Tutti una volta nella vita vorrebbero hackerare, ma c’è il rischio di farsi molto male. Infatti entrare in un com
puter senza autorizzazione è illegale. In questo articolo ti spiegherò come allestire un finto computer per provare ad hackerarlo. Può essere anche, per i docenti, un modo istruttivo per mostrare agli alunni le basi della sicurezza.
Cosa faremo in dettaglio
L’attacco che simuleremo è un “attacco a dizionario SSH”. SSH è un protocollo che consente di controllare da remoto un computer e l’attacco a dizionario equivale a testare un buon numero di password ovvie per vedere se sono us
ate nel sistema. Sembra strano ma ci sono persone che credono che “pippo” sia una password sicura.
Cosa ci serve
Ci servono quattro cose:
- Python, consiglio su Linux
- Questo script. Se non funziona digita nel terminale “pip install paramiko”
- Una lista di passowrd
- Uno script di attacco.
Script e lista possono essere scaricate qui, la guida è molto semplice ed è in inglese. Consiglio di creare una directory apposta.
All’attacco!
Creiamo il computer
Il primo script, da mettere in una directory diversa dal secondo, crea il computer virtuale. In sostanza crea un server SSH che però non dà alcun accesso effettivo alla macchina e che dà errore se usa la password sbagliata mentre chiude la connessione con quella giusta. Lo script, molto semplice, si può modificare per inserire le password da accettare.
Attacchiamolo.
Andate nella directory del secondo script, aprite un terminale e digitate:
python brutessh.py -h {IP} -u {UTENTE} -d passlist.txt
Se state attaccando il vostro stesso PC l’IP è “localhost”.
Lo script, se ha la password in lista, ve la dirà in pochi secondi.
Si può usare per un attacco reale?
Certo, ma non ve lo consiglio. Se state leggendo questo articolo non siete all’altezza di un attacco reale, ma è comunque meglio fornire tali strumenti e lasciar divertire chi vuole farlo che lasciare il tutto in mano a loschi siti che offrono solo malware.
Pingback: Crackare SSH con Medusa – Computer Blog