Honeypots - pułapki na hakerów są wykorzystywane głównie przez specjalistów analizujących zagrożenia, ale mogą być efektywnym narzędziem wspomagającym systemy bezpieczeństwa w firmach.

Każda firma powinna mieć uruchomiony przynajmniej jeden honeypot. Nie po to by studiować techniki hakerskie, ale by wykorzystać ten system jako ważny i efektywny mechanizm wczesnego ostrzegania - uważa Roger Grimes z amerykańskiego czasopisma InfoWorld. "Zawsze mnie zastanawiało, dlaczego honeypots nie mają tak szerokiego zastosowania i takiego uznania wśród specjalistów ds. bezpieczeństwa, na jakie zasługują" - dodaje.

Technika pułapek honeypots jest znana od lat i powszechnie wykorzystywana przez producentów oprogramowania do zabezpieczania systemów IT w celu wykrywania nowych, pojawiających się w Internecie zagrożeń. Dzięki temu szybciej uaktualniane są ich aplikacje. Przedstawiciele producentów niezbyt chętnie mówią jednak na ten temat. Bo z jednej strony reklama takich zastosowań honeypots mogłaby zaszkodzić ich skuteczności, a z drugiej nie do końca jasne i dobrze sprecyzowane są zasady ich legalnego stosowania, zwłaszcza w USA. "Zanim zainstalujesz honeypot, przeprowadź konsultacje z prawnikiem" - mówi Niels Provos, inżynier z Google, a na pytanie czy Google stosuje tego typu mechanizmy, uchyla się od odpowiedzi.

Serwerowe i klienckie wersje honeypot

Pułapki honeypots to w skrócie systemy udające fizyczny (lub wirtualny) komputer wyposażony w systemy i zasoby, które potencjalnie mogą być interesujące dla hakerów, ale w rzeczywistości odizolowany od systemów produkcyjnych i zawierający mechanizmy detekcji modyfikacji plików, rejestrów, danych itp., które są z reguły wprowadzane przez wrogie kody oraz szybkiego powiadamiania administratorów systemu IT o wykryciu tego typu akcji. Tak w ogólności działają serwerowe pułapki honeypots. Inną rolę pełnią pułapki klienckie - programy przeznaczone do wykrywania i analizowania ataków realizowanych przez wrogie kody umieszczone na serwerach webowych.

Instalacja fizycznego serwera z honeypot jest dość prosta. Wystarczy wykorzystać jakiś stary, przeznaczony do likwidacji komputer, podłączyć go do sieci w taki sposób, by był łatwy do zauważenia i zwracał uwagę potencjalnych intruzów, a następnie wyposażyć go w mechanizm powiadamiania o wszelkich próbach uzyskania dostępu do jego zasobów. Ponieważ komputer ten nie pełni żadnej praktycznej funkcji w systemie, użytkownicy lub aplikacje nie mają potrzeby korzystania z jego zasobów. Po wyeliminowaniu alarmów wynikających z działania w sieci standardowych narzędzi i programów, tak zbudowana pułapka może być bardzo skutecznym i szybkim sposobem wykrywania nieznanych ataków.

Na rynku jest dostępnych przynajmniej kilkanaście programów do obsługi pułapek. Interesujące, że są to przede wszystkim bezpłatne programy typu open source, aplikacji komercyjnych jest stosunkowo niewiele. Jak ocenia Michael Davis, dyrektor firmy konsultingowej Savid Technologies, zaledwie ok. 5% wdrożeń pułapek honeypots wykorzystuje oprogramowanie komercyjne.

Niektóre firmy, jak np. Symantec, stwierdziły, że nie warto się zajmować sprzedażą honeypots, bo popyt na takie rozwiązania jest zbyt mały. Ale ostatnio to się zmienia i takie firmy jak m.in. Arbor i McAfee wprowadziły do oferty usługi wynajmowania pułapek honeypot. Najnowsza wersja pułapek to wirtualne systemy honeypot wykorzystujące nie dedykowane komputery, a aplikacje pracujące pod kontrolą oprogramowania do wirtualizacji takiego jak VMware. W porównaniu z rozwiązaniami klasycznymi główną zaletą wirtualnej pułapki jest łatwość zdalnego zarządzania jej funkcjami. Z punktu widzenia sieci wirtualny honeypot wygląda jak fizyczny serwer.

Koszty to przede wszystkim zarządzanie

Jednym z hamulców popularyzacji honeypots mogą być koszty, choć sama instalacja i wdrożenie pułapki serwerowej jest łatwe i tanie, jej użyteczność jest wysoka tylko wtedy, gdy informacje dostarczane przez honeypot są odpowiednio wykorzystywane. Oznacza to, że koszty - związane prawie wyłącznie z koniecznością analizowania i obsługi takiego systemu - mogą być wysokie. Dlatego też w praktyce wykorzystywane są dwa rodzaje serwerowych pułapek honeypots - o niskim poziomie interakcji (low-interaction honeypot), które zwykle udostępniają tylko niektóre wybrane przez administratora usługi sieciowe lub systemy w pełni interaktywne (high-interaction honeypot), czyli serwery wyposażone w kompletny system operacyjny.

Do wspomagania firmowego systemu zabezpieczeń w większości wypadków wystarcza zastosowanie specjalizowanego low-interaction honeypot uruchomionego w dedykowanym fizycznym serwerze lub systemie wirtualnym. "Taki honeypot w dużej sieci może być bardzo przydatny, jeśli tylko użytkownik dobrze zdefiniuje, jakie usługi mają dla niego największe znaczenie i jakie dane są mu potrzebne" - mówi Michael Davis.

Należy też zdawać sobie sprawę, że mechanizmy honeypot nie zawsze są skuteczne, bo hakerzy starają się lokalizować takie pułapki i unikać atakowania serwerów honeypot. Z jednej strony w Internecie funkcjonują i są wykorzystywane listy wirusów, adresów URL, pod którymi znajdują się wrogie kody lub domen generujących spam, a z drugiej listy z adresami pułapek. Ale tak jak autorzy aplikacji zabezpieczających systemy nie mogą sobie dać rady z ciągle ewoluującymi i zmieniającymi się zagrożeniami, hakerzy również nie mają idealnych mechanizmów umożliwiających uniknięcia pułapek.