honeypot para web: glastopf sobre raspberry pi


Vamos a ver rápidamente cómo instalar rápidamente un honeypot para web sobre una raspberry pi 3, debería ser casi tan sencillo instalarlo en una versión anterior, con la diferencia de que en este caso estoy usando la tarjeta WIFI interna que trae la nueva versión, en la versión 2 podría haber usado un adaptador WIFI USB, que no tiene gran ciencia tampoco, en particular he usado los tp-link que son pequeñitos y totalmente compatibles con raspbian/Linux en general.

En esta ocasión no tenía una máquina con lector de memorias SD a la mano, así que tuve que usar una iMac (si, ya se) y fue particularmente latoso el proceso, la formateada de la tarjeta es sencilla, google es tu amigo!, pero la copiada de la imagen de raspbian por “dd” tomó algo así como 3 o 4 horas, una cosa ridícula. No recuerdo cuánto tomó la vez anterior en mi laptop, pero estoy seguro que no fue tanto, la próxima vez que haga el proceso voy a tomar el tiempo en linux y actualizo la nota para comparar.

Una vez que raspbian ya está instalado y corriendo recomiendo cambiar la clave y aumentar el tamaño de la partición al máximo con el comando:

$ sudo raspi-config.

Posteriormente instalas los prerequisitos, este es el resumen de lo que instalé:

$ apt-get install python-mysqldb python-chardet python-requests python-sqlalchemy python-lxml python-gevent libevent-dev python-dev build-essential make
$ apt-get install screen

el segundo renglón es para tener el “multiplexor” de consola, porque es una lata eso de estar conectando múltiples veces en diferentes ventanas, si no sabes usarlo, es buen momento para aprender, aunque no voy a mencionar nada más al respecto en este post.

Con eso podemos correr el comando de instalación de glastopf:

pip install glastopf

Si llegara a fallar, hay que poner atención a la salida para encontrar qué faltó, seguramente es algún prerequisito, y lo más probable es que se pueda instalar de paquete.

Después de eso instalas el analizador, para ello hay que instalar los prerequisitos:

apt-get install libdancer2-perl libgeo-ip-perl libdbi-perl libclass-dbi-sqlite-perl

Y después hay que clonar el repositorio y configurarlo tal y como se describe en la página de glastopf-analytics.

En resúmen:

$ git clone https://github.com/vavkamil/Glastopf-Analytics.git
$ cd Glastopf-Analytics/
$ vi lib/MyWeb/App.pm
$ perl ./bin/app.pl

Visitamos http://[IP de la raspi]:3000 y vemos algo similar a esto:
glastopf

Con eso pueden empezar a probar ataques a aplicaciones web, glastopf tiene una buena cantidad de respuestas adecuadas para muchos atáques típicos, en especial los de acceso a archivos locales, y a inyecciones SQL.

Si empiezo a ver cosas interesantes las agregaré por aquí.