Cosè un Honeypot?

Se colleghi un computer a Internet aperto senza alcun tipo di filtro del traffico in entrata, in genere inizierà a ricevere il traffico di attacco in pochi minuti. Tale è la portata degli attacchi automatici e delle scansioni che avvengono costantemente su Internet. La stragrande maggioranza di questo tipo di traffico è completamente automatizzata. Sono solo robot che scansionano Internet e forse provano alcuni payload casuali per vedere se fanno qualcosa di interessante.

Naturalmente, se esegui un server Web o qualsiasi altra forma di server, devi connettere il tuo server a Internet. A seconda del tuo caso d'uso potresti essere in grado di utilizzare qualcosa come una VPN per consentire l'accesso solo agli utenti autorizzati. Se vuoi che il tuo server sia pubblicamente accessibile, tuttavia, devi essere connesso a Internet. Pertanto, il tuo server dovrà affrontare attacchi.

Potrebbe sembrare che tu debba semplicemente accettare questo come la norma per il corso. Per fortuna ci sono alcune cose che puoi fare.

Implementa un honeypot

Un honeypot è uno strumento progettato per attirare gli aggressori. Promette informazioni succose o vulnerabilità che potrebbero portare a informazioni ma è solo una trappola. Un honeypot è deliberatamente allestito per adescare un aggressore. Ci sono alcune varietà diverse a seconda di cosa vuoi fare.

Un honeypot ad alta interazione è avanzato. È molto complesso e offre molte cose per tenere occupato l'attaccante. Questi sono usati principalmente per la ricerca sulla sicurezza. Consentono al proprietario di vedere come agisce un utente malintenzionato in tempo reale. Questo può essere utilizzato per informare le difese attuali o anche future. L'obiettivo di un honeypot ad alta interazione è tenere occupato l'attaccante il più a lungo possibile e non rivelare il gioco. A tal fine, sono complessi da configurare e mantenere.

Un honeypot a bassa interazione è fondamentalmente una trappola posiziona e dimentica. In genere sono semplici e non progettati per essere utilizzati per ricerche o analisi approfondite. Invece, gli honeypot a bassa interazione hanno lo scopo di rilevare che qualcuno sta cercando di fare qualcosa che non dovrebbe e quindi bloccarlo completamente. Questo tipo di honeypot è facile da configurare e implementare, ma può essere più soggetto a falsi positivi se non pianificato con attenzione.

Un esempio di honeypot a bassa interazione

Se gestisci un sito Web, una funzionalità che potresti conoscere è robots.txt. Robots.txt è un file di testo che puoi inserire nella directory principale di un server web. Di norma, i bot, in particolare i crawler per i motori di ricerca, sanno controllare questo file. Puoi configurarlo con un elenco di pagine o directory che desideri o meno che un bot esegua la scansione e l'indicizzazione. I bot legittimi, come i crawler dei motori di ricerca, rispetteranno le istruzioni in questo file.

Il formato è in genere sulla falsariga di "puoi guardare queste pagine, ma non eseguire la scansione di nient'altro". A volte, però, i siti Web hanno molte pagine da consentire e solo poche vogliono impedire la scansione. Quindi prendono una scorciatoia e dicono "non guardare questo, ma puoi eseguire la scansione di qualsiasi altra cosa". La maggior parte degli hacker e dei bot vedranno "non guardare qui" e poi faranno l'esatto contrario. Quindi, invece di impedire la scansione della tua pagina di accesso amministratore da parte di Google, hai indirizzato gli aggressori direttamente su di essa.

Dato che questo è un comportamento noto, è abbastanza facile da manipolare. Se imposti un honeypot con un nome dall'aspetto sensibile e poi configuri il tuo file robots.txt in modo che dica "non guardare qui", molti bot e hacker faranno esattamente questo. È quindi abbastanza semplice registrare tutti gli indirizzi IP che interagiscono con l'honeypot in qualsiasi modo e semplicemente bloccarli tutti.

Evitare falsi positivi

In un buon numero di casi, questa sorta di honeypot nascosto può bloccare automaticamente il traffico proveniente da indirizzi IP che provocherebbero ulteriori attacchi. Tuttavia, è necessario prestare attenzione per garantire che gli utenti legittimi del sito non vadano mai all'honeypot. Un sistema automatizzato come questo non può distinguere tra un utente malintenzionato e un utente legittimo. Pertanto, è necessario assicurarsi che nessuna risorsa legittima si colleghi all'honeypot.

Potresti includere un commento nel file robots.txt indicando che la voce honeypot è un honeypot. Ciò dovrebbe dissuadere gli utenti legittimi dal tentare di saziare la loro curiosità. Dissuaderebbe anche gli hacker che stanno sondando manualmente il tuo sito e potenzialmente li irritano. Alcuni bot possono anche disporre di sistemi per cercare di rilevare questo genere di cose.

Un altro metodo per ridurre il numero di falsi positivi sarebbe richiedere un'interazione più approfondita con l'honeypot. Invece di bloccare chiunque carichi anche la pagina dell'honeypot, puoi bloccare chiunque interagisca ulteriormente con essa. Ancora una volta, l'idea è di farla sembrare legittima, mentre in realtà non porta da nessuna parte. Avere il tuo honeypot come modulo di accesso in /admin è una buona idea, purché non possa effettivamente accedere a nulla. Averlo quindi accedere a quello che sembra un sistema legittimo ma in realtà è solo più in profondità nell'honeypot sarebbe più un honeypot ad alta interazione.

Conclusione

Un vaso di miele è una trappola. È progettato per sembrare utile a un hacker, mentre in realtà è inutile. I sistemi di base bloccano semplicemente l'indirizzo IP di chiunque interagisca con l'honeypot. Tecniche più avanzate possono essere utilizzate per guidare l'hacker, potenzialmente per un lungo periodo di tempo. Il primo è tipicamente utilizzato come strumento di sicurezza. Quest'ultimo è più uno strumento di ricerca sulla sicurezza in quanto può fornire informazioni sulle tecniche dell'attaccante. È necessario prestare attenzione per impedire agli utenti legittimi di interagire con l'honeypot. Tali azioni porterebbero al blocco dell'utente legittimo o confonderebbero la raccolta dei dati. Pertanto l'honeypot non dovrebbe essere correlato alla funzionalità effettiva ma dovrebbe essere individuabile con uno sforzo di base.

Un honeypot può anche essere un dispositivo distribuito su una rete. In questo scenario, è separato da tutte le funzionalità legittime. Ancora una volta, sarebbe progettato per sembrare che contenga dati interessanti o sensibili a qualcuno che scansiona la rete, ma nessun utente legittimo dovrebbe mai incontrarli. Pertanto, chiunque interagisca con l'honeypot è degno di revisione.