Honeypot — этот казалось бы детский термин
(горшочек с медом) уже давно широко
используется
в мире компьютерной безопасности. Что же
это за система, которую используют
админы для ловли хакеров? Сейчас я
постараюсь разложить все по полочкам и
рассказать тебе о меде, горшках и чуть-чуть
о хакерах.

Что такое honeypot?

Идея скрытых ловушек или сладкого для
хакер места на самом деле не нова. Идея
зародилась, если я не ошибаюсь, еще 1990 году.
Общее и устоявшееся определение honeypot — "это
ресурс, задача которого отдаться хакеру,
цель которого принять тест, атаку и быть
взломанным". Это означает, что создавая
honeypot мы ожидаем от него регистрации начала атаки и
взлома . В глобальном смысле это инструмент,
который каждый волен применять по своему.
Это может быть эмулятор другой системы или
приложения, некая "темница с засадой", или просто
стандартная система. Как бы вы не построили
свой горшочек, главная его задача —
подвергнутся нападению и рассказать вам в
подробностях об этом. Как инструмент ваш
honeypot может выполнять и разные задачи:
определять начало атаки, собирать
информацию  или рассказывать вам
интересную информацию о действиях хакера (принято
разделение — на производственные ловушки и
исследовательские: первые занимаются
защитой сетей, вторые для сбора информации).

Как работает honeypot? На пальцах это выглядит
очень просто — стоит себе машина (ресурс,
скажем более обще), которая фактически
ничего не делает. Следовательно любое
внешнее взаимодействие с горшком — вероятно
хакерская активность. Тем и хорош honeypot:

  • Он собирает малое количество информации,
    но ее значение велико. Вместо того, что бы
    копаться в 5.000 предупреждениях и 10 Гб
    логах не проще ли разбирать их 30 и всего 1
    Мб? Данные, которые предоставляет ловушка,
    гораздо легче анализировать!
  • Как уже было сказано выше фактически
    honeypot не имеет никакой авторизованной
    активности, то есть он фактически ничего
    не делает (представь, допустим, веб-сервер,
    который не имеет имени и никому не
    известен, количество заходящих на него
    людей стремится к 0), потому все, кто на
    него ломится — потенциальные взломщики.
    Количество ложных сигналов сводится к
    тому же 0…
  • Все потому же не требуется для такой
    системы мощной машины или каких то
    навороченных систем управления.

Определились у  ловушек, конечно, и
недостатки: во-первых это так называемый
ограниченный вид, ведь горшочек
регистрирует только направленные
непосредственно на него атаки, а во-вторых
просто напросто выставление на всеобщее
обозрение нового ресурса — всегда
небезопасно, если у вас нет достаточных
знаний и квалификации хакер может победить
вас в вашей же ловушке. 

С чего начать?

Естественно, как и всюду в мире, лучшего и
универсального honeypot-а не существует. В
каждом конкретном случае надо выбирать
себе программу исходя из намечаемых целей.
Лучшим для начинающих всеми признается
honeypot BackOfficer
Friendly
— чрезвычайно простая, бесплатная
программа для Windows. Она ограничена в
возможностях, но общую концепцию этого
веселья вы поймете. Для *nix систем
существует Honeyd,
OpenSource решение, о котором много раз писали
даже в русском Интернете. Honeyd по своему
уникальная вещь — может эмулировать более
400  различных операционных систем и
тысячи компьютеров одновременно. Причем он
не только эмулирует ОС на уровне приложений,
но и на уровне IP стека, чего никто из
конкурентов делать не в состоянии.  

 

Ну вот пожалуй на сегодня и все, во второй
части я постараюсь рассказать о Honeynet,
некоторых других программах.

Honeypot Farm, Honeypot, Хонейпот, ловушка для хакера, основы Honeypot, защита сети, программы-ловушки

Оставить мнение

Check Also

Цифровой паноптикон. Настоящее и будущее тотальной слежки за пользователями

Даже если ты тщательно заботишься о защите своих данных, это не даст тебе желаемой приватн…