Problematika počítačových útokov je čoraz aktuálnejšia. Preto je dôležité, aby odborníci z oblasti počítačovej bezpečnosti držali krok s útočníkmi. Jedným zo spôsobov, ako tento cieľ dosiahnuť, je použiť honeypoty.
Honeypot je bezpečnostný prostriedok, ktorého hodnota spočíva v nechaní sa preskúmať, napadnúť alebo kompromitovať. Inými slovami – je to lákavý, jednoduchý cieľ pre útočníka. Úlohou honeypotu je nalákať záškodníka a získať o ňom čo najviac informácií. Honeypot môžeme prirovnať k mäsožravej rastline, ktorá sa javí ako ľahko dostupný zdroj nektáru pre hmyz, ale pritom je to sofistikovaná pasca, ktorá nalákaný hmyz polapí. V technickom ponímaní je honeypot server, či už fyzický alebo virtuálny, ktorý napodobňuje jeden systém iným, t. j. emuluje nejakú službu, napríklad HTTP, čo je webový server. Koncept honeypotov nie je nový a v oblasti ochrany informácií a sieťovej ochrany sa implicitne použil už v roku 1990, len mal iné názvy, napríklad (chroot) jail.
Odlákať pozornosť
Poslaním honeypotu je buď odlákanie pozornosti útočníka od skutočného cieľa, alebo získanie informácií o útočníkovi a o vzoroch útoku, ako aj o skupine populárnych cieľov a o frekvencii request-response.
Skutočným cieľom pre útočníkov sú produkčné servery, ktoré obsahujú dôverné a cenné informácie, ako sú napríklad čísla kreditných kariet zákazníkov. Práve získanie informácií o útočníkovi a útoku je veľmi cenné. Na ich základe je možné stanoviť trendy, čiže aké exploity a techniky sa usilujú útočníci využiť. Vďaka trendom, ktoré dominujú v aktuálnom období, sa dokážu bezpečnostné tímy lepšie pripraviť na obranu. Napriek tomu, že honeypoty existujú už pomerne dlho, využívajú sa len v minimálnej miere. Je to preto, lebo honeypoty sa nevnímajú ako detekčný mechanizmus, ale skôr ako výskumný prostriedok, ktorého cieľom je zachytiť najnovšie útoky a exploity. Práve tento cieľ zachytenia najnovších útokov sa považuje za potenciálne nebezpečný, keďže dopredu nepoznáme, aké dôsledky môžu mať útoky. Aj v prípade využitia honeypotu na detekciu útočníka vo vnútornej sieti sa alarm generuje len v prípade zachytenia útoku. Takáto činnosť je však veľmi zriedkavá, a tak sa honeypot javí ako nefunkčný, pretože sa nič nedeje. Z tohto hľadiska nie sú honeypoty marketingovo atraktívne, preto sa lepšie predávajú iné detekčné mechanizmy ako IDS (Intrusion Detection System), ktoré môžeme prirovnať k bezpečnostnému systému nainštalovanému na dome. Hoci ich metódy sú rôzne, oboje detegujú prítomnosť útočníka alebo zlodeja a oboje následne niekomu vyšlú varovný signál či výstrahu.
Získavanie informácií
Najčastejšie sa honeypoty zavesujú priamo do internetu, čo znamená, že honeypotu sa pridelí verejná IP adresa. Takto sa stanú verejne prístupné a do niekoľkých hodín sa už aj objavia. Je to preto, lebo adresný priestor internetu ustavične skenujú mnohé automatizované nástroje, takzvané boty. Takto sa majú získavať podrobné informácie o aktivite útočníka. Vo všeobecnosti by sa táto aktivita dala generalizovať do niekoľkých krokov, ktoré sa môžu cyklicky opakovať. Prvým je objavenie zariadenia a identifikácia služieb, ktoré na ňom bežia. Táto činnosť je v drvivej väčšine automatizovaná, ako aj jednoduché hádanie prihlasovacích údajov. Druhý krok je, že útočník nájde a využije nejakú zraniteľnosť, ktorú väčšinou vykonáva manuálne. Toto je pre zber dát zaujímavé, ako aj následná postexploitačná činnosť útočníka. Príkladom takejto činnosť je prenos rôznych súborov, často so škodlivým obsahom.
Ak chcete mať prístup aj k exkluzívnemu obsahu pre predplatiteľov alebo si objednať tlačenú verziu časopisu Quark, prihláste sa alebo zaregistrujte.
Kamil Bekeč
Foto Fotky&Foto