Securitate

Honeypots și Honeynets

Honeypots și Honeynets
O parte din activitatea specialiștilor IT în securitate este de a afla despre tipurile de atacuri sau tehnicile utilizate de hackeri prin colectarea, de asemenea, a informațiilor pentru analize ulterioare, în scopul evaluării caracteristicilor încercărilor de atac. Uneori, această colectare de informații se face printr-o momeală sau prin momeli concepute pentru a înregistra activitate suspectă a potențialilor atacatori care acționează fără să știe că activitatea lor este monitorizată. În securitatea IT aceste momeli sau momeli se numesc Honeypots.

Un pot de miere poate fi o aplicație care simulează o țintă care este într-adevăr un înregistrator al activității atacatorilor. Mai multe Honeypots care simulează mai multe servicii, dispozitive și aplicații legate de acestea sunt denumite Honeynets.

Honeypots și Honeynets nu stochează informații sensibile, ci stochează informații atractive false pentru atacatori pentru a-i interesa pe Honeypots, Honeynets, cu alte cuvinte vorbim despre capcanele hackerilor concepute pentru a-și învăța tehnicile de atac.

Honeypots ne raportează două tipuri de avantaje: mai întâi ne ajută să învățăm atacuri pentru a ne securiza ulterior dispozitivul de producție sau rețeaua în mod corespunzător. În al doilea rând, păstrând hotspoturile care simulează vulnerabilitățile lângă dispozitivele de producție sau rețeaua, păstrăm atenția hackerilor în afara dispozitivelor securizate, deoarece acestea vor găsi mai atractive hotspoturile simulând găurile de securitate pe care le pot exploata.

Există diferite tipuri de Honeypots:

Honeypots de producție:

Acest tip de melase este instalat într-o rețea de producție pentru a colecta informații despre tehnicile utilizate pentru a ataca sistemele din cadrul infrastructurii.  Acest tip de Honeypots oferă o mare varietate de posibilități, de la locația honeypotului într-un anumit segment de rețea, pentru a detecta încercările interne ale utilizatorilor legitimi de rețea de a accesa resurse nepermise sau interzise la o clonă a unui site web sau serviciu, identic cu original ca momeală. Cea mai mare problemă a acestui tip de melodii este de a permite traficul rău intenționat între unul legitim.

Crăciunuri de dezvoltare:

Acest tip de melase este conceput pentru a colecta cât mai multe informații cu privire la tendințele de hacking, țintele dorite de atacatori și originile atacurilor. Aceste informații sunt ulterior analizate pentru procesul decizional privind implementarea măsurilor de securitate.

Principalul avantaj al acestui tip de vase de miere este că, spre deosebire de producția de vase de producție, vase de miere sunt situate într-o rețea independentă, dedicată cercetării, acest sistem vulnerabil este separat de mediul de producție, împiedicând un atac din vase de miere. Principalul său dezavantaj este cantitatea de resurse necesare pentru implementarea acestuia.

Există o subcategorie de 3 sau o clasificare diferită a vaselor de miere definită de interacțiunea pe care o are cu atacatorii.

Honeypots cu interacțiune redusă:

Un Honeypot emulează un serviciu, o aplicație sau un sistem vulnerabil.  Acest lucru este foarte ușor de configurat, dar este limitat la colectarea informațiilor, câteva exemple ale acestui tip de vase de miere sunt:

Capcană cu miere: este conceput pentru a observa atacurile împotriva serviciilor de rețea, spre deosebire de alte poturi de miere care se concentrează pe capturarea malware-urilor, acest tip de poturi de miere este conceput pentru a captura exploatări.

Nephentes: emulează vulnerabilitățile cunoscute pentru a colecta informații despre posibile atacuri, este conceput pentru a emula vulnerabilitățile exploatării viermilor de propagat, apoi Nephentes captează codul lor pentru o analiză ulterioară.

HoneyC: identifică serverele web rău intenționate din rețea prin emularea diferiților clienți și colectarea răspunsurilor serverului atunci când răspunde la cereri.

HoneyD: este un daemon care creează gazde virtuale într-o rețea care poate fi configurată pentru a rula servicii arbitrare simulând executarea în sisteme de operare diferite.

Glastopf: emulează mii de vulnerabilități concepute pentru a colecta informații despre atacuri împotriva aplicațiilor web. Este ușor de configurat și, odată indexat de motoarele de căutare, devine o țintă atractivă pentru hackeri.

Miere de interacțiune medie:

Aceste tipuri de vase de miere sunt mai puțin interactive decât precedentele, fără a permite interacțiunea la nivel pe care o permit vase mari de miere. Unele Honeypots de acest tip sunt:

Kippo: este un ssh honeypot folosit pentru a înregistra atacuri de forță brută împotriva sistemelor Unix și a înregistra activitatea hackerului dacă a fost obținut accesul. A fost întrerupt și înlocuit cu Cowrie.

Cowrie: un alt ssh și telnet honeypot care înregistrează atacuri de forță brută și interacțiunea cu hackeri. Emulează un sistem de operare Unix și funcționează ca proxy pentru a înregistra activitatea atacatorului.

Sticky_elephant: este un honeypot PostgreSQL.

Viespe: O versiune îmbunătățită a honeypot-wasp cu solicitări de acreditări false concepute pentru site-urile web cu pagină de conectare cu acces public pentru administratori, cum ar fi / wp-admin pentru site-urile wordpress.

Honeypots cu interacțiune ridicată:

În acest scenariu Honeypots nu sunt concepute doar pentru a colecta informații, este o aplicație concepută pentru a interacționa cu atacatorii în timp ce înregistrează în mod exhaustiv activitatea de interacțiune, simulează o țintă capabilă să ofere toate răspunsurile pe care atacatorul le poate aștepta, unele melase de acest tip sunt:

Sebek: funcționează ca un HIDS (Sistem de detectare a intruziunilor bazat pe gazdă) care permite capturarea informațiilor despre activitatea sistemului. Acesta este un instrument client-server capabil să implementeze melodii pe Linux, Unix și Windows care captează și trimit informațiile colectate către server.

HoneyBow: poate fi integrat cu melodii cu interacțiune redusă pentru a crește colectarea informațiilor.

HI-HAT (Trusă de instrumente de analiză Honeypot High Interaction): convertește fișierele php în melodii cu interacțiune ridicată cu o interfață web disponibilă pentru a monitoriza informațiile.

Capture-HPC: similar cu HoneyC, identifică serverele rău intenționate interacționând cu aceștia ca clienți utilizând o mașină virtuală dedicată și înregistrând modificări neautorizate.

Dacă sunteți interesat de Honeypots, probabil IDS (Intrusion Detection Systems) poate fi interesant pentru dvs., la LinuxHint avem câteva tutoriale interesante despre ele:

Sper că ți s-a părut util acest articol despre Honeypots și Honeynets. Continuați să urmăriți LinuxHint pentru mai multe sfaturi și actualizări despre Linux și securitate.

Control & manage mouse movement between multiple monitors in Windows 10
Dual Display Mouse Manager lets you control & configure mouse movement between multiple monitors, by slowing down its movements near the border. Windo...
WinMouse lets you customize & improve mouse pointer movement on Windows PC
If you want to improve the default functions of your mouse pointer use freeware WinMouse. It adds more features to help you get the most out of your h...
Mouse left-click button not working on Windows 10
If you are using a dedicated mouse with your laptop, or desktop computer but the mouse left-click button is not working on Windows 10/8/7 for some rea...