Что такое HoneyPot?
“Горшочек мёда” – так ласково называется одно из средств безопасности, используемое для поимки хакеров и анализа их методов.
Не секрет, что противоборство “Хакер – Антихакер” – это извечная борьба добра со злом, причём хакер чаще всего идёт на шаг впереди защитника. Примерно так: нашёл уязвимость – атаковал, закрыли уязвимость. Нашёл новую, атаковал, закрыли. В общем, как шахматы. Где на каждое действие находится противодействие.
Общий принцип HoneyPot таков: существует некий ресурс (это может быть система, веб-сервер, расшаренная папка, сервер баз данных, что угодно), который выглядит весьма привлекательно (приманка) и может быть легко взломан злоумышленником. Ну или не очень легко, чтобы при этом понять методы анализа, используемые инструменты и уязвимости. Только нужно наладить логирование всех возможных операций, чтобы не упустить ничего важного.
Функции HoneyPot
Основной функционал – ведение подробных логов о способах атаки, местах проникновения и используемых материалах. Например, существует WEB-сервер, адрес на который не опубликован в общем доступе, то есть потенциально все вошедшие на этот сервер – злоумышленники, нашедшие открытый 80-ый порт (HTTP) при сканировании сети. Да и логи с систем “ханипотов” – это фактически все действия злоумышленника.
Формально, вся работа с HoneyPot заключается в “установить” и “ждать”. Периодически просматривать логи, фиксировать всю подозрительную активность, проверять данные и наносить упреждающие удары по потенциально слабым местам.
Ценность приманки можно понять принимая во внимание модель безопасности Брюса Шнейера, в которой определено три уровня:
- Предотвращение;
- Обнаружение;
- Ответ;
HoneyPot-ловушка может задействоваться на любом из этих трёх уровней.
HoneyPot – не панацея.
Увы, “горшочек мёда” не способен охватить все проблемы безопасности сети, поэтому приходится либо использовать несколько ловушек, для различных сервисов, либо охватывать только узкий фрагмент сетевой инфраструктуры.
Считается, что HoneyPot практически невозможно распознать. Вообще, все случаи раскрытия планов антихакера на этот счёт являются следствием человеческого фактора.
Например:
- Компьютер, расположенный в сети не генерирует сетевой трафик – велика вероятность, что это HoneyPot;
- ОС на сервере выдаваемая за Linux после взлома оказывается FreeBSD – вызывает настороженность злоумышленника, либо он попал на HoneyPot, либо администратор уж очень позаботился о безопасности системы и, вероятно, приготовил пару коварных ловушек. и т.д.
И самый неприятный вариант, когда взломаная ловушка отдаётся злоумышленнику с потрохами, как покорная гимназистка, и становится полигоном для его последующих атак на сетевые другие устройства.
Comments: