Vaso di miele

Nel gergo della sicurezza informatica , un honeypot (in francese, letteralmente "  vaso di miele  ", e in senso figurato "  lure  ") è un metodo di difesa attivo che consiste nell'attrarre risorse ( server , programma , servizio), dichiarati o potenziali avversari al fine di identificarli e possibilmente neutralizzarli.

Il termine originariamente si riferisce a dispositivi informatici appositamente progettati per attivare attacchi informatici. Il suo utilizzo si è diffuso alle tecniche relative all'ingegneria sociale e all'intelligenza umana .

Principi di funzionamento

Lo scopo di questa esca è far credere all'intruso di poter prendere il controllo di una vera macchina di produzione, che consentirà all'amministratore di osservare i mezzi di compromissione degli aggressori, per proteggersi da nuovi attacchi e dargli così più tempo per reagire .

L'uso corretto di un barattolo di miele si basa essenzialmente sulla risoluzione e sul confronto di tre problemi:

• La sorveglianza;
• raccolta di informazioni;
• analisi delle informazioni.

Monitoraggio

Si deve presumere che qualsiasi informazione che circola sulla rete sia che sia o meno destinata all'honeypot sia importante. Pertanto, il monitoraggio deve essere assolutamente costante e deve coprire sia il livello locale che quello remoto. Questo monitoraggio costante si basa su:

• analisi del traffico di rete;
• analisi pre-compromesso;
• registrazione degli eventi.

Raccolta di informazioni

La raccolta di informazioni è resa possibile da strumenti chiamati sniffer che studiano i pacchetti sulla rete e memorizzano gli eventi in database . Le informazioni grezze possono anche essere raccolte utilizzando analizzatori di frame.

Analisi delle informazioni

È grazie all'analisi delle informazioni raccolte che potremo scoprire i guasti della rete da proteggere e le motivazioni degli aggressori.

Diversi tipi di vasetto di miele

Esistono due tipi di honeypot che hanno scopi e funzioni distinti:

• honeypot a bassa interazione;
• honeypot ad alta interazione.

Barattoli di miele a bassa interazione

Sono i più semplici della famiglia honeypot. Il loro obiettivo è raccogliere quante più informazioni possibili limitando i rischi offrendo un minimo di privilegi agli aggressori.

Ad esempio, il comando netcat può essere inserito in questa categoria. Netcat può ascoltare su una particolare porta e registrare tutte le connessioni e i comandi immessi. Questo programma permette di scrivere su un file tutti i comandi inseriti dagli aggressori. Tuttavia, questo tipo di ascolto rimane molto limitato perché devi eseguire il comando per ogni porta che vuoi osservare.

Nella stessa famiglia possiamo citare:

• Honeyd , di Niels Provost, che è un honeypot virtuale in grado di emulare macchine o una rete virtuale per attirare gli hacker. È uno degli honeypot a bassa interazione che offre la maggior parte delle possibilità.
• Spectre , che ti consente di emulare i servizi classici ( web , FTP , ecc.). Non consente all'autore dell'attacco l'accesso completo a un sistema operativo, il che limita il suo interesse.

Barattoli di miele ad alta interazione

Questo tipo di honeypot può essere considerato come il lato estremo dell'argomento poiché si basa sul principio dell'accesso a servizi reali su una macchina più o meno sicura in rete.

I rischi sono molto maggiori rispetto a honeypot a bassa interazione. Appare quindi necessario proteggere il più possibile l'architettura di rete in modo che l'aggressore non possa riprendersi e attaccare altre macchine.

I due principi fondamentali di un tale vaso di miele sono:

• controllo dati: per rispettare il numero massimo di attacchi, l'honeypot ad alta interazione deve accettare tutte le connessioni in entrata e, al contrario, limitare le connessioni in uscita per evitare qualsiasi overflow. Tuttavia, in nessuna circostanza devono essere vietate tutte le connessioni in uscita per non avvisare l'aggressore. È quindi necessario un buon compromesso tra sicurezza e rischio di scoprire l'esca.

• acquisizione dei dati: con un firewall o un sistema di rilevamento delle intrusioni (SDI).
  • il firewall consente la registrazione e il reindirizzamento di tutti i tentativi di attacco, sia interni che esterni.
  • SDI permette di registrare tutti i pacchetti circolanti per poter ricostruire la sequenza di attacco. Può anche, grazie a iptables , reindirizzare i pacchetti compromessi all'Honeypot. Viene quindi fornito in aggiunta a un firewall e funge anche da backup in caso di caduta.
  • le informazioni generate verranno reindirizzate a una macchina remota e non memorizzate sulla macchina compromessa a causa del rischio di compromettere questi dati.

Dobbiamo anche notare l'esistenza di honeypot più specifici come honeypot anti- spam o anti- virus .

Progetti attuali

Sono emersi numerosi progetti honeypot per raccogliere informazioni sugli strumenti utilizzati dagli aggressori, sui loro metodi di attacco e sulle vulnerabilità di sicurezza che sfruttano, ma anche e soprattutto sulle loro motivazioni.

Il progetto Honeypot

Il progetto Honeypot mira a:

• aumentare la consapevolezza della realtà delle minacce provenienti da Internet;
• fornire tutte le informazioni necessarie per migliorare la protezione delle risorse;
• diffondere i suoi strumenti e stimolare la ricerca per aumentare il loro potenziale di ricerca.

Altri progetti

Noteremo anche altri progetti interessanti:

• HOSUS (HOneypot SUrveillance System) , di Lance Spitzner  ;
• Honeypots: Monitoring and Forensics , di Ryan Barnet  ;
• Progetto Florida Honeynet  ;
• (en) Progetto Network of Affined Honeypots (Noah) .
• Il progetto MHN ( Modern Honey Network ) consente l'implementazione e la gestione di diverse soluzioni honeypot. È distribuito sotto la licenza GNU GPL .
• Il progetto T-Pot ( (Deutsche Telekom AG Honeypot Project) ) consente di implementare e gestire diverse soluzioni honeypot. Si integra con Elasticsearch , Logstash , Kibana .

Note e riferimenti

1. "  honey pot  " , Le Grand Dictionnaire terminologique , Office québécois de la langue française (accesso 14 maggio 2020 ) .
2. (in) David Dittrich, The Ethics of Social Honeypots , University of Washington , 4 dicembre 2012, testo completo
3. (in) Hugh Pickens, US Military Shuts Down CIA's Terrorist Honey Pot , Slashdot , 19 marzo 2010, accesso 18 ottobre 2013.
4. (in) Bruce Schneier, Highway Honeypot , Schneier on Security , 15 settembre 2010, accesso 18 ottobre 2013.
5. Charline Zeitoun, "  Virus e malware: i ricercatori reagiscono  " , su CNRS Le journal ,7 marzo 2016(accesso 15 maggio 2017 )
6. Home of Project Honey Pot

Vedi anche

Articoli Correlati

• Compagno (botanica)  : lo stesso concetto è utilizzato in orticoltura per evitare che alcune piante siano bersaglio di parassiti attirandole verso altre piantate a questo scopo e avendo un effetto tossico.

link esterno

• (it) Il progetto Honeynet
• (en) Il progetto Modern Honey Network