Τι είναι το Honeypot;

Εάν συνδέσετε έναν υπολογιστή στο ανοιχτό Διαδίκτυο χωρίς κανένα είδος φίλτρου εισερχόμενης κυκλοφορίας, συνήθως θα αρχίσει να λαμβάνει κίνηση επίθεσης μέσα σε λίγα λεπτά. Τέτοια είναι η κλίμακα των αυτοματοποιημένων επιθέσεων και σάρωσης που συμβαίνουν συνεχώς στο Διαδίκτυο. Η συντριπτική πλειοψηφία αυτού του είδους της κυκλοφορίας είναι πλήρως αυτοματοποιημένη. Είναι απλώς bots που σαρώνουν το Διαδίκτυο και ίσως δοκιμάζουν μερικά τυχαία ωφέλιμα φορτία για να δουν αν κάνουν κάτι ενδιαφέρον.

Φυσικά, εάν εκτελείτε διακομιστή web ή οποιαδήποτε άλλη μορφή διακομιστή, χρειάζεστε τον διακομιστή σας συνδεδεμένο στο Διαδίκτυο. Ανάλογα με την περίπτωση χρήσης σας, ενδέχεται να μπορείτε να χρησιμοποιήσετε κάτι σαν VPN για να επιτρέψετε την πρόσβαση μόνο σε εξουσιοδοτημένους χρήστες. Ωστόσο, εάν θέλετε ο διακομιστής σας να είναι δημόσια προσβάσιμος, πρέπει να είστε συνδεδεμένοι στο Διαδίκτυο. Ως εκ τούτου, ο διακομιστής σας θα αντιμετωπίσει επιθέσεις.

Μπορεί να φαίνεται ότι βασικά πρέπει να το αποδεχτείτε ως ίσο για το μάθημα. Ευτυχώς υπάρχουν κάποια πράγματα που μπορείτε να κάνετε.

Εφαρμόστε ένα honeypot

Το honeypot είναι ένα εργαλείο που έχει σχεδιαστεί για να δελεάζει τους επιτιθέμενους. Υπόσχεται ζουμερές πληροφορίες ή τρωτά σημεία που θα μπορούσαν να οδηγήσουν σε πληροφορίες αλλά είναι απλώς μια παγίδα. Ένα honeypot έχει δημιουργηθεί σκόπιμα για να δολώσει έναν εισβολέα. Υπάρχουν μερικές διαφορετικές ποικιλίες ανάλογα με το τι θέλετε να κάνετε.

Ένα honeypot υψηλής αλληλεπίδρασης έχει προχωρήσει. Είναι πολύ περίπλοκο και προσφέρει πολλά πράγματα για να κρατήσει απασχολημένο τον επιθετικό. Αυτά χρησιμοποιούνται κυρίως για έρευνα ασφάλειας. Επιτρέπουν στον ιδιοκτήτη να δει πώς ενεργεί ένας εισβολέας σε πραγματικό χρόνο. Αυτό μπορεί να χρησιμοποιηθεί για να ενημερώσει τις τρέχουσες ή ακόμα και μελλοντικές άμυνες. Ο στόχος ενός honeypot υψηλής αλληλεπίδρασης είναι να κρατήσει τον επιθετικό απασχολημένο για όσο το δυνατόν περισσότερο και να μην χαρίσει το παιχνίδι. Για το σκοπό αυτό, είναι πολύπλοκη η εγκατάσταση και η συντήρηση.

Ένα honeypot χαμηλής αλληλεπίδρασης είναι βασικά μια παγίδα τοποθέτησης-και-ξέχασης. Είναι συνήθως απλά και δεν έχουν σχεδιαστεί για χρήση για βαθιά έρευνα ή ανάλυση. Αντίθετα, τα honeypots χαμηλής αλληλεπίδρασης προορίζονται για να ανιχνεύσουν ότι κάποιος προσπαθεί να κάνει κάτι που δεν θα έπρεπε και απλώς να τα μπλοκάρει εντελώς. Αυτό το είδος honeypot είναι εύκολο να ρυθμιστεί και να εφαρμοστεί, αλλά μπορεί να είναι πιο επιρρεπές σε ψευδώς θετικά αποτελέσματα εάν δεν προγραμματιστεί προσεκτικά.

Ένα παράδειγμα ενός honeypot χαμηλής αλληλεπίδρασης

Εάν διαχειρίζεστε έναν ιστότοπο, μια λειτουργικότητα που ίσως γνωρίζετε είναι το robots.txt. Το Robots.txt είναι ένα αρχείο κειμένου που μπορείτε να τοποθετήσετε στον ριζικό κατάλογο ενός διακομιστή ιστού. Κατά κανόνα, τα bots, ειδικά τα προγράμματα ανίχνευσης για τις μηχανές αναζήτησης, γνωρίζουν να ελέγχουν αυτό το αρχείο. Μπορείτε να το διαμορφώσετε με μια λίστα σελίδων ή καταλόγων που κάνετε ή δεν θέλετε ένα bot να ανιχνεύει και να ευρετηριάζει. Τα νόμιμα ρομπότ, όπως ο ανιχνευτής μηχανής αναζήτησης, θα σέβονται τις οδηγίες σε αυτό το αρχείο.

Η μορφή είναι συνήθως σύμφωνα με τη γραμμή "μπορείτε να δείτε αυτές τις σελίδες, αλλά μην ανιχνεύσετε τίποτα άλλο". Μερικές φορές, ωστόσο, οι ιστότοποι έχουν πολλές σελίδες για να επιτρέψουν και μόνο λίγες θέλουν να αποτρέψουν την ανίχνευση. Έτσι, παίρνουν μια συντόμευση και λένε "μην το κοιτάς αυτό, αλλά μπορείς να ανιχνεύσεις οτιδήποτε άλλο". Οι περισσότεροι χάκερ και ρομπότ θα δουν "μην κοιτάς εδώ" και στη συνέχεια θα κάνουν το ακριβώς αντίθετο. Έτσι, αντί να αποτρέψετε την ανίχνευση της σελίδας σύνδεσης διαχειριστή από την Google, έχετε κατευθύνει τους εισβολείς κατευθείαν σε αυτήν.

Δεδομένου ότι αυτή είναι γνωστή συμπεριφορά, είναι πολύ εύκολο να το χειριστείς. Εάν δημιουργήσετε ένα honeypot με ένα ευαίσθητο όνομα και, στη συνέχεια, διαμορφώσετε το αρχείο robots.txt ώστε να λέει "μην κοιτάς εδώ", πολλά bots και χάκερ θα κάνουν ακριβώς αυτό. Στη συνέχεια, είναι πολύ απλό να καταγράψετε όλες τις διευθύνσεις IP που αλληλεπιδρούν με το honeypot με οποιονδήποτε τρόπο και απλώς να τις αποκλείσετε όλες.

Αποφυγή ψευδών θετικών

Σε πολλές περιπτώσεις, αυτό το είδος κρυφού honeypot μπορεί να αποκλείσει αυτόματα την κυκλοφορία από διευθύνσεις IP που θα προκαλούσαν περαιτέρω επιθέσεις. Πρέπει να ληφθεί μέριμνα για να διασφαλιστεί ότι οι νόμιμοι χρήστες του ιστότοπου δεν θα πάνε ποτέ στο honeypot. Ένα αυτοματοποιημένο σύστημα όπως αυτό δεν μπορεί να κάνει τη διαφορά μεταξύ ενός εισβολέα και ενός νόμιμου χρήστη. Ως εκ τούτου, πρέπει να βεβαιωθείτε ότι κανένας νόμιμος πόρος δεν συνδέεται καθόλου με το honeypot.

Θα μπορούσατε να συμπεριλάβετε ένα σχόλιο στο αρχείο robots.txt που να υποδεικνύει ότι η καταχώρηση honeypot είναι honeypot. Αυτό θα πρέπει να αποτρέψει τους νόμιμους χρήστες από το να προσπαθήσουν να ικανοποιήσουν την περιέργειά τους. Θα αποτρέψει επίσης τους χάκερ που διερευνούν με μη αυτόματο τρόπο τον ιστότοπό σας και ενδεχομένως θα τους εξοργίσει. Ορισμένα ρομπότ μπορεί επίσης να διαθέτουν συστήματα για να προσπαθήσουν να εντοπίσουν τέτοιου είδους πράγματα.

Μια άλλη μέθοδος για τη μείωση του αριθμού των ψευδώς θετικών θα ήταν η απαίτηση πιο εις βάθος αλληλεπίδρασης με το honeypot. Αντί να αποκλείσετε οποιονδήποτε φορτώνει ακόμη και τη σελίδα του honeypot, θα μπορούσατε να αποκλείσετε οποιονδήποτε στη συνέχεια αλληλεπιδρά μαζί της περαιτέρω. Και πάλι, η ιδέα είναι να το κάνουμε να φαίνεται νόμιμο, ενώ στην πραγματικότητα δεν οδηγεί πουθενά. Το να έχετε το honeypot σας ως φόρμα σύνδεσης στο /admin είναι μια καλή ιδέα, εφόσον δεν μπορεί πραγματικά να σας συνδέσει σε τίποτα. Έχοντας στη συνέχεια να συνδεθεί σε αυτό που μοιάζει με ένα νόμιμο σύστημα αλλά στην πραγματικότητα βρίσκεται ακριβώς πιο βαθιά στο honeypot θα ήταν περισσότερο ένα honeypot υψηλής αλληλεπίδρασης.

συμπέρασμα

Ένα honeypot είναι μια παγίδα. Έχει σχεδιαστεί για να μοιάζει σαν να είναι χρήσιμο σε έναν χάκερ, ενώ στην πραγματικότητα είναι άχρηστο. Τα βασικά συστήματα απλώς μπλοκάρουν τη διεύθυνση IP οποιουδήποτε αλληλεπιδρά με το honeypot. Πιο προηγμένες τεχνικές μπορούν να χρησιμοποιηθούν για να οδηγήσουν τον χάκερ, ενδεχομένως για μεγάλο χρονικό διάστημα. Το πρώτο χρησιμοποιείται συνήθως ως εργαλείο ασφαλείας. Το τελευταίο είναι περισσότερο ένα εργαλείο έρευνας ασφάλειας, καθώς μπορεί να δώσει πληροφορίες για τις τεχνικές του εισβολέα. Πρέπει να ληφθεί μέριμνα ώστε να αποτραπεί η αλληλεπίδραση νόμιμων χρηστών με το honeypot. Τέτοιες ενέργειες είτε θα είχαν ως αποτέλεσμα τον αποκλεισμό του νόμιμου χρήστη είτε θα παρέσυραν τη συλλογή δεδομένων. Επομένως, το honeypot δεν θα πρέπει να σχετίζεται με την πραγματική λειτουργικότητα, αλλά θα πρέπει να μπορεί να εντοπιστεί με κάποια βασική προσπάθεια.

Ένα honeypot μπορεί επίσης να είναι μια συσκευή που αναπτύσσεται σε ένα δίκτυο. Σε αυτό το σενάριο, είναι ξεχωριστό από όλες τις νόμιμες λειτουργίες. Και πάλι, θα σχεδιαστεί έτσι ώστε να φαίνεται ότι έχει ενδιαφέροντα ή ευαίσθητα δεδομένα για κάποιον που σαρώνει το δίκτυο, αλλά κανένας νόμιμος χρήστης δεν θα πρέπει ποτέ να τα συναντήσει. Έτσι, οποιοσδήποτε αλληλεπιδρά με το honeypot αξίζει κριτική.