Honeypot attack (café angrebet)

Honeypot attack er et angreb som du nemt kan blive udsat for, når du sidder og nyder din cafe latte på en cafe, der tilbyder gratis wifi.

Angrebet går i sin enkelthed ud på, at hackeren sætter et trådløst access point op på sin pc. Dette access point navngiver han med det samme id som cafe’ens wifi, og samtidig anvender han det samme password. Derefter udsender han en De-Authentication pakkke. Dette vil få din pc til at koble af wifi’en og derefter koble på igen. Angrebet går nu ud på, at hackerens wifi signal er stærkere end cafe’ens. Det vil få din pc til at koble op på hackerens wifi da signalet her er stærkest. Hackerens wifi hedder jo det samme som cafe’ens og har samme password, hvorfor din pc ikke kan kende forskel på de to wifi.

 

Hackeren har nu selv sat en forbindelse op til nettet, og lavet en såkaldt proxy på sin egen pc. Du vil nu komme på nettet via hans pc, men han kan følge med i alt, hvad du laver.

Du bør derfor aldrig anvende din firma pc på en cafe, der tilbyder gratis wifi.

Jeg vil senere opdatere denne blog med et eksempel på, hvordan dette attack udføres.

Opsætning af trådløs forbindelse i BackTrack der kører i VM

Jeg har selv brugt lang tid på at få min BackTrack (der kører i en vm) til at anvende mit trådløse netkort på computeren. Det er ikke lykkedes for mig, og efter at have læst utallige fora er det nu blevet klart for mig, at det ikke er muligt at få direkte forbindelse til computerens trådløse netkort fra BackTrack, der kører i en VM.

For at spare dig for de samme frustrationer som jeg har haft vil jeg i denne blog beskrive, hvordan du nemt kan få BackTrack (der kører i en vm) til at forbinde til din trådløse router, eller til at scanne trådøse routere. Du skal anvende en trådløs usb adapter, der så kan anvendes som trådløst netkort. En trådløs adapter kan købes relativt biligt.

Du skal først koble dit trådløse kort (usb wifi) til din computers usb stik (jeg anvender en Belkin trådløs usb adapter). Herefter vælges ”Opsætning” fra VirtuelBox Manageren.

trådløsops_1

Du skal nu tilføje et nyt usb filter, hvillket gøres fra ”usb” menuen ved at vælge det lille plus ikon.

trådløsops_2

Vælg nu din trådløse usb adapter (min var en Belkin adapter).

trådløsops_3

Klik nu ok, og stat den virtuelle instans af BackTrack. Under opstart vil din pc’s trådløse internet forbindelse automatisk blive frakoblet.

Når BackTrack er åbnet, og du har startet den grafiske brugerflade op (startx) vælges netværk manageren via Applications → Internet → Wicd network manager.

trådløsops_4

Nu skal det trådløse interface defineres. Dette gøres via menuen ”Preferences” (i network manageren). Normalt er interfacet wlan0, hvilket skrives i feltet for ”Wireless interface”, hvorefter ”ok” klikkes.

trådløsops_5

Refesh netværkslisten, og du skulle nu kunne se samtlige routere, og kan nu oprette forbindelse til din router.

trådløsops_6

For at kontrollere, at du har fået forbindelse til routeren kan du fra en kommando line skrive ”iwconfig”, og se, at der er forbindelse til din router fra wlan0 interfacet.

trådløsops_7

Nu er din BackTrack forbundet med din trådløse router, og du har herefter mulighed for at se andre trådløse routere.

 

Hacking, De-ice 1

Efter at have sat dit lab op og startet de-ice og BackTrack vm og samtidigt sikret dig, at begge er sat til at anvende ”internt netværk” så er du klar til at komme i gang med det sjove. Hvis du ikke har fået det gjort endnu så er der lidt hjælp under menuen “Hacking -> kom i gang”

Målet med de-ice 101 er at få root acces. Dette vil gøre dig i stand til at oprette og slette brugere. Du vil snart se, at det er muligt at få root access gennem en anden brugers dårlige/nemme password.

Åben en konsol i backtrack, og skriv netdiscover.

Dette vil starte programmet netdiscover, der vil scanne netværket for andre klienter. Efter et kort øjeblik skulle du gerne få et hit.

Ikke overraskende viser den ip adressen 192.168.1.100, der netop er ip adressen på de-ice 101 (denne adresse er de-ice konfigureret til).

Næste opgave er at finde ud af hvordan du kan tilgå denne ip adresse. Nmap er lavet til at scanne porte på en ip adresse. Stop derfor netdiscover (ctrl z), og skriv ”nmap -r 192.168.1.100”. Du vil med stor sandsynlighed få en besked om, at den angivende ip ikke er tilgængelig.

Dette skyldes, at BackTrack ikke er på samme netværk. Du kan tjekke dette ved at skrive ”ifconfig”, og se, hvilken ip adresse, der er tildelt til dit netværkskort (de-ice er på 192.168.1.100.

Du kan ændre din ip adresse så BackTrack er indenfor samme netværk som de-ice ved at skrive ”ifconfig eth0 192.168.1.120”. Skriv nu, igen, ”nmap -r 192.168.1.100”. Efter et kort øjeblik vil du se en liste over de porte, der er åbne på de-ice (192.168.1.100).

Af listen kan du se, at ftp (port 21) er åben. Hvis du forsøger at oprette forbindelse til de-ice via ftp (ftp 192.168.100) vil du modtage en fejl besked, der indikerer at der er noget galt med denne forbindelse. Kig derfor efter en anden mulighed. Du vil se, at port 80 er åben (http). Prøv derfor at åbne en browser, og tast ip adressen ind. Voila så er der forbindelse til de-ice.