Pułapki wciąż skuteczne
-
- 04.09.2007
Pułapka jako narzędzie analityczne
Wiele stron uznawanych za bezpieczne może zawierać mechanizmy umożliwiające ataki na niektóre programy klienckie zawierające luki. Z drugiej strony, względnie proste, ale coraz bardziej lekceważone i krytykowane przez specjalistów ds. bezpieczeństwa metody zabezpieczeń, takie jak czarne listy adresów URL, w praktyce okazują się zadziwiająco skuteczne do obrony urządzeń klienckich.
Jednocześnie można zaobserwować, że hakerzy coraz bardziej koncentrują swoje wysiłki na atakowaniu komputerów klienckich, co jest łatwiejsze i daje lepsze efekty niż przełamywanie coraz bardziej zaawansowanych firmowych programów antywirusowych, zapór firewall i skomplikowanych systemów zabezpieczeń. Takie są podstawowe wnioski z badań wykorzystujących klienckie pułapki honeypots, a opublikowanych przez Honeynet Project, organizację skupiającą specjalistów z USA, Niemiec i Nowej Zelandii. Raport "Know Your Enemy: Malicious Web Servers" można znaleźć pod adresemhttp://www.honeynet.org. Badania zostały przeprowadzone przy wykorzystaniu interaktywnej pułapki klienckiej - Capture-HPC (dostępna jako open source) opracowanej na Victoria University of Wellington i objęły ponad 300 000 adresów URL oraz ok. 150 000 serwerów. Praktycznie wśród wszystkich badanych kategorii stron pojawiały się zawierające wrogie kody. Choć poziom zagrożeń jest różny, ale oznacza to, że nawet użytkownicy ostrożni i przestrzegający zasad bezpieczeństwa nie mogą czuć się całkowicie pewni. Nie są to oryginalne wnioski i potwierdzają tylko dobrze znane opinie ekspertów.
Bardziej interesujące mogą być analizy mechanizmów zabezpieczeń, z których wynika, że czarne listy adresów URL to bardzo skuteczne narzędzie, jeśli tylko są regularnie aktualizowane. Na zwiększenie poziomu bezpieczeństwa duży wpływ ma też dbałość o instalację publikowanych przez producentów poprawek oprogramowania. Ciekawym wnioskiem jest zwrócenie uwagi, że dotyczy to nie tylko standardowych programów, jak system lub przeglądarka internetowa, ale również wielu innych aplikacji, o których aktualizacji większość użytkowników w ogóle nie myśli, jak np. popularny Winzip.
Honeyd jest jednym z najlepszych dostępnych narzędzi typu honeypot, jak uważa Roger Grimes. Program ten w wersji dla Unix/Linux opracował Niels Provos. Ostatnio pojawiła się jego wersja dla Windows – Honeyd for Windows, udostępniona przez Jespera Jurcenoksa współzałożyciela fi rmy netVigilance, eliminująca większość problemów i niedogodności, którą miała wersja poprzednia niedziałająca m.in. pod kontrolą XP lubVista. Bezpłatny Honeyd for Windows jest wyposażony tylko w linię poleceń. Dodatkowo można jednak zakupić komercyjny program zawierający interfejs grafi czny oraz zestaw narzędzi ułatwiających konfigurację i zarządzanie Honeyd for Windows (jego cena to 99 USD).
www.netvigilance.com/winhoneyd
CaptureBAT to bezpłatny program narzędziowy rozszerzający funkcjonalność standardowych pułapek honeypot o możliwość analizy plików i rejestrów systemów Win32 (łącznie z Vista).
www.nz-honeynet.org/capture-standalone.html
Capture-HPC to kliencka wersja honeypot.
www.nz-honeynet.org/capture.html
HoneyClient to klienckie narzędzie działające w środowisku zwirtualizowanym, opracowane przez Kathy Wang w ramach tzw. projektu Mitre.
Nepenthes to narzędzie do emulacji luk w usługach sieciowych opracowane i wykorzystywane przez Honeynet Project, a także niemiecki uniwersytet w Aachen oraz niektórych dostawców usług internetowych.
Autorzy
Wiesław Pawłowicz Computerworld
Absolwent wydziału Fizyki UW. Po kilkunastu latach pracy w Instytucie Fizyki Plazmy w Warszawie oraz Instytucie Problemów Jądrowych w Świerku, od 1992 roku pracuje w IDG Poland na różnych stanowiskach, obecnie jako redaktor w Computerworld. Główny obszar zainteresowań dotyczy technologii IT.
Więcej: Wiesław Pawłowicz
