Čo je to Honeypot?

Ak pripojíte počítač k otvorenému internetu bez akéhokoľvek filtra prichádzajúcej návštevnosti, zvyčajne do niekoľkých minút začne prijímať útoky. Taký je rozsah automatizovaných útokov a skenovania, ktoré sa neustále dejú na internete. Prevažná väčšina tohto druhu dopravy je úplne automatizovaná. Sú to len roboti, ktorí prehľadávajú internet a možno skúšajú nejaké náhodné užitočné zaťaženia, aby zistili, či robia niečo zaujímavé.

Samozrejme, ak prevádzkujete webový server alebo inú formu servera, potrebujete, aby bol váš server pripojený k internetu. V závislosti od vášho prípadu použitia možno budete môcť použiť niečo ako sieť VPN, aby ste umožnili prístup iba oprávneným používateľom. Ak však chcete, aby bol váš server verejne prístupný, musíte byť pripojený k internetu. Váš server tak bude čeliť útokom.

Mohlo by sa zdať, že to v podstate musíte prijať ako súčasť kurzu. Našťastie existuje niekoľko vecí, ktoré môžete urobiť.

Implementujte honeypot

Honeypot je nástroj, ktorý je určený na prilákanie útočníkov. Sľubuje šťavnaté informácie alebo zraniteľnosti, ktoré by mohli viesť k informáciám, ale je to len pasca. Honeypot je zámerne nastavený tak, aby navnadil útočníka. Existuje niekoľko rôznych druhov v závislosti od toho, čo chcete robiť.

Honeypot s vysokou interakciou je pokročilý. Je veľmi komplexný a ponúka veľa vecí, vďaka ktorým bude útočník zaneprázdnený. Väčšinou sa používajú na bezpečnostný výskum. Umožňujú majiteľovi vidieť, ako útočník koná v reálnom čase. To môže byť použité na informovanie súčasnej alebo dokonca budúcej obrany. Cieľom honeypotu s vysokou interakciou je zabaviť útočníka čo najdlhšie a nevzdať mu hru. Na tento účel je zložité ich nastaviť a udržiavať.

Honeypot s nízkou interakciou je v podstate pasca na miesto a na zabudnutie. Zvyčajne sú jednoduché a nie sú určené na použitie na hlboký výskum alebo analýzu. Namiesto toho sú honeypoty s nízkou interakciou určené na to, aby zistili, že sa niekto pokúša urobiť niečo, čo by nemal, a potom ich úplne zablokovali. Tento druh honeypotu sa dá ľahko nastaviť a implementovať, ale môže byť náchylnejší na falošné pozitíva, ak nie je dôkladne naplánovaný.

Príklad honeypotu s nízkou interakciou

Ak prevádzkujete webovú stránku, funkcia, ktorú možno poznáte, je robots.txt. Robots.txt je textový súbor, ktorý môžete umiestniť do koreňového adresára webového servera. Roboty, najmä prehľadávače pre vyhľadávače, štandardne vedia tento súbor skontrolovať. Môžete ho nakonfigurovať pomocou zoznamu stránok alebo adresárov, ktoré chcete alebo nechcete, aby bot prehľadával a indexoval. Legitímne roboty, ako napríklad prehľadávač vyhľadávacieho nástroja, budú rešpektovať pokyny v tomto súbore.

Formát je zvyčajne v duchu „môžete sa na tieto stránky pozrieť, ale nič iné neprechádzať“. Niekedy však majú webové stránky veľa stránok, ktoré môžu povoliť, a len máloktorým chcú zabrániť indexovému prehľadávaniu. Preto použijú skratku a povedia „toto sa nepozeraj, ale môžeš sa plaziť po čomkoľvek inom“. Väčšina hackerov a robotov uvidí „tu sa nepozeraj“ a potom urobí presný opak. Takže namiesto toho, aby ste zabránili prehľadávaniu vašej prihlasovacej stránky správcu Googlom, nasmerovali ste útočníkov priamo na ňu.

Vzhľadom na to, že ide o známe správanie, je celkom ľahké s ním manipulovať. Ak nastavíte honeypot s citlivo vyzerajúcim názvom a potom nakonfigurujete svoj súbor robots.txt tak, aby hovoril „tu sa nepozerajte“, mnoho robotov a hackerov urobí presne to. Potom je celkom jednoduché zaprotokolovať všetky IP adresy, ktoré akýmkoľvek spôsobom interagujú s honeypotom a len ich všetky zablokovať.

Vyhýbanie sa falošným pozitívam

V mnohých prípadoch môže tento druh skrytého honeypotu automaticky blokovať prenos z IP adries, ktorý by spôsobil ďalšie útoky. Je potrebné dbať na to, aby legitímni používatelia stránky nikdy nenavštívili Honeypot. Automatizovaný systém, ako je tento, nedokáže rozlíšiť medzi útočníkom a legitímnym používateľom. Preto sa musíte uistiť, že žiadne legitímne zdroje sa nespájajú s honeypotom.

Do súboru robots.txt môžete zahrnúť komentár, ktorý naznačuje, že položka honeypot je honeypot. To by malo odradiť legitímnych používateľov od snahy uspokojiť svoju zvedavosť. Tiež by to odradilo hackerov, ktorí manuálne skúmajú vaše stránky, a potenciálne ich rozčúli. Niektorí roboti môžu mať zavedené systémy, ktoré sa pokúšajú takéto veci odhaliť.

Ďalšou metódou na zníženie počtu falošných poplachov by bolo vyžadovať hlbšiu interakciu s medometom. Namiesto blokovania kohokoľvek, kto dokonca načíta stránku honeypotu, môžete zablokovať kohokoľvek, kto s ňou potom ďalej interaguje. Opäť ide o to, aby to vyzeralo legitímne, pričom to v skutočnosti nikam nevedie. Mať váš honeypot ako prihlasovací formulár na /admin je dobrý nápad, ak vás to nemôže v skutočnosti prihlásiť vôbec do ničoho. Po prihlásení sa do systému, ktorý vyzerá ako legitímny, ale v skutočnosti je len hlbšie do honeypotu, by bol skôr vysoko interakčným honeypotom.

Záver

Honeypot je pasca. Je navrhnutý tak, aby vyzeral, že by mohol byť užitočný pre hackerov, zatiaľ čo v skutočnosti je zbytočný. Základné systémy len blokujú IP adresu každého, kto interaguje s honeypotom. Na vedenie hackera možno použiť pokročilejšie techniky, potenciálne na dlhé časové obdobie. Prvý sa zvyčajne používa ako bezpečnostný nástroj. Ten je skôr bezpečnostným výskumným nástrojom, pretože môže poskytnúť prehľad o technikách útočníka. Je potrebné dbať na to, aby sa legitímnym používateľom zabránilo v interakcii s honeypotom. Takéto akcie by viedli buď k zablokovaniu legitímneho používateľa, alebo by zmarili zhromažďovanie údajov. Honeypot by teda nemal súvisieť so skutočnou funkčnosťou, ale mal by byť lokalizovateľný s určitým základným úsilím.

Honeypot môže byť aj zariadenie nasadené v sieti. V tomto scenári je to oddelené od všetkých legitímnych funkcií. Opäť by bol navrhnutý tak, aby vyzeral, že má zaujímavé alebo citlivé údaje pre niekoho, kto skenuje sieť, ale žiadny legitímny používateľ by sa s tým nemal nikdy stretnúť. Preto si každý, kto interaguje s honeypotom, zaslúži recenziu.