Il termine deriva dal personaggio dei cartoni Winnie The Pooh, orso goloso di miele.
Tramite queste trappole è possibile individuare attaccanti entrati in una rete LAN, in un NAS o in un server interno. Questi servizi notoriamente vengono bucati per spionaggio industriale o comunque per carpire informazioni sensibili. Gli HoneyPot simulano la presenza d'informazioni sensibili quindi molto interessanti per chi è intento a bucare workstation e permettono al responsabile IT di monitorare, tramite allarmi, il comportamento di Botnet e attaccanti, analizzando i log dei movimenti fatti.
Vengono utilizzati piccoli server, VPS, Raspberry o vecchi PC ancora funzionanti, contenenti files fasulli e/o insignificanti.
Perchè attirare Hacker nella propria rete? Per correggere eventuali debolezze e perchè no...per catturarli.
MACCHINE REALI E VIRTUALI
Sostanzialmente una macchina HoneyPot simula un server reale in una rete attirando l’attaccante attratto da dati riservati, password, account e informazioni utili per prendere il controllo dei sistemi informatici o ricattare il proprietario tramite Ransomware.
L'HoneyPot fa entrare di tutto dentro (svolgendo la funzione inversa di un firewall), controllando il traffico in uscita.
L’approccio delle HoneyPot fisiche permette di avere macchine reali (anche se datate e con files fasulli come detto), mentre per le esche virtuali (quindi creando PC tramite virtualizzazione) si possono simulare differenti tipologie di HoneyPot.
L’amministratore di sistema punta a ottenere dall’esca informazioni su come limitare i rischi della propria azienda verificando come le attuali Botnet (ad esempio) agiscano e scansionino gli IP esposti su internet.
Inoltre permettono di capire se un attacco è manuale o automatico (Bot o Malware).
D'altro canto però alcuni Malware riescono a capire di trovarsi in un ambiente "chiuso" (ad esempio una SandBox) disattivandosi, per questo motivo si cerca di rendere l'HoneyPot il più simile possibile ad un server reale.
HONEYPOT SERVER E CLIENT
Gli HoneyPot possono essere sia server (attirando gli Hacker in aree isolate del sistema o su PC vecchi presenti nella rete LAN) che client (imitano i servizi di un server: ad esempio un browser obsoleto che visita pagine compromesse).
Maggiore è l'interazione degli attaccanti con il sistema (HoneyPot reali contrapposti a quelli virtuali a bassa interazione) e maggiori saranno le possibilità di carpire informazioni importanti riguardo tecniche d'attacco e la protezione della propria rete.
HoneyPot fisici quindi reali (e ad alta interazione) comunque possono essere pericolosi in quanto potrebbero essere utilizzati realmente per scagliare attacchi in rete (o nella propria LAN), ecco perchè vanno sempre usati anche tool di monitoraggio.
Per approfondire: Strumenti di Monitoraggio e Software HoneyPot
HONEYPOT: UN FACILE ESEMPIO
Un classico esempio di HoneyPot è la cosiddetta cartella "civetta".
È una tecnica frequentemente usata per individuare gli attacchi Ransomware.
Si crea nel sistema una cartella contenente un certo numero di file (con le estensioni tipiche che i Ransomware criptano). La cartella verrà tenuta sotto controllo da un agent in grado di rilevare ogni interazione con i file in essa contenuti (quando avviene la criptazione).
Dal momento che questi file sono privi di importanza, qualsiasi interazione (per esempio una criptazione) verrà immediatamente segnalata come attacco.
Poiché, tipicamente, i Ransomware eseguono la criptazione procedendo cartella per cartella, si cerca di posizionare la cartella in una posizione tale da essere la prima colpita dall’attacco: per esempio dandole un nome che la ponga al primo posto nell’ordine alfabetico.
Nessun commento:
Posta un commento