haker.info | Etyczny hacking |

haker.info  — Etyczny hacking

 Idea „beczułek z miodem” (ang. honeypot)

05 października 2019 godz. 20:36    Dawid Farbaniec    510 słów

1. Słowem wstępu

biór metod określanych jako honeypot (z ang. beczułka z miodem) jest znany od dość dawna. Nie są one powiązane ściśle z określoną technologią, dlatego honeypot należy rozumieć jako: idea, filozofia, mechanizm działania czy metoda działania. W prostych słowach jest to pewien zasób cyfrowy, który służy jako przynęta. Może to być na przykład: urządzenie w sieci, moduł witryny internetowej, usługa sieciowa i tym podobne. Taki zasób-przynęta jest celowo wystawiany na ataki hakerskie i pozwala on zbierać wiele informacji np. czy jesteśmy atakowani, jakim narzędziem/metodą jesteśmy atakowani, co jest atakowane (cała sieć, konkretna usługa/maszyna?) czy nawet czym jest motywowany atak — co intruz chce uzyskać (zdobyć dane, uzyskać pełną kontrolę, wykonać paraliż?). W tym wpisie pragnę przedstawić trochę bliżej ideę honeypot.

2. Funkcjonalność honeypotów

Pułapki honeypot ze względu na „oferowaną” funkcjonalność można podzielić na dwie grupy:

  • niskiej interakcji (ang. low-interaction) — pojedyncze usługi (FTP, SSH...), określony plik, podstrona w aplikacji webowej, baza danych itp.
  • wysokiej interakcji (ang. high-interaction) — odizolowany serwer, rozbudowany moduł aplikacji webowej, wirtualny system operacyjny itp.

Zasoby niskiej interakcji są łatwiejsze w zarządzaniu i monitorowaniu, ale nie odwzorowują rozległego środowiska. Natomiast te wysokiej interakcji dają duże możliwości monitorowanego działania atakującemu, ale trudniej nimi zarządzać.

3. Zalety, ale też ryzyko stosowania

Zaletami stosowania pułapek honeypot są m.in.:

  • dość niskie koszty wdrożenia,
  • zbieranie informacji o atakującym,
  • możliwość wykrycia nowych zagrożeń,
  • i inne.

Zasób-pułapka zawsze powinien być odpowiednio odizolowany.

Nie można jednak całkowicie wykluczyć sytuacji wykrycia.
Atakujący wtedy orientuje się, że jest w piaskownicy (ang. sandbox), a nie na prawdziwym systemie.

Drugie poważniejsze ryzyko to przejęcie honeypot i użycie do ataku.
Szczególnie, gdy zasobem jest całe, funkcjonalne urządzenie/komputer.

4. Przykładowe scenariusze

4.1. Witryna internetowa

Aplikacje webowe mogą wystawiać na zewnątrz fałszywe panele, które udają funkcje służące do zarządzania. Monitoring wszelkich działań w takim panelu może dać informacje na temat atakującego. Zarejestrowanie czy atakujący chce jak najwięcej usunąć, dopisać coś czy umieścić malware podaje nieco informacji o motywie działania. Dokonane czynności pozwalają określić czy to zwykły wandalizm, propagowanie określonych treści, atak na wizerunek firmy czy atak na określoną osobę itp.

Honeypot w aplikacji webowej
Rysunek 4.1. Przykład honeypot w aplikacji webowej

4.2. Kolekcjoner wirusów

Możliwe jest stworzenie systemu, który będzie wyłapywać infekcje złośliwym oprogramowaniem. Cel może być różny m.in. zdobycie próbek nowego malware czy wykrycie infekcji w sieci.

Honeypot łapie nowe malware
Rysunek 4.2. Przykład honeypot postawionego do zbierania próbek nowego malware

4.3. Fałszywy wyciek bazy

Baza danych również może być zasobem-pułapką. Honeypot może celowo pozwolić np. na wstrzyknięcie kodu SQL, ale zwrócony wynik będzie fałszywy i niezwiązany z prawdziwymi danymi. Jako honeypot może działać też tylko jedno określone pole w bazie danych np. IsAdmin. Poprzez monitorowanie wartości tego nic nie znaczącego pola możliwe jest wykrycie czy ktoś modyfikuje bazę danych.

Honeypot jako baza danych
Rysunek 4.3. Przykład honeypot z celowo wystawionym SQL Injection

5. Zakończenie

Zasadzka typu honeypot daje ogromne możliwości. Dało się słyszeć o infekowaniu atakujących poprzez pułapki, tworzeniu fałszywych black marketów przez służby, robieniu sobie żartów z włamywaczy, którzy zdobywali śmieszne obrazki zamiast cennych, poufnych danych i wiele innych.

Dziękuję za czas poświęcony na przeczytanie tego wpisu.

Dawid Farbaniec


Tagi:  security  anti-malware  websecurity 

Komentarze czytających



Wszystkie treści umieszczone na tej witrynie są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie opublikowane tutaj treści (w tym kody źródłowe i inne) służą wyłącznie celom informacyjnym oraz edukacyjnym. Właściciele tej witryny nie ponoszą odpowiedzialności za ewentualne niezgodne z prawem wykorzystanie zasobów dostępnych w witrynie. Użytkownik tej witryny oświadcza, że z zamieszczonych tutaj danych korzysta na własną odpowiedzialność. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Korzystając z zasobów witryny haker.info oświadczasz, że akceptujesz powyższe warunki.