Прошло всего 18 часов после того, как специалист по информационной безопасности Кайл Уилхойт (Kyle Wilhoit) подключил к интернету две фальшивые и одну настоящую SCADA-систему — и их уже начал кто-то атаковать. Повсеместная известность среди скрипт-кидди поисковиков вроде Shodan, а также базовых инструментов для хакинга превращает каждую промышленную систему в легкую мишень для взлома даже неумелыми начинающими хакерами.
Эксперимент Уилхойта в декабре 2012 года был нацелен на создание двух ловушек (ханипотов), с помощью которых можно отвлечь внимание скрипт-кидди от настоящей цели. Предполагается, что на ловушках создаются все условия для промысла хакеров: им предоставляют файлы с якобы секретной информацией, пароли и прочие тайны, которые те с удовольствием заносят в свой актив. Однако, при первой же попытке доступа в настоящую систему с фальшивым паролем из ханипота система сразу же поднимает тревогу и уведомляет сисадминов и специалистов по безопасности. Это значит, что ловушка захлопнулась.
Эсперимент Уилхойта проведен в духе стандартной практики создания фальшивых аккаунтов на веб-сайте, единственная цель которых — уведомлять администратора о том, что кто-то пытается залогиниться. Такие аккаунты создаются с целью уведомления администрации сайта о том, что часть или все пароли пользователей утекли в открытый доступ, то есть их система была взломана. Не всегда администрация способна оперативно понять это из логов своих серверов, но если поступил сигнал с аккаунта-ловушки — от это уже верный признак взлома.
Криптографы RSA Labs предлагают еще более усовершенствовать ловушку для хакеров. Они выдвинули идею, что парольный хэш должен содержать до 20 паролей, из которых только один является настоящим, а остальные нужны как сигнализация о взломе базы. То есть если посторонний хакер постарается войти по неправильному аккаунту, то мгновенно поднимается тревога, сервер блокируется, а все пароли пользователей меняются.
