Sécurité : BlackNet Project alpha 3

Français English

BlackNet alpha3 est sortie, apportant principalement la configuration centralisée, facilitant le déploiement et l'installation. Également l'ajout d'informations concernant la licence d'utilisation, le Mercurial public, etc...
Pour plus d'informations sur BlackNet reportez vous au billet précédent.

Vous pouvez télécharger le projet sur la page suivante : http://dev.bezut.info/p9/BlackNet.

Mais ce billet n'a pas pour unique but de parler de la sortie de BlackNet, mais aussi et surtout de parler de l'étude que nous avons mené, durant laquelle BlackNet a été développé. Cette étude a été réalisée en tant que projet TX (Étude Expérimentale), suivie par M. Schön de l'Université de Technologie de Compiègne.

Vous pouvez donc télécharger notre rapport traitant des attaques Brute Force sur SSH.

Je vous invite également à lire un article très intéressant paru récemment sur le même sujet, dans le magazine HITB (3) (téléchargeable gratuitement en PDF sur http://magazine.hitb.org).
L'outils utilisé dans cet article est un peu différent, puisqu'il s'agit d'un honeypot appelé Kojoney qui simule un serveur SSH (en python), et où le but est clairement de laisser "entrer" l'attaquant pour collecter un maximum d'informations.
Les conclusions de ce document sont les mêmes que les nôtes, quant aux pays impliqués, à la nationalité des attaquants, aux mots de passe essayés, ...

Kojoney et BlackNet différent en ce point que Kojoney cherche à être léger à installer, à fournir des statistiques brutes par mail ou par fichier texte, d'un seul serveur, et avec un système d'intrusion automatique (le shell et les commandes sont simulés par python).
Notre but est de pouvoir installer une infrastructure à large échelle capable de recueillir des attaques provenant de plusieurs serveurs, tout en ayant la possibilité de laisser un attaquant entrer sur l'une de nos machines virtuelles, puis de restituer les résultats en temps réel sur une interface web de monitoring.
Aussi il est envisageable et prévu d'ajouter à Kojoney les fonctionnalités nécessaires pour être compatible avec BlackNet et ainsi nous fournir des perspectives quant à l'automatisation des intrusions, et la légèreté dans le fait de ne pas avoir à déployer des machines virtuelles.

BlackNet alpha 3 is out, bringing mostly a centralized configuration system to help with deployment and installation. We also added information about license, readme, and a public mercurial repository. For more information about BlackNet, please see the previous post on this blog.

You can download the project at the following URL: http://dev.bezut.info/p9/BlackNet.

Unfortunately our report on the project is not available in English yet. If you want to download it in french please select the french version of this post. The English version should be available by the end of July, since it will certainly contain more information than in the french version.

However a recent article in the Hacking magazine HITB is dealing with the same subject. You can download it for free in PDF at http://magazine.hitb.org.
The tool used in this article is called Kojoney, and simulate a SSH server (in python). The goal is to let attackers getting in (on a simulated shell), and collect information on the commands they type, the login they used, etc... The conclusions of this document are the same as ours in terms of countries involve, nationality of attackers, passwords tested, ..

Kojoney and BlackNet are different because Kojoney wants to le light at installation, and to provide raw statistics by email, or in txt files, from a single server, and with an automated intrusion system (with limited range of commands, etc...).
Our goal is to be able to install a whole infrastructure to collect login attempts from multiple servers, centralize it, and display it on a web interface, with maps, charts, logins used, etc... We still have the opportunity to create a vulnerable virtual machine and collect commands and miscellaneous events with our system, but not automatically.
That's why we plan to add functionality to Kojoney to be able to communicate with our system, and basically to behave like one of our virtual machine. It would provide us a very light alternative to virtual machines and also a way to have an automatic way to monitor commands and events (events are something like a password change on the account).

But we still keep in mind that stalking bot masters as we did in during our project is clearly not something easy to automate, and there will still be human involved in this process (and that's why it's interesting no?).

Posté par Romain le 11 Juillet 2010 à 21h36

Commentaires

Aucun commentaire n'a encore été déposé.

Déposer un commentaire  :
 :

NOTE : l'adresse email est facultative et n'apparaîtra pas au public.

Votre message sera soumis à modération avant d'être publié.

 :

Afficher la liste des smileys

Catégories

Infos

Album Photos Sites Créés Liens Me contacter

Chargement... Twitter...

X.i.n.b.

Accueil - Connexion