Ho installato un honeypot Kippo sul mio server e volevo sapere se ci sono alcuni strumenti che posso avviare per raccogliere più informazioni sul cracker.
Voglio che più informazioni siano in grado di avviare alcuni contenuti forensi.
Non c'è nulla che tu possa "installare" per deanonizzare un utente malintenzionato. Una volta che hai ricevuto i dati da Kippo sull'IP e sul tipo di connessione, hai tutto il tempo che puoi ottenere a meno che l'aggressore non sveli di più sulle loro azioni. Esistono strumenti che è possibile utilizzare per migliorare leggermente i dati, ma che non rompere l'anonimato.
La maggior parte delle indagini che scoprono l'identità del cracker che ho eseguito con successo sono state il risultato dei file che tentano di installare o dei percorsi di download che utilizzano o delle password che cercano di utilizzare. Quindi, tutto dipende da un'indagine manuale. Non sono i dati che Kippo cattura, ma sono i dati a cui fanno riferimento i dati Kippo. Ed è difficile prevedere cosa potrebbe diventare.
... A meno che non infranga la legge e ritorni indietro l'hacker . Conosco una persona che gestiva un honeypot Kippo e ha configurato uno script per utilizzare la stessa password che l'hacker ha impostato per un nuovo account per tentare di accedere alla macchina dell'attaccante. Aveva una percentuale di successo del 10% (gli utenti malintenzionati riutilizzavano le password). Ma questo è illegale nella maggior parte delle giurisdizioni (accesso non autorizzato).
Leggi altre domande sui tag forensics honeypot deanonymization