Lataan tar-paketin. Sen jälkeen tarkistan oikean komennon purkamiseen:
tar --help
Ja sitten itse purkaminen:
tar -xf honeynet.tar.gz
Tuloksena on honeynet-niminen kansio. Sitä ei tosin pääse heti lukemaan, joten joudun muuttamaan oikeuksia:
sudo chmod 755 -R honeynet
Kansiosta löytyy yhden levyosion sisältävä dd-tiedosto. Tässä kohdassa joudun hakemaan apua Googlen kautta, sillä en ottanut tunnilla ylös, millä työkaluilla tuon kimppuun kannatti käydä, kun ajattelin löytäväni tiedon kuitenkin netistä. Löydän Googlella erään aikaisemman kurssin ratkaisun ja luen varovaisesti alusta vain sen verran, että pääsen eteenpäin. Tarvittava ohjelma on Sleuth Kit.
Sen asennus ei kuitenkaan onnistu ennen kuin olen ajanut seuraavan komennon. Ohje tähänkin löytyi eräästä kurssiblogista tai oikeastaan siinä linkatusta Ask Ubuntu -sivusta:
sudo add-apt-repository "deb http://archive.ubuntu.com/ubuntu $(lsb_release -sc) main universe restricted multiverse"
Tämän jälkeen ohjelmistolistan päivitys, jossa kestää tällä kertaa tavanomaista huomattavasti pidempään, mutta sen jälkeen Sleuth Kit asentuu mutkitta.
sudo apt-get install sleuthkit
Ohjeiden mukaan puran paketista poistetut tiedostot ja muut tiedostot. Koska en kuitenkaan oikein keksi miten edetä tämän jälkeen, käyn kurkkimassa kansioihin. Aloitan ensin poistetuista tiedostoista. Sieltä löydän lk.tgy-paketin sekä kansiot etc ja $OrphanFiles. Kansioista en löydä mitään kiinnostavaa, joten tarkastelen paketin sisältöä komennolla:
lz lk.tgy
Sen sisältö näyttää sen verran epäilyttävältä, että kyseessä lienee rootkit. Tiedostonimet viittavaat yhteydenpitoon (ssh), nuuskimiseen (sniffer) ja piilotteluun (cleaner). Ajattelen käydä tutkimassa lokitiedostoja, mutta niitä ei löydy paketista. README-tiedosto paljastaakin, että ne ovat olleet osiolla, jota ei ole sisällytetty tehtävään.
Koska en osaa oikein tehdä muutakaan, katson, miten muut ovat tehtävässä edenneet. Aiemmin käymissäni blogeista toisessa on käytetty vastaavia keinoja kuin itsekin käytin, mutta perusteellisemmin ja taitavammin. Toisessa taas on käytetty Autopsyn selainpohjaista käyttöliittymää, mutta päädytty samaan tulokseen, eli tuon lk.lgz-paketin ihmettelyyn.
Pitää ehkä joskus tarttua johonkin toiseen Scan of the Monthiin, nyt kun on vähän enemmän ymmärrystä siitä, mistä aloittaa ja miten edetä.
Mutta nyt OWASP:in kimppuun. Luettuani tiivistelmät kaikista läpi, valitsen tarkempaan tarkasteluun A2:n (Broken Authentication And Session Management). Tämä kohta koskee uhrin istunnon kaappaamista, joka on mahdollista, jos käytettävän palvelun tietoturvassa on sopiva aukko. OWASP:in mukaan täysin pitävän istunnonhallinnan rakentaminen on vaikeaa.
Tällaisille murroille ovat alttiita esimerkiksi ne palvelut, joissa istuntotunnukset on huonosti salattu, helposti arvattavissa tai jopa suoraan url:ssa näkyvissä. OWASP:issa on havainnollinen esimerkki:
Tällaisille murroille ovat alttiita esimerkiksi ne palvelut, joissa istuntotunnukset on huonosti salattu, helposti arvattavissa tai jopa suoraan url:ssa näkyvissä. OWASP:issa on havainnollinen esimerkki:
- Uhri on kirjautuneena lentoja myyvälle sivustolle.
- Hän näkee tarjouksen ja päättää lähettää sen sähköpostitse ystävälleen kopioimalla url:n (http://www.example.com/sale/saleitemsjsessionid=2P0OC2JSNDLPSKHCJUN2JV?dest=Hawaii).
- Kaveri avaa linkin ja onkin yhtäkkiä kirjautuneena sivustolle, jonne uhri on jo aiemmin tallentanut luottokorttinumeronsa.
Lähteet Honeynet-tehtävään:
- http://terokarvinen.com/2013/forensic-file-recovery-with-linux
- http://old.honeynet.org/scans/scan15/
- http://ramitahtinen.wordpress.com/2013/09/17/honeynet-scan-of-the-month-15-rosvoja-ja-kunnon-kansalaisia/
- http://anttiwirman.com/2014/02/02/linux-palvelimena-ict4tn003-11-ja-12-kevaalla-2014-kotitehtava-2/
- http://askubuntu.com/questions/148638/how-do-i-enable-the-universe-repository
- http://en.wikipedia.org/wiki/Rootkit
- http://www.sleuthkit.org/
- http://en.wikipedia.org/wiki/The_Sleuth_Kit
Ei kommentteja:
Lähetä kommentti