Honeypot - słodka przynęta dla hakerów

Honeypot (dosł. garnek miodu) jest angielskim określeniem, które w żargonie szpiegowskim oznacza pułapkę. Ostatnio weszło ono do słownika informatycznego jako określenie serwerów, urządzeń sieciowych i oprogramowania symulującego słabo zabezpieczoną sieć komputerową.

Honeypot (dosł. garnek miodu) jest angielskim określeniem, które w żargonie szpiegowskim oznacza pułapkę. Ostatnio weszło ono do słownika informatycznego jako określenie serwerów, urządzeń sieciowych i oprogramowania symulującego słabo zabezpieczoną sieć komputerową.

Celem stosowania honeypot jest zmylenie hakerów, identyfikacja źródeł ataków i ułatwienie przeciwdziałania. Koncepcja takiego rozwiązania polega na utworzeniu serwera i elementów sieciowych, które zawierają luki umożliwiające włamanie, a w przypadku jego wystąpienia generują niewidoczny dla włamywacza alarm, pozwalający administratorowi na blokadę dostępu z odpowiednich adresów IP, rejestrację działań hakera, podjęcie próby jego identyfikacji.

Dwa podstawowe typy honeypot to: rozwiązanie sprzętowe oraz symulacja programowa. W pierwszym przypadku wykorzystywane są rzeczywiste serwery, przełączniki i routery wyposażone w odpowiednio zmodyfikowane systemy operacyjne, uniemożliwiające hakerom ich wykorzystanie np. do dalszych ataków na inne komputery. Powinny być fizycznie odizolowane od sieci firmowej.

Natomiast pułapki programowe to odpowiednio spreparowane systemy Linux, Windows lub Unix, które uniemożliwiają przejęcie przez hakera kontroli nad sprzętem lub uzyskanie dostępu do firmowej sieci, lecz rejestrują działania włamywacza.

Lance Spitzer, konsultant ds. bezpieczeństwa w Sun Microsystems, przestrzega, że honeypot mogą jedynie pełnić rolę pomocniczą i nie zastąpią dobrze skonfigurowanych zabezpieczeń sieci. Doświadczony i zdolny haker jest bowiem w stanie przejąć kontrolę nad pułapką. Dobrym zabezpieczeniem jest więc zapisanie jądra systemu na niemożliwym do modyfikowania nośniku lub wprowadzenie funkcji automatycznego restartu systemu w przypadku wykrycia prób jego modyfikowania.

Spitzer wraz z 30 innymi specjalistami utworzył sieć pułapek - HoneyNet - która na stałe jest podłączona do Internetu. Składa się z wielu prawdziwych serwerów i systemów sieciowych Windows, Solaris, Linux oraz urządzeń sieciowych (m.in. przełączników Cisco). HoneyNet służy do analizowania metod ataków, zachowań hakerów i wykrywania słabych lub najczęściej wykorzystywanych podczas włamań "furtek" w stosowanych powszechnie systemach. Jak wynika z tych badań, najłatwiejszym celem dla hakerów są serwery Linux. Na przejęcie kontroli nad nimi hakerzy potrzebują średnio 72 godzin, a następnie próbują zazwyczaj przeskanować ponad 500 innych systemów w ciągu kolejnych 4 godzin. Sieć HoneyNet jest wyposażona w zapory uniemożliwiające jej wykorzystanie do ataków na prawdziwe komputery i sieci w Internecie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200