Guide HTML Java Linguaggio C Python JavaScript PHP C++CSS Android Approfondimenti

Un honeypot SSH con Kippo

Kippo è un honeypot SSH che permette di loggare tentativi di attacco da parte di cracker e i comandi impartiti alla shell una volta penetrati nel nostro server.

di Gianluca Brindisi
18 Settembre 2012

Chiunque abbia un minimo di esperienza nel mettere a punto server rivolti verso Internet conosce bene la quantità di scan e di attacchi automatizzati che si possono ricevere in brevissimo tempo.

Molti scanner non sono sofisticati e si limitano a cercare porte ssh aperte, tentare un bruteforce e, in caso di successo, passare il controllo ad un attaccante umano.

In questo contesto si colloca Kippo: un honeypot che simula un server ssh vulnerabile il cui obiettivo è quello di impegnare un attaccante e registrarne i movimenti.

Kippo nel tempo si è guadagnato una certa popolarità dovuta alla sua semplicità d’uso, portabilità e al fatto che permette di riprodurre i log degli attacchi registrati.

Installazione

Kippo è programmato in Python e si basa sul framework Twisted, è necessario quindi un interprete python almeno alla versione 2.5.

I requisiti sono i seguenti:

Python 2.5+
Twisted 8.0+
PyCrypto
Zope Interface

È installabile su qualsiasi sistema operativo, di seguito faremo riferimento ad un sistema Linux generico (per installare su Windows potete consultare la wiki ufficiale).

Le librerie possono essere comodamente installate tramite pip (o easy_install):


pip install twisted pycrypto pyasn1

Una volta installati i requisiti scarichiamo l’ultima versione (0.5 al momento della stesura di questo articolo) e decomprimiamo il pacchetto.

Prima di mettere in esecuzione la honeypot occorre configurarla agendo sui parametri nel file kippo.cfg.

Le principali opzioni sono le seguenti:

ssh_addr: l’indirizzo dell’interfaccia su cui vogliamo mettere kippo in ascolto (di default su tutte)
ssh_port: il numero di porta
password: la password per collegarsi alla honeypot, di default è 123456 che statisticamente è la password più comune che si può trovare. Se impostiamo una password difficile rischiamo di far fallire un attacco brute force!
[database_mysql]: parametri per loggare tutta l’attività di kippo su un db mysql. Di default questa opzione non è attiva.

Su Linux per motivi di sicurezza kippo non può essere eseguita come root e quindi non può mettersi direttamente in ascolto sulle porte basse del sistema (< 1024) tra cui anche quella di default del server ssh (la porta 22).

Per reindirizzare la porta 22 sulla porta in cui abbiamo messo in ascolto la honeypot dobbiamo impostare un reindirizzamento con il firewall di sistema. L’impostazione corretta dipende dal firewall che state usando sul vostro server e dalla tipologia della rete.

Ad esempio con iptables:


iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 22 -j REDIRECT --to-port 2222

Riprodurre gli attacchi registrati da Kippo

Una volta completati i passaggi precedenti non ci resta che mettere in esecuzione:

./start.sh

Kippo rimane in esecuzione in background e… aspetta che qualche attaccante si faccia vivo.

Quando finalmente riusciremo a registrare un attacco (e solitamente è questione di solo poche ore!) l’honeypot si occuperà di registrare ogni movimento.

Nella cartella log/ verranno salvati i log interattivi delle sessioni registrate e in dl/ verranno salvati i file e gli eseguibili che gli ignari attaccanti tenteranno di scaricare sul server (di solito rootkit, malware generici, etc)

Il divertimento, una volta collezionati un po di log interattivi, è quello di riprodurli con il playlog che è una utilità che permette di riprodurre i log come se fossero un video.

Il programma si trova nella cartella utils/, per eseguirlo (da linea di comando):


python playlog.py /path/to/xxx.log

Un esempio di log:

Visualizzare i log può essere molto educativo ma altrettanto interessante può essere anche dare un’occhiata ai campione di malware che riusciamo a raccogliere (di solito è questo il princiaple motivo d’essere di una honeypot).

Per ottenere più informazioni sui campioni raccolti è possibile cimentarsi in un’analisi manuale oppure utilizzare servizi online come VirusTotal.

Statistiche

Quando si ha una honeypot funzionante a pieno regime può risultare scomodo controllare periodicamente i log per capire il numero di attacchi ricevuti, la durata e altre informazioni utili.

Per facilitarci le cose possiamo affidarci a un programma come Kippo Graph che si occupa di generare statistiche dettagliate e farci risparmiare del tempo prezioso.

Figura 1. Kippo Graph
(clic per ingrandire)

Conclusioni

Il mondo degli honeypot è vasto e affascinante. Se desiderate approfondire l’argomento, o provare honeypot differenti c’è un solo sito da consultare ed è quello ufficiale della fondazione Honeynet

I Video di HTML.it

Stefano Maraspin, Agile per progetti di valore

Percorsi formativi correlati

Tutti i linguaggi per diventare uno sviluppatore di app per Android.

Come creare applicazioni per il Web con PHP e MySQL per il DBMS.

Tutte le principali tecnologie per diventare uno sviluppatore mobile per iOS.

I fondamentali per lo sviluppo di applicazioni multi piattaforma con Java.

Diventare degli esperti in tema di sicurezza delle applicazioni Java.

Usare Raspberry Pi e Arduino per avvicinarsi al mondo dei Maker e dell’IoT.

Le principali guide di HTML.it per diventare un esperto dei database NoSQL.

Ecco come i professionisti creano applicazioni per il Cloud con PHP.

Lo sviluppo professionale di applicazioni in PHP alla portata di tutti.

Come sviluppare applicazioni Web dinamiche con PHP e JavaScript.

Fare gli e-commerce developer con Magento, Prestashop e WooCommerce.

Realizzare applicazioni per il Web utilizzando i framework PHP.

Creare applicazioni PHP e gestire l’ambiente di sviluppo come un pro.

Percorso base per avvicinarsi al web design con un occhio al mobile.

Realizzare siti Web e Web application con WordPress a livello professionale.

Ti consigliamo anche

X11 Forwarding su Windows con PuTTY e Xming

Imparare ad eseguire un’applicazione Linux grafica, interagendo con essa da una macchina Windows sfruttando il protocollo SSH e l’X11 Forwarding.

Server

Brute force su SSH: proteggersi con Fail2ban

Usiamo Fail2ban per proteggere i nostri server da attacchi brute force contro SSH.

Server

Vulnerabilità: attacchi basati su chiavi SSH

Le vulnerabilità in dettaglio: un attacco basato su chiavi SSH compromesse consente di accedere al box linux per guadagnare poi il controllo della macchina

Development

Guida Java e SSH

3 Lezioni
Avanzata

Come creare applicazioni Java complete in grado di comunicare in modo sicuro con terminali remoti tramite SSH (Secure Shell), un protocollo divenuto ormai uno standard su Unix e Linux che consente di creare sessioni cifrate da riga di comando.

Un honeypot SSH con Kippo

I Video di HTML.it

Stefano Maraspin, Agile per progetti di valore

Android Mobile Developer

DB Administrator

iOS Mobile Developer

Java Developer

Java Security Expert

Maker

NoSQL DB Expert

PHP Cloud Developer

PHP Developer

PHP e JavaScript Developer

PHP eCommerce developer

PHP Framework Expert

PHP SysAdmin

Web & Mobile Designer

WordPress Developer

X11 Forwarding su Windows con PuTTY e Xming

Brute force su SSH: proteggersi con Fail2ban

Vulnerabilità: attacchi basati su chiavi SSH

Guida Java e SSH

Windows Server 2019 con OpenSSH

Dropbear SSH: un’alternativa a OpenSSH

EasySSH: gestire SSH da interfaccia grafica

Hostname su Linux: cos’è e come si cambia

SSH: la storia della porta numero 22