Nel gergo della sicurezza informatica , un honeypot (in francese, letteralmente " vaso di miele ", e in senso figurato " lure ") è un metodo di difesa attivo che consiste nell'attrarre risorse ( server , programma , servizio), dichiarati o potenziali avversari al fine di identificarli e possibilmente neutralizzarli.
Il termine originariamente si riferisce a dispositivi informatici appositamente progettati per attivare attacchi informatici. Il suo utilizzo si è diffuso alle tecniche relative all'ingegneria sociale e all'intelligenza umana .
Lo scopo di questa esca è far credere all'intruso di poter prendere il controllo di una vera macchina di produzione, che consentirà all'amministratore di osservare i mezzi di compromissione degli aggressori, per proteggersi da nuovi attacchi e dargli così più tempo per reagire .
L'uso corretto di un barattolo di miele si basa essenzialmente sulla risoluzione e sul confronto di tre problemi:
Si deve presumere che qualsiasi informazione che circola sulla rete sia che sia o meno destinata all'honeypot sia importante. Pertanto, il monitoraggio deve essere assolutamente costante e deve coprire sia il livello locale che quello remoto. Questo monitoraggio costante si basa su:
La raccolta di informazioni è resa possibile da strumenti chiamati sniffer che studiano i pacchetti sulla rete e memorizzano gli eventi in database . Le informazioni grezze possono anche essere raccolte utilizzando analizzatori di frame.
È grazie all'analisi delle informazioni raccolte che potremo scoprire i guasti della rete da proteggere e le motivazioni degli aggressori.
Esistono due tipi di honeypot che hanno scopi e funzioni distinti:
Sono i più semplici della famiglia honeypot. Il loro obiettivo è raccogliere quante più informazioni possibili limitando i rischi offrendo un minimo di privilegi agli aggressori.
Ad esempio, il comando netcat può essere inserito in questa categoria. Netcat può ascoltare su una particolare porta e registrare tutte le connessioni e i comandi immessi. Questo programma permette di scrivere su un file tutti i comandi inseriti dagli aggressori. Tuttavia, questo tipo di ascolto rimane molto limitato perché devi eseguire il comando per ogni porta che vuoi osservare.
Nella stessa famiglia possiamo citare:
Questo tipo di honeypot può essere considerato come il lato estremo dell'argomento poiché si basa sul principio dell'accesso a servizi reali su una macchina più o meno sicura in rete.
I rischi sono molto maggiori rispetto a honeypot a bassa interazione. Appare quindi necessario proteggere il più possibile l'architettura di rete in modo che l'aggressore non possa riprendersi e attaccare altre macchine.
I due principi fondamentali di un tale vaso di miele sono:
Dobbiamo anche notare l'esistenza di honeypot più specifici come honeypot anti- spam o anti- virus .
Sono emersi numerosi progetti honeypot per raccogliere informazioni sugli strumenti utilizzati dagli aggressori, sui loro metodi di attacco e sulle vulnerabilità di sicurezza che sfruttano, ma anche e soprattutto sulle loro motivazioni.
Il progetto Honeypot mira a:
Noteremo anche altri progetti interessanti: