Co je to Honeypot?

Pokud připojíte počítač k otevřenému internetu bez jakéhokoli filtru příchozího provozu, obvykle během několika minut začne přijímat útočný provoz. Takový je rozsah automatizovaných útoků a skenování, které se neustále odehrávají na internetu. Naprostá většina tohoto druhu provozu je zcela automatizovaná. Jsou to jen roboti, kteří prohledávají internet a možná zkoušejí nějaké náhodné zatížení, aby zjistili, jestli dělají něco zajímavého.

Samozřejmě, pokud provozujete webový server nebo jakoukoli jinou formu serveru, potřebujete váš server připojený k internetu. V závislosti na vašem případu použití možná budete moci použít něco jako VPN, abyste povolili přístup pouze oprávněným uživatelům. Pokud však chcete, aby byl váš server veřejně přístupný, musíte být připojeni k internetu. Váš server tak bude čelit útokům.

Mohlo by se zdát, že to v podstatě musíte přijmout jako součást kurzu. Naštěstí existuje několik věcí, které můžete udělat.

Implementujte honeypot

Honeypot je nástroj, který má nalákat útočníky. Slibuje šťavnaté informace nebo zranitelnosti, které by mohly vést k informacím, ale je to jen past. Honeypot je záměrně nastaven tak, aby nalákal útočníka dovnitř. Existuje několik různých druhů v závislosti na tom, co chcete dělat.

Honeypot s vysokou interakcí je pokročilý. Je velmi komplexní a nabízí spoustu věcí, které útočníka zaměstnají. Ty se většinou používají pro bezpečnostní výzkum. Umožňují vlastníkovi vidět, jak útočník jedná v reálném čase. To může být použito k informování o současné nebo dokonce budoucí obraně. Cílem honeypotu s vysokou interakcí je zabavit útočníka co nejdéle a neprozrazovat hru. Za tímto účelem je složité je nastavit a udržovat.

Honeypot s nízkou interakcí je v podstatě past na místo a zapomeň. Obvykle jsou jednoduché a nejsou určeny k použití pro hluboký výzkum nebo analýzu. Namísto toho jsou honeypoty s nízkou interakcí určeny k tomu, aby detekovaly, že se někdo pokouší udělat něco, co by neměl, a pak je prostě úplně zablokovaly. Tento druh honeypotu se snadno nastavuje a implementuje, ale může být náchylnější k falešným poplachům, pokud není pečlivě naplánován.

Příklad honeypotu s nízkou interakcí

Pokud provozujete web, funkce, kterou možná znáte, je robots.txt. Robots.txt je textový soubor, který můžete umístit do kořenového adresáře webového serveru. Roboti, zejména prohledávače pro vyhledávače, standardně znají tento soubor. Můžete jej nakonfigurovat pomocí seznamu stránek nebo adresářů, které chcete nebo nechcete, aby robot procházel a indexoval. Legitimní roboti, jako je prohledávač vyhledávače, budou respektovat pokyny v tomto souboru.

Formát je obvykle ve stylu „můžete se na tyto stránky podívat, ale nic jiného neprocházet“. Někdy však mají webové stránky mnoho stránek, které lze povolit, a pouze u některých chtějí zabránit procházení. Tak použijí zkratku a řeknou „na tohle se nedívej, ale můžeš prolézt cokoliv jiného“. Většina hackerů a robotů uvidí „zde se nedívej“ a pak udělá přesný opak. Takže místo abyste zabránili procházení vaší přihlašovací stránky správce Googlem, nasměrovali jste útočníky přímo na ni.

Vzhledem k tomu, že se jedná o známé chování, je docela snadné s ním manipulovat. Pokud nastavíte honeypot s citlivě vyhlížejícím názvem a poté nakonfigurujete svůj soubor robots.txt tak, aby říkal „zde se nedívejte“, mnoho robotů a hackerů udělá přesně to. Je pak celkem jednoduché zaprotokolovat všechny IP adresy, které jakkoli interagují s honeypotem a jen je všechny zablokovat.

Vyhýbání se falešným poplachům

V mnoha případech může tento druh skrytého honeypotu automaticky blokovat provoz z IP adres, který by způsobil další útoky. Je třeba dbát na to, aby legitimní uživatelé webu nikdy nenavštívili honeypot. Automatizovaný systém, jako je tento, nedokáže rozlišit mezi útočníkem a legitimním uživatelem. Proto se musíte ujistit, že na honeypot neodkazují žádné legitimní zdroje.

Do souboru robots.txt můžete zahrnout komentář s uvedením, že položka honeypot je honeypot. To by mělo legitimní uživatele odradit od snahy ukojit svou zvědavost. Také by to odradilo hackery, kteří manuálně zkoumají váš web, a potenciálně je popudí. Někteří roboti mohou mít také systémy, které se snaží detekovat tento druh věcí.

Další metodou, jak snížit počet falešně pozitivních výsledků, by bylo vyžadovat hlubší interakci s honeypotem. Namísto blokování kohokoli, kdo dokonce načte stránku honeypotu, můžete zablokovat kohokoli, kdo s ní poté dále interaguje. Opět jde o to, aby to vypadalo legitimně, zatímco to ve skutečnosti nikam nevede. Mít svůj honeypot jako přihlašovací formulář na /admin je dobrý nápad, pokud vás to vlastně nemůže přihlásit vůbec k ničemu. Nechat se přihlásit do toho, co vypadá jako legitimní systém, ale ve skutečnosti je jen hlouběji do honeypotu, by byl spíše honeypot s vysokou interakcí.

Závěr

Honeypot je past. Je navržen tak, aby vypadal, že by mohl být užitečný pro hackera, zatímco ve skutečnosti je k ničemu. Základní systémy prostě zablokují IP adresu každého, kdo interaguje s honeypotem. Pokročilejší techniky mohou být použity k vedení hackera, potenciálně na dlouhou dobu. První se obvykle používá jako bezpečnostní nástroj. Ten je spíše nástrojem pro výzkum zabezpečení, protože může poskytnout pohled na techniky útočníka. Je třeba dbát na to, aby se zabránilo interakci legitimních uživatelů s honeypotem. Takové akce by buď vedly k zablokování legitimního uživatele, nebo by narušily sběr dat. Honeypot by tedy neměl souviset se skutečnou funkčností, ale měl by být s určitým základním úsilím lokalizovatelný.

Honeypot může být také zařízení nasazené v síti. V tomto scénáři je to oddělené od všech legitimních funkcí. Opět by to bylo navrženo tak, aby to vypadalo, že má zajímavá nebo citlivá data pro někoho, kdo skenuje síť, ale žádný legitimní uživatel by se s tím nikdy neměl setkat. Každý, kdo interaguje s honeypotem, si tedy zaslouží recenzi.