Проанализировать потоки трафика — поможет PiRogue
Что предложит компактная программно-аппаратная платформа на базе Raspberry Pi. Решение передано в open source — на GitHub есть код и другая информация.
/ unsplash.com / Cheikh Tidiane Ndiaye
Перерожденный проект
Четыре года назад группа разработчиков из французской ИБ-компании Defensive Lab Agency представила набор инструментов PiRanhaLysis. В него вошли три компонента: а) утилита PiPrecious для сетевого анализа, б) решение PiRanha для работы с мобильными девайсами и IoT-сетями, в) PiRogue, небольшое устройство для работы с пакетами.
Проект был перегружен функциональностью и развивался не так быстро, как того хотели авторы. Поэтому недавно его перезапустили под старым-новым именем — PiRogue tool suite (PTS). Что интересно, оно созвучно с традиционным названием лодок и каноэ африканских и азиатских народов — пирога (pirogue).
Система представляет собой программно-аппаратную платформу для анализа трафика мобильных устройств (смартфонов на iOS, Android и IoT-девайсов). Но можно мониторить любой девайс, подключённый по Wi-Fi. За разработку отвечает ИБ-специалист Эстер Онфрой. Она помогает журналистам, некоммерческим и частным организациям противостоять хакерским атакам на мобильные устройства.
Что умеет новый PiRogue
В основе PiRogue лежит Raspberry Pi, который играет роль сетевого маршрутизатора и анализирует трафик на лету. Система работает в одном из трех режимов. Первый показывает, с какими серверами взаимодействует мобильное устройство (MITM). Второй нужен для проведения сетевой криминалистики, а третий — для тестирования на проникновение и составления подробных отчетов.
Чтобы начать работу с PiRogue, нужны Raspberry Pi 4 Model B (на 2, 4 или 8 Гбайт) с источником питания, SD-карта (минимум 32 Гбайта) и Ethernet-кабель. По желанию можно изготовить кейс и напечатать плату расширения Hardware Attached on Top (HAT). Последняя позволит отображать предупреждения на TFT-экране и регулировать скорость вращения вентиляторов охлаждения.
Когда железо готово, необходимо скачать PiRogue OS. Она выложена на GitHub в одноименном репозитории. Далее, остается настроить SD-карту с помощью утилиты Balena Etcher и подключить собранное устройство к роутеру.
Изображение: https://pts-project.org/
Операционная система поставляется с предустановленными инструментами: tcpdump для анализа сетевого трафика, mitm-proxy для работы с HTTPS, suricata для обнаружения вредоносных пакетов, а также Frida — набор инструментов, позволяющих внедрять код в другие приложения. За визуализацию отвечает Grafana.
PTS находится на ранних этапах разработки, поэтому в работе встречаются баги. Однако проект развивают, а вокруг него начинает формироваться сообщество.
Кто делает нечто подобное
Построить средство для сетевого мониторинга на базе Raspberry Pi также позволяет NEMS Linux. Это преднастроенный образ, упрощающий развертку сервера Nagios. С его помощью можно мониторить SMTP, POP3, HTTP, NNTP, а также ресурсы хоста — например, нагрузку на процессор. За разработку отвечает Робби Фергюсон — сооснователь вебкаста о технологиях Category5.
NEMS Linux довольно популярен, но для него редко выходят обновления. Ранее релиз версий происходил дважды в год, однако последний апдейт состоялся в 2020-м.
О чем еще мы пишем в корпоративном блоге VAS Experts:
