Carnivore e Altivore: Os predadores do FBI

y2h4ck

Neste artigo vamos conhecer o projeto Carnivore, o black box para provedores criado pelo FBI com a função de capturar informações de determinados usuários suspeitos. Vamos fazer uma pequena análise do seu irmão mais novo, o Altivore, que veio como solução alternativa ao Carnivore, porém, com poder de captura equivalente.

[ Hits: 70.650 ]

Por: Anderson L Tamborim em 06/11/2004 | Blog: http://y2h4ck.wordpress.com

0 0
Denuncie   Favoritos   Indicar   Impressora

Instalando e executando o Altivore em sua box



Utilizando o Altivore


Vou fazer a instalação e execução do Altivore em um sistema FreeBSD, os mesmos resultados devem ser esperados em uma box Linux sem nenhuma distinção.

Para obter o source do altivore acesse:
Para os que usam FreeBSD basta:

# cd /usr/ports/security/altivore
# make
# make install

E pronto! Para compilar no Linux use:

$ gcc altivore.c -lpcap -Ipcap -o altivore

Vamos dar uma olhada panorâmica no binário:

# ./altivore 
--- ALTIVORE ---
Copyright (c) 2000 by Network ICE Corporation
Public disclosure of the source code does not
constitute a license to use this software.
Use "altivore -?" for help.
altivore.ini: No such file or directory
        mode = unspecified
Traffic seen
^C
Bom como podemos ver ele já tentou iniciar uma análise mesmo sem passarmos parâmetros para o mesmo. Vamos verificar o help dele e visualizar as opções que ele nos fornece:

# ./altivore -? 
--- ALTIVORE ---
Copyright (c) 2000 by Network ICE Corporation
Public disclosure of the source code does not
constitute a license to use this software.
Use "altivore -?" for help.
altivore.ini: No such file or directory
Options:
<email-address> address to filter for, e.g.:
  rob@altivore.com (exact match)
  *@altivore.com (partial match)
  * (match all emails)
-h<ip-address>
        IP of host to sniff
-i<devicename>
        Network interface to sniff on
-l<logfile>
        Text-output logging
-m<mode>
        Mode to run in, see docs
-p<port>
        Server port to filter on
-r<tracefile>
        Test input
-w<tracefile>
        Evidence tracefile to write packets to
Vamos verificar algumas das opções mais interessantes:
  • <email-address>

    E-mail que será filtrado, exemplo:
    • root@carnivore.com ( referência exata )
    • *@carnivore.com ( todos os logins de um domínio )
    • * irá capturar todos os e-mails


  • -h<ip-address>

    Host que será sniffado ( em caso de conexões FTP ou Chat )

  • -i<devicename>

    Network interface que será sniffada

  • -l<logfile>

    Text-output logging

  • -p<port>

    Porta que será filtrada

Vamos fazer uma sessão de testes para verificar seu funcionamento. Irei rodá-lo com parâmetros para capturar e-mails destinados ao root da máquina:

$ ./altivore root@RootSec -h127.0.0.1 -ilo -lLOG -p25 
--- ALTIVORE ---
Copyright (c) 2000 by Network ICE Corporation
Public disclosure of the source code does not
constitute a license to use this software.
Use "altivore -?" for help.
altivore.ini: No such file or directory
        mode = unspecified
        logfile = LOG
        ip = 127.0.0.1
        port = 134572988
        email.address = root@RootSec
        interface = lo
Enquanto isso, em outro terminal, vamos enviar um email como root, para outro usuário local.

# telnet localhost 25
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 unsekurity.local ESMTP Postfix

Nesse instante o altivore já deu sinal de funcionamento:

Traffic seen
ehlo dead
250-unsekurity.local
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-XVERP
250 8BITMIME
mail from: spawn@RootSec
250 Ok
rcpt to: root@RootSec
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
Olá root, iremos assaltar o banco às 9 O'Clock.
See Ya
.
250 Ok: queued as 73E472343C0
quit
221 Bye

Agora no terminal que estava sendo analisado pelo Altivore, vamos ver o log:

# cat LOG

--- ALTIVORE ---
Copyright (c) 2000 by Network ICE Corporation
Public disclosure of the source code does not
constitute a license to use this software.
Traffic Seen: 127.0.0.1:25 > 127.0.0.1:37456
............................................
<Match Found: root@RootSec>
No Subject.Body.Olá root, iremos assaltar o banco às
9 O'Clock.
See Ya.<End.Body>
............................................
Connection Closed: 127.0.0.1:25

Como vimos ele capturou o tráfego de e-mail destinado ao root.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução: O projeto Carnivore
   2. Carnivore: Funcionamento
   3. Instalando e executando o Altivore em sua box
   4. Considerações finais
Outros artigos deste autor

Seguraça extrema com LIDS

Race condition - vulnerabilidades em suids

PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it

Snort avançado: Projetando um perímetro seguro

Libsafe: Protegendo Linux contra Smashing Overflow

Leitura recomendada

Servidor de autenticação 802.1x com Freeradius

Bom escudo não teme espada: o módulo pam_cracklib

Autenticação via hardware: o módulo pam_blue

Impedindo o compartilhamento de conexão

Bind: Explorando e evitando falhas

  
Comentários
[1] Comentário enviado por removido em 06/11/2004 - 06:15h

Otimo Artigo, Todos os seus artigos sao de 1a.
Parabens pela qualidade!!!

[2] Comentário enviado por chumbeto em 06/11/2004 - 08:21h

Y2h4ck é o doutor da segurança no VOL. É isso aí cara, muito bom... Nota 10.0

[3] Comentário enviado por mbmaciel em 06/11/2004 - 10:03h

O link fornecido no artigo estava offline, mas acabei encontrando aqui:

http://downloads.securityfocus.com/tools/altivore.c

Bom artigo !

[4] Comentário enviado por removido em 06/11/2004 - 13:02h

Buuuuuuuuuuuuu !!!!!!!! ;-)
Ai, ai... que meda...

Meu rapaz, seu artigo está EXCELENTE !!!
Gostei principalmente da primeira parte sobre o origem so software.
Valew...

[5] Comentário enviado por removido em 06/11/2004 - 13:09h

Muito bom artigo, Anderson.
__________________________________________________________
Será que a guerra contra o crime justifiva o prévio cerceamento do direito individual?
Esse recurso - "carnivore e altivore" - é uma violência contra a liberdade. É como se alguém abrisse e lêsse suas cartas antes de você. E é especialmente preocupante saber que seu uso foi criado exatamente pelo pais que se auto denomina "Terra da liberdade". Prova de que essa expressão não passa de um golpe de "marketing".
Ao menos se esse recurso tivesse sido debatido pela sociedade e aprovado pela maioria, minimizaria a senssação de violação de direitos.
Em breve a estátua da liberdade terá a tocha substituida por um par de algemas.

[]s!
Wesley Caiapó

[6] Comentário enviado por removido em 06/11/2004 - 21:25h

Parabéns pelo artigo nota 10 mesmo.....

[7] Comentário enviado por y2h4ck em 08/11/2004 - 06:43h

Bom, realmente a implementação deste tipo de tecnologia é algo que fere profundamente os direitos privados. Imaginem, se para um administrador ( competente e que entende do que está fazendo ) instalar um sistema IDS em sua rede é necessário uma aprovação da politica de privacidade dos usuários.

Portanto é necessario estar por dentro de tudo que ocorre entre os pontos das redes onde estamos conectados :)

[]s a todos que comentaram o artigo. Logo te mais

Spawn Y2h4ck

[8] Comentário enviado por andreguerra em 08/11/2004 - 06:55h

Não há como divergir das opiniões postadas acima. Realmente excelente artigo. Alias, MAIS UM excelente artigo. Parabens Anderson.

Forte abraço,

André


[9] Comentário enviado por felipebalbi em 08/11/2004 - 11:05h

Excelente ferramenta.
Ótimo artigo,
parabéns

[]'s
Felipe Balbi

[10] Comentário enviado por removido em 08/02/2007 - 18:43h

omg :O isso eh mto bão,sô! vlw!!!!!

[11] Comentário enviado por capitainkurn em 09/05/2007 - 16:08h

Excelente artigo, parabéns!

[12] Comentário enviado por luissmaia em 12/09/2007 - 15:46h

Esta de parabéns muito bom artigo. principalmente pra quem ta iniciando na segurança de redes...Valww mesmo.

[13] Comentário enviado por kalib em 08/01/2008 - 17:20h

Interessantíssimo o assunto abordado....
E muito bem abordado tb. ;]

parabéns e obrigado pela colaboração!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Como renomear arquivos de letras maiúsculas para minúsculas

Imprimindo no formato livreto no Linux

Vim - incrementando números em substituição

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Tópicos

Excluir banco de dados no xampp (1)

phpmyadmin não abre no xampp (2)

Ubuntu não sai som (0)

KeepOS Não consigo usar o comando sudo. (4)

Erro no "magic number" do ventoy [RESOLVIDO] (1)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: