo en seguridad informática y a formado parte del sistema de gestión de incidencia.

Se que no es nada novedoso y de hecho estoy estudiando otros equivalentes para ver  como mejorar lo que tengo metiendo mas funcionalidad o metiendo herramientas de terceros.

El esquema es el de trabajar por debajo con dionaea y kippo. He tenido que trabajar por requisitos de trabajo en soluciones de comunicación de estos con Oracle, que en principio no soportan, agilizar el tema de acceso a consultas sencillas a la recopilada y configuración.

Se podria decir que es un frontend pero tuneado con algunos scripts para facilitar el tema de mantenimiento/trabajo y comunicaciones a bases de datos externas.

Después de verano estoy pensando hablar con mi director de proyecto y liberarlo y alimentar a la criatura para que sea punto de partida para el trabajo final de master.

Agradecería criticas constructivas. Y disculpas por la mala calidad del video, aunque a 720 se deja ver.

http://www.youtube.com/watch?v=0ZByaYO0D-w

Gracias por adelantado.


« Última modificación: 4 Septiembre 2013, 20:03 pm por el-brujo » En línea

Gabow135

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #1 en: 5 Octubre 2013, 10:26 am »

gran trabajo :D  ...!!! se te felicita...!! seria bueno que le pruebes atacando ya a gran escala para ver como muestra la información :D

 ;-)   ;-)


En línea

jlmacal

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #2 en: 9 Octubre 2013, 21:37 pm »

Bueno pues a la espera de darle la ultima capa de pintura el proyecto que dio origen a la herramienta ya esta liberado.

http://es.scribd.com/doc/174841947/Memoria

http://es.scribd.com/doc/174842013/presentacion

https://github.com/jlmacal/ZetsuHoneypot (En breve código a rular en la forja)
En línea

moikano→@


Desconectado Desconectado

Mensajes: 572


Cultiva tu mente y cuerpo, son tu única propiedad


Ver Perfil WWW
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #3 en: 9 Octubre 2013, 21:56 pm »

Hola.

Disculpa mi ignoracia, pero no he entendido bien lo que estás haciendo, en el video no leo bien los comentarios ni lo comandos.

Podría ser que estuvieras usando hydra y medusa para abrir puertos y que los escaneres automáticos de la red que intentan entrar les haces tu un contrataque recopilando datos del atacante o incluso llegando a acceder a su sistema?

Según tengo entendido un honeypot es una trampa, suele ser una red paralela a la red real, clonada pero que tiene datos falsos, con lo cual los atacantes al entrar dejan su rastro y los encargados de la seguridad recopilan esos datos y los usan contra ellos. Es eso lo que haces en el proyecto?
En línea

jlmacal

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #4 en: 10 Octubre 2013, 11:58 am »

Hola.

Disculpa mi ignoracia, pero no he entendido bien lo que estás haciendo, en el video no leo bien los comentarios ni lo comandos.

Podría ser que estuvieras usando hydra y medusa para abrir puertos y que los escaneres automáticos de la red que intentan entrar les haces tu un contrataque recopilando datos del atacante o incluso llegando a acceder a su sistema?

Según tengo entendido un honeypot es una trampa, suele ser una red paralela a la red real, clonada pero que tiene datos falsos, con lo cual los atacantes al entrar dejan su rastro y los encargados de la seguridad recopilan esos datos y los usan contra ellos. Es eso lo que haces en el proyecto?

Ok, por partes.

1

El trabajo final de carrera, el que esta publicado, nació como un requisito de mi antiguo trabajo (ahora estoy en paro). En lo que seria la implantación de un SGSI ISO27001. En ella se habla de medios para la detección del sistema de gestión de incidencias relacionadas con la seguridad informática. Por aquel entonces el sistema anterior era muy obsoleto y el nuevo solo era una aplicación de gestión de incidencias, "ciega", nadie le chivaba nada. Así empece a desarrollar los medios de comunicación entre distintos honeypots y el SGSI.

Una vez bastante controlado el tema en mi trabajo, empece a tunear y hacerme a medida algunas cosas que echaba en falta en el tema del software honeypot, y fui llamando puerta por puerta presentándolo como trabajo final de carrera, empezando por la que seria la de mi tutor del proyecto, bastante afín a temas de seguridad informática, dicho sea de paso.

2

Con el tiempo, estando todos los días en contacto con estas herramientas, me di cuenta de una cosa, el 90% de los ataques a servicios ssh provienen de equipos "zombificados", y mira por donde es MUY MUY probable que te ataquen con el mismo diccionario con que una vez entraron en ellos.

3

A raiz del master que estoy haciendo de ingeniera de computadores y redes, entre en contacto con muchos cacharritos interesantes y pensé: "Una nube o un solo honepot en una maquina virtual es algo que puede permitirse alguien que tenga los medios para tener un ordenador 24 horas encendido, pero en una Small Board Computer, molaría porque el rango se amplia enormemente.

Así que este verano, ya en paro me puse a trabajar y fue casi inmediato pasar a Raspbian todo el trabajo. Y además hasta donde lo estoy probando tira razonablemente bien.

Ya en mi casa me puse a pensar, yo no puedo publicar un articulo basado en experiencias reales, o no... de hacer de ladrón con otros ladrones. Pero si puedo ejemplarizar en la red de mi casa como seria este escenario y como con una simple raspberry tenemos un sensor 24h, silencioso y de bajo consumo para la obtención de la información y el desarrollo de todo lo comentado anteriormente.

Perdón por el ladrillazo, ya creo que estáis un poco mas puestos en antecedentes. ;)
En línea

jlmacal

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #5 en: 10 Octubre 2013, 12:12 pm »

"Podría ser que estuvieras usando hydra y medusa para abrir puertos y que los escaneres automáticos de la red que intentan entrar les haces tu un contrataque recopilando datos del atacante o incluso llegando a acceder a su sistema?"

Exactamente, y eso es lo que intente ejemplarizar a modo de simulación en mi casa. Estoy trabajando en dos vias mejorar las formas en que los honey notifican amenazas graves y la automatización de secuestro de zombis.

"Según tengo entendido un honeypot es una trampa, suele ser una red paralela a la red real, clonada pero que tiene datos falsos, con lo cual los atacantes al entrar dejan su rastro y los encargados de la seguridad recopilan esos datos y los usan contra ellos. Es eso lo que haces en el proyecto?"

Es un software que simula, un servicio, maquina, o red de maquinas ofreciendo servicios, vulnerable, con mayor o menor medida de interacción con el atacante. Al menos la interacción debe permitir el establecimiento básico de conexión con el servicio emulado, pero hay honeypots de alta interacción que son servicios reales instalados en maquinas virtuales o reales para registrar el dialogo atacante victima y extraer, la información de dicho ataque.

Este amigo mio es el "arte" de robar recursos, conocimiento o anonimato a tus atacantes para hacerte mas fuerte y reinvertirlo en conocimiento propio para aplicar a futuras auditorias de pentesting a la infraestructura de red que proteges.
En línea

moikano→@


Desconectado Desconectado

Mensajes: 572


Cultiva tu mente y cuerpo, son tu única propiedad


Ver Perfil WWW
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #6 en: 10 Octubre 2013, 20:35 pm »

Ok gracias :), seguiré tu trabajo, es interesante, por cierto, tengo ganas de ver código y si saco tiempo replicar tu proyecto con mi rasp.
En línea

jlmacal

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #7 en: 14 Octubre 2013, 23:22 pm »

Ya voy subiendo algo. Parece que a la gente de kippo les pareció útil mi código para sqlite  ;D .

https://code.google.com/p/kippo/issues/detail?id=87

Originalmente aposte por sqlite porque tiene un gran potencial para sistemas modestos en recursos y por compatibilidad con dionaea.

Intentare subir img prefabricada para la raspberry y el vdi de la maquina virtual en cuanto tenga algo de tiempo.

Y gracias a vosotros porque el simple hecho de que alguien valore el trabajo de tus inquietudes es algo que me llena de alegría.
En línea

0x98364

Desconectado Desconectado

Mensajes: 210



Ver Perfil WWW
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #8 en: 18 Octubre 2013, 17:19 pm »

Excelente trabajo, enhorabuena  ;-)
En línea

while(!noHacking)
      KeepCalmAndHackThePlanet.start();
jlmacal

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Prueba de herramienta honeypot en RaspberryPi.
« Respuesta #9 en: 26 Octubre 2013, 18:42 pm »

Bueno, para empezar a jugar sin tener que montarse el tinglado desde cero, ahí dejo una maquina virtual.

https://github.com/jlmacal/ZetsuHoneypot/blob/master/isos%26vm/enlaces.txt

El disco VDI para VirtualBox esta colgado y comprimido en los siguientes enlaces.

PROXIMAMENTE LA IMG DE RASPBERRY PI

IMPORTANTE:
Hay dos usuarios de sistema, root y zetsu, por defecto la clave que les he dado es zetsu, CAMBIALA
Hay un administrador para la aplicación web, también zetsu y clave zetsu. CAMBIALO.
   Entra como el administrador,  zetsu.
   Crea un administrador en la sección de configuracion
      Escribes el username que quieras y su clave, seleccionas administrador, pulsas alta.
      Pones en nombre de usuario zetsu, pulsa baja.

zetsu.part01.rar (700.0 MB)
https://mega.co.nz/#!GUAU2Bjb!FHV7LgsgFGcBf9JZIY8boWXPbe9J822bf1Rds0Zv_Qc

zetsu.part02.rar (700.0 MB)
https://mega.co.nz/#!uUBxiZjY!JIZCJEgZjRP5KmDsOFA2vhO0alpNFd7lyauDnTqkS6o

zetsu.part03.rar (700.0 MB)
https://mega.co.nz/#!TJpHAKyJ!HOolb3KcRLyLK_mE2IgtLFxdG3VgyZCKhkUkfqL2OJs

zetsu.part04.rar (231.9 MB)
https://mega.co.nz/#!qU5TybiR!Gh_sCWQKqK-uiwAKBokA_AtPUl8EQRay4F08IyUiiSE
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Fake AP ?(HONEYPOT)
Hacking Wireless
Swain 1 2,540 Último mensaje 14 Octubre 2013, 22:36 pm
por P4nd3m0n1um
PHP WebService + clientes Arduino y RaspberryPI « 1 2 »
Desarrollo Web
pbtete 11 6,825 Último mensaje 30 Abril 2015, 07:14 am
por JorgeEMX
raspberrypi activacion reles
Electrónica
ciberdelia 0 2,534 Último mensaje 14 Junio 2015, 21:26 pm
por ciberdelia
Sonar, la herramienta de Microsoft que pone a prueba el rendimiento y la ...
Noticias
wolfbcn 0 1,710 Último mensaje 26 Octubre 2017, 21:44 pm
por wolfbcn
Google ya prueba Duplex, su herramienta que llama por teléfono a restaurantes...
Noticias
wolfbcn 0 956 Último mensaje 23 Noviembre 2018, 21:42 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines