Logo Blog perso d'Ozwald

Plantes carnivores

Par Oz le - Sécurité
Honeypot Malware Nepenthes dionaea virus

Figurez vous que je me suis récemment découvert un intérêt pour les plantes carnivores et que j'ai acheté un livre explicatif sur le sujet (environnement naturel, divers genres, méthodes de culture, etc.). Après avoir relu le bouquin trois fois j'ai finalement craqué et j'ai acheté quatre petits plants ainsi que quelques graines (pour une représentativité totale de trois genres différents de plantes carnivores usuelles1). Et c'est en me renseignant sur ce nouvel univers que je me suis remémoré le premier billet de ce blog, qui parlait du honeypot à faible intéraction Nepenthes et je me suis dit qu'il était temps que je me repenche sur ce logiciel qui m'avait bien amusé à l'époque...

Mes dionaea - Creative common by Ozwald from ozwald.fr

Premier choc : Nepenthes n'est plus. Aux alentours de l'été 2009 ses concepteurs commençait à apercevoir des limites à leur architecture, ils ont alors freezé Nepenthes et se sont lancés dans un nouveau projet de honeypot à faible interaction, en repartant ''from scratch'' : dionaea2. Le développement initial de dionaea a donc eu lieu pendant l'été 2009, et actuellement c'est une solution qui semble bien plus aboutie que ne l'était Nepenthes (gestion du multithread, émulation avancée des shellcode à la place de simple pattern matching, etc.). Par contre, même si le logiciel en lui-même est bien plus avancé, son packaging général ne tient pas (encore ?) la comparaison avec ce qu'était celui de Nepenthes à la fin de sa vie. En effet dionaea n'est, à ma connaissance, actuellement packagé pour aucune distro3 et pour tester dionaea vous devrez donc compiler vous-même une demi-douzaine de softs (sans vous planter au moment de les linker à dionaea bien sur). Ca n'a rien de titanesque ou même de compliqué, mais ça prend un peu de temps mine de rien.

En plus du coté technique c'est un projet qui a l'air vraiment sympa et vivant. Par exemple un petit billet d'un utilisateur sur les performances d'un script d'analyse des logs de dionaea a mené à une réflexion assez poussée sur la performance des accès aux logs directement sur le blog officiel du projet. Autre exemple : les auteurs de dionaea ont publié de grosses quantités de logs (anonymisés) issus de leurs propres sondes dionaea afin que chacun puisse mener les recherches qu'il souhaite dessus. Bref c'est un projet qui sent la bonne ambiance et j'espère bien en entendre un peu parler au SSTIC 20104. D'ailleurs tant qu'on parle de SSTIC je me dis que le vieux pense-bête que j'avais rédigé il y a quelques mois pourrait être utile ;) ...


meik le 2010/04/27 23:44

perso j'ai mis une nepenthes dans un terrarium (vu qu'elles ont des conditions assez spécifiques, comparé à mes autres styles de carnivores), et pas moyen de lui faire développer ses urnes. Les feuilles poussent sans problème, mais les urnes au bout restent de taille miniature...déception :)

Gagou le 2010/05/02 19:04

Pour faire mentir Ozwald ( ;) ), il est maintenant possible d'installer dionaea sur Arch depuis les dépôts AUR :
-> http://aur.archlinux.org/packages.p...
L'utilisation de l'outil yaourt (http://archlinux.fr/yaourt) est fortement recommandé pour installer des paquets depuis AUR sans prise de tête :)

Ozwald le 2010/05/03 10:07

Merci pour le boulot effectué Gagou !
Tu viens d'entériner le choix de la distrib que je vais installer sur mon nouveau serveur ^^

@meik : ça pourrait venir d'un substrat trop riche...enfin en tout cas c'est ce que j'ai lu quelque part sur internet ou dans un bouquin je crois :D

Guiniol le 2010/05/10 14:52

Tu laisserai tomber Gentoo??
Je suis shocké :)

  1. Pour les curieux : sarracenia, dionaea, et drosera.
  2. Le genre "dionaea" correspondant aussi à des plantes carnivores. Ce sont celles qu'on connait sous le nom familier "attrape-mouche", et pour les curieux elles sont beaucoup plus facile à cultiver que les Nepenthes ^_^
  3. Oubliez donc tout de suite les aptitude install dionaea, emerge dionaea, et autres pacman -S dionaea qui pourraient vous passer par la tête. ERRATA : Pour Arch la procédure est simplifiée, cf commentaires du post ;)
  4. Oui, oui, j'ai été assez rapide pour avoir une place :-D