Honeypot: come scoprire nuovi exploit “zero day”

Una domanda ricorrente di chi si avvicina curioso al mondo degli hacker è “dove posso trovare un exploit 0-day“? Chi ha già un po’ più d’esperienza chiede invece “come posso scoprire un exploit 0-day”?

Hacker non si nasce, si diventa. Un buon modo per imparare nuove tecniche, non ancora reperibili sui libri o in rete, è quello di creare un honeypot. Il metodo è valido in quanto semplice è veloce. Naturalmente, neanche a dirlo, per studiare l’eventuale exploit sono gradite discrete capacità di programmazione. Ma cos’è un honeypot?

Wikipedia ci dice che “in informatica, un honeypot (letteralmente: “barattolo del miele”) è un sistema o componente hardware o software usato come “trappola” o “esca” a fini di protezione contro gli attacchi di pirati informatici. Solitamente consiste in un computer o un sito che sembra essere parte della rete e contenere informazioni preziose, ma che in realtà è ben isolato e non ha contenuti sensibili o critici; potrebbe anche essere un file, un record, o un indirizzo IP non utilizzato”.

Nel nostro caso il fine non è di proteggere il resto del sistema da attacchi informatici, bensì quello di “attirare” eventuali attacchi per poterli studiare.

The Honeynet Project è uno dei più grandi progetti che studia aspetti di sicurezza sfruttando honeypot. Questo progetto raccoglie ogni giorno solo 1-5 Mb di dati. Queste informazioni sono solitamente di grande valore, perché mostrano cosa fa un hacker una volta entrato nel sistema. Anche noi, nel nostro piccolo, possiamo però provare una simile ebrezza 😀 . Esistono già dei software pronti da utilizzare a tale scopo: molti possono essere usati come standalnone (un semplice software a se stante) oppure come un honeyd (un programma in grado di emulare un servizio o addirittura un sistema operativo).

C’è da dire che un honeyd difficilmente riesce a raccogliere molte informazioni però ha il vantaggio di essere facile da installare, nonché sicuro: è infatti da ricordare che, un honeypot mal progettato, potrebbe essere utilizzato dall’hacker per guadagnare l’accesso al resto del sistema.

Uno dei più elementari fra questi programmi è FakeNetbios, software che imita appunto il funzionamento del Netbios (inviando pacchetti Netbios sulla porta 138 UDP e rimanendo in ascolto sulla porta 137 UDP). E’ risaputo che Netbios è uno degli aspetti più sfruttati dai lamer, non sarà quindi così difficile vedere qualche tentativo di attacco 😉 . Questo è ovviamente solo un esempio di come può funzionare una “trappola”: per scoprire nuovi exploit è necessario implementare qualcosa di leggermente più complesso. Le informazioni presenti in rete sono però molte: gli unici requisiti realmente necessari sono la curiosità e la voglia di imparare. Ecco quindi alcuni link da cui iniziare:

Darknet
Honeynet Project
Eurecom
Leurrecom Honeypot Project
Sicurezza delle reti & gli Honeypots
Allestimento di Honeypots

P.S. Una piacevole nota conclusiva per i linuxiani, un po’ meno per i winzozziani: già nel 2005, Pc Magazine, grazie ai dati ricavati proprio dal progetto Honeynet, osservava come un sistema Linux, anche se non patchato con gli aggiornamenti relativi alla sicurezza, poteva tranquillamente rimanere in rete per mesi prima di venire attaccato. Un sistema Windows veniva invece compromesso in poche ore.

~ di 2BFree su giugno 20, 2007.