Miód dla mas

Systemy-przynęty, zwane eufemistycznie honeypots, wychodzą z laboratoriów i dołączą wkrótce do standardowych systemów zabezpieczeń.

Stopień emulowania poszczególnych usług sieciowych można regulować. Przykładowo, w odniesieniu do FTP możemy zezwolić na anonimowe logowanie, a nawet pobranie pliku z hasłami użytkowników!

Ale bez obawy - usługi oferowane przez Specter są w pełni wirtualne, a rzeczony plik jest oczywiście fałszywy. Intruz nie może przejąć kontroli nad systemem. W przypadku SMTP możemy emulować dobrze zabezpieczony system pocztowy lub np. taki, który zachowuje się jak tzw. open relay - serwer pocztowy umożliwiający wysyłanie poczty osobom nie posiadającym w nim kont, co pozwala namierzyć użytkowników poszukujących w sieci serwerów w celu rozsyłania spamu.

Oprogramowanie Specter można też skonfigurować w taki sposób, by emulowało serwisy charakterystyczne dla wskazanego systemu operacyjnego. Przykładowo, gdy wybierzemy Windows, emulowany przez Specter serwer WWW przedstawi się jako IIS, gdy zaś wskażemy Linuxa, na porcie 80 pojawi się Apache. Specter potrafi emulować serwisy aż czternastu systemów operacyjnych.

Interesującą częścią pakietu Specter są funkcje pozwalające zdobyć więcej informacji o zdalnym komputerze. Oprócz zarejestrowania adresu IP honeypot może skanować jego porty, skorzystać z usługi identyfikacyjnej finger lub nawet próbować prześledzić dokładnie całą ścieżkę routingu do atakującego (traceroute). Wszystkie te informacje mogą okazać się później przydatne do namierzania sprawcy. Funkcji śledzenia atakującego należy jednak używać z rozwagą, gdyż intruz może zorientować się, że jest obserwowany, i przedwcześnie rozłączyć się bądź próbować zacierać ślady. Do wywołania alarmu i poinformowania administratora wystarczy już fakt próby nawiązania połączenia z otwartym przez Specter portem.

Czas, jaki upływa od momentu rozpoczęcia ataku do momentu, kiedy informacja o tym dotrze do administratora, jest niezmiernie istotny - im jest krótszy, tym większe szanse na skuteczne powstrzymanie intruza i jego namierzenie. Specter oferuje wszystkie niezbędne udogodnienia. Oprócz standardowych logów tworzonych na lokalnym komputerze, mogą one być wysyłane na zdalny komputer za pomocą usługi syslogd. System generuje też komunikaty w formie wiadomości e-mail lub SMS.

Szybkie dojrzewanie

Specter nie jest narzędziem doskonałym. Jego głównym mankamentem jest możliwość obsłużenia do 14 najczęściej wykorzystywanych portów TCP/IP. Jeżeli więc intruz będzie szukał luk w usługach, które wykorzystują inne porty lub mniej popularne protokoły, Specter nie będzie w stanie wykryć takiego działania. Drugim istotnym mankamentem jest to, że potrafi działać tylko na prawdziwym adresie IP komputera, na którym jest uruchomiony. Oznacza to, że jeśli intruz nie połączy się z honeypotem, administrator nie otrzyma żadnych informacji o tym, że w sieci dzieje się coś złego.

Choć Specter może emulować serwisy wielu systemów operacyjnych, przynajmniej na razie nie potrafi jednak odwzorować charakterystycznego dla każdego z nich działania stosu TCP/IP. Intruz, znający niuanse poszczególnych implementacji, będzie więc w stanie zorientować się, że ma do czynienia z pułapką. Z zadaniem tym poradzą sobie zresztą także narzędzia do zdalnej detekcji systemu operacyjnego, np. pakiet Nmap dostępny na zasadach open source.

Ze względu na łatwość obsługi Specter jest na pewno atrakcyjną alternatywą dla drogich i wymagających stałego nadzoru systemów IDS. Zainstalowany wewnątrz sieci firmy wykryje próbę włamania, zawiadomi administratora i zbierze najważniejsze informacje o intruzie. Stanowi więc znakomite uzupełnienie istniejących w firmie systemów ochrony, takich jak systemy zaporowe, w razie gdyby nie spełniły one swojego zadania.

Specter 7 http://www.specter.com
Cena: 599 USD - wersja Light (okrojona) lub 899 USD - wersja pełna