Analisi di password utilizzate in attacchi "brute force" e rilevamento anomalie

Negli ultimi anni, soprattutto con l'avvento della pandemia e l'aumento dello "smart working", gli attacchi di tipo "brute force" sulle password a sistemi remoti sono aumentati. Per poter catturare e analizzare questi attacchi sono stati introdotti dei sistemi che prendono il nome di "honeypot" che fungono da esca per l'attaccante. Nello specifico, per questa tesi sono stati analizzati i dati di un honeypot SSH e Telnet che prende il nome di "cowrie", progettato per registrare attacchi "brute force". Spesso, le password utilizzate in questo tipo di attacchi vengono rilevate da raccolte pubbliche, create dopo alcune violazioni di account di clienti di grossi e piccoli servizi (Adobe, LinkedIn ecc.). Tuttavia, nell'ultimo anno nelle strutture di honeypot, citate precedentemente, si è osservato un incremento di utilizzo di password non note, ovvero non presenti nei database pubblici. Questo fenomeno ha motivato la scelta di indirizzare il nostro lavoro verso lo sviluppo di strumenti per l'analisi delle password utilizzate negli attacchi e per l'individuazione di queste anomalie. Tali strumenti permettono di estrarre le informazioni relative ai tentativi di accesso dalle strutture di honeypot, raggrupparle (es. per indirizzo IP sorgente) ed infine compararle con i 139 dataset pubblici raccolti e analizzati in una fase precedente. Questo ha permesso di individuare, data una determinata sorgente IP, quali di questi dataset potrebbe essere stato utilizzato per l'attacco e se si è verificata un'anomalia.