Non ti servono necessariamente dei tool, puoi usare Wireshark proprio per pignoleria, ma attraverso le classiche tecniche di difesa è impossibile che ti ritrovi un hacker sul network:
- Usa password forti e complesse su servizi popolari come SSH o SMB;
- Se sei con Microsoft Windows acquista una copia legacy piuttosto che una pirata. Le copie piratate non si aggiornano rimanendo esposte agli exploit, anche molto datati;
- se sei su Linux fai apt update && apt upgrade -y nel terminal almeno una volta al mese;
- se hai installate una delle seguenti app sul tuo dispositivo, verifica di averle alla versione più recente, perché sono state ben note per essere affette da vulnerabilità davvero facili da exploitare:
Apache Solr, Apache Strutz, Apache Druid, Apache Spark, Apache Tomcat, Unifi, F5 BIG-IP, ClamAV, Symantec, VMware ESXi, VMWare vsphere (vcenter server), VMware Workspace, Microsoft Exchange Server, SMB v1, SMBv3, Microsoft Office, OpManager, IIS HTTP server, AnyDesk, Pulse Secure VPN, Fortigate, Sophos VPN, Internet Explorer (non ridete, c'è gente che ancora lo usa) e infine RDP.
Mi focalizzo su come monitorare SSH, SMB e RDP.
SMB e RDP sono due servizi che permettono di accedere ad un computer remoto e prenderne il controllo. In realtà SMB serve a tutt'altro, ma grazie a un utility chiamata PSEXEC è possibile inviare un payload negli share ed eseguirlo se si conosce username e password dell'amministratore. Se qualcuno prova a lanciare un bruteforce contro SMB puoi accorgertene monitorando il registro eventi (eventvwr.exe)
Per SSH invece i sistemi Unix riportano un log dettagliato dell'IP che ha provato ad accedere e il numero di password provate in /var/log/auth.log
Per quanto riguarda HTTP/HTTPS, sono generalmente dei protocolli molto sicuri, ti consiglio di esporre un honeypot su HTTP 80 con una versione di Apache volutamente vulnerabile a Log4Shell se vuoi vedere in plain text quello che succede, Wireshark + web request forzatamente dirottate a plain HTTP sono un'ottima combo per monitorare il traffico di rete.
