Sicurezza

Honeypot e Honeynet

Honeypot e Honeynet
Parte del lavoro degli specialisti IT della sicurezza consiste nell'apprendere i tipi di attacchi, o le tecniche utilizzate dagli hacker, raccogliendo, inoltre, informazioni per analisi successive al fine di valutare le caratteristiche dei tentativi di attacco. A volte questa raccolta di informazioni viene eseguita tramite un'esca o esche progettate per registrare attività sospette di potenziali aggressori che agiscono senza sapere che la loro attività viene monitorata. Nella sicurezza informatica queste esche o esche sono chiamate Honeypotpot.

Un honeypot può essere un'applicazione che simula un bersaglio che è in realtà un registratore dell'attività degli aggressori. Più Honeypot che simulano più servizi, dispositivi e applicazioni correlate sono denominati Honeynet.

Honeypot e Honeynet non memorizzano informazioni sensibili ma memorizzano false informazioni attraenti per gli aggressori in modo da interessarli agli Honeypot, Honeynet, in altre parole stiamo parlando di trappole di hacker progettate per apprendere le loro tecniche di attacco.

Gli honeypot ci segnalano due tipi di vantaggi: in primo luogo ci aiutano ad apprendere gli attacchi per poi proteggere adeguatamente il nostro dispositivo di produzione o la nostra rete. In secondo luogo, mantenendo gli honeypot che simulano le vulnerabilità accanto ai dispositivi di produzione o alla rete, teniamo l'attenzione degli hacker fuori dai dispositivi protetti, poiché troveranno più attraenti gli honeypot che simulano le falle di sicurezza che possono sfruttare.

Esistono diversi tipi di Honeypot:

Honeypot di produzione:

Questo tipo di honeypot viene installato in una rete di produzione per raccogliere informazioni sulle tecniche utilizzate per attaccare i sistemi all'interno dell'infrastruttura.  Questo tipo di Honeypot offre un'ampia varietà di possibilità, dalla localizzazione dell'honeypot all'interno di uno specifico segmento di rete al fine di rilevare tentativi interni da parte di utenti legittimi della rete di accedere a risorse non consentite o vietate a un clone di un sito Web o servizio, identico al originale come esca. Il problema più grande di questo tipo di honeypot è consentire il traffico dannoso tra quelli legittimi.

Honeypot di sviluppo:

Questo tipo di honeypot è progettato per raccogliere più informazioni possibili sulle tendenze di hacking, sui bersagli desiderati dagli aggressori e sulle origini degli attacchi. Queste informazioni vengono successivamente analizzate per il processo decisionale sull'attuazione delle misure di sicurezza.

Il vantaggio principale di questo tipo di honeypot è che, contrariamente agli honeypot di produzione, gli honeypot di sviluppo si trovano all'interno di una rete indipendente, dedicata alla ricerca, questo sistema vulnerabile è separato dall'ambiente di produzione impedendo un attacco dall'honeypot stesso. Il suo principale svantaggio è la quantità di risorse necessarie per implementarlo.

Esiste una sottocategoria 3 o una diversa classificazione di honeypot definita dall'interazione che ha con gli aggressori.

Honeypot a bassa interazione:

Un Honeypot emula un servizio, un'app o un sistema vulnerabile.  Questo è molto facile da configurare ma limitato quando si raccolgono informazioni, alcuni esempi di questo tipo di honeypot sono:

Trappola di miele: è progettato per osservare gli attacchi contro i servizi di rete, contrariamente ad altri honeypot che si concentrano sulla cattura di malware, questo tipo di honeypot è progettato per catturare exploit.

Nefente: emula vulnerabilità note al fine di raccogliere informazioni su possibili attacchi, è progettato per emulare vulnerabilità worm exploit da propagare, quindi Nephentes acquisisce il loro codice per analisi successive.

MieleC: identifica i server Web dannosi all'interno della rete emulando diversi client e raccogliendo le risposte del server quando si risponde alle richieste.

mieleD: è un demone che crea host virtuali all'interno di una rete che può essere configurato per eseguire servizi arbitrari simulando l'esecuzione in diversi OS.

Glastopf: emula migliaia di vulnerabilità progettate per raccogliere informazioni sugli attacchi contro le applicazioni web. È facile da configurare e una volta indicizzato dai motori di ricerca diventa un bersaglio attraente per gli hacker.

Honeypot di interazione media:

Questi tipi di honeypot sono meno interattivi dei precedenti senza consentire il livello di interazione consentito dagli honeypot alti. Alcuni Honeypot di questo tipo sono:

Kippo: è un honeypot ssh utilizzato per registrare attacchi di forza bruta contro sistemi unix e registrare l'attività dell'hacker se l'accesso è stato ottenuto. È stato interrotto e sostituito da Cowrie.

ciprea: un altro honeypot ssh e telnet che registra gli attacchi di forza bruta e l'interazione della shell degli hacker. Emula un sistema operativo Unix e funziona come proxy per registrare l'attività dell'attaccante.

Sticky_elefante: è un honeypot PostgreSQL.

Calabrone: Una versione migliorata di honeypot-wasp con richiesta di credenziali false progettata per siti Web con pagina di accesso ad accesso pubblico per amministratori come /wp-admin per siti wordpress.

Honeypot ad alta interazione:

In questo scenario gli Honeypot non sono progettati per raccogliere solo informazioni, è un'applicazione progettata per interagire con gli aggressori mentre registra in modo esaustivo l'attività di interazione, simula un bersaglio in grado di offrire tutte le risposte che l'attaccante può aspettarsi, alcuni honeypot di questo tipo sono:

Sebek: funziona come un HIDS (sistema di rilevamento delle intrusioni basato su host) che consente di acquisire informazioni su un'attività del sistema. Questo è uno strumento client-server in grado di distribuire honeypot su Linux, Unix e Windows che acquisiscono e inviano le informazioni raccolte al server.

Miele: può essere integrato con honeypot a bassa interazione per aumentare la raccolta di informazioni.

HI-HAT (Toolkit di analisi Honeypot ad alta interazione): converte i file php in honeypot ad alta interazione con un'interfaccia web disponibile per monitorare le informazioni.

Cattura-HPC: simile a HoneyC, identifica i server dannosi interagendo con loro come client utilizzando una macchina virtuale dedicata e registrando modifiche non autorizzate.

Se sei interessato agli Honeypot probabilmente IDS (Intrusion Detection Systems) potrebbe essere interessante per te, su LinuxHint abbiamo un paio di tutorial interessanti su di loro:

Spero che questo articolo su Honeypot e Honeynet ti sia stato utile. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e sicurezza.

Giochi Tutorial Shadow of the Tomb Raider per Linux
Tutorial Shadow of the Tomb Raider per Linux
Shadow of the Tomb Raider è la dodicesima aggiunta alla serie Tomb Raider, un franchise di giochi d'azione e avventura creato da Eidos Montreal. Il gi...
Giochi Come aumentare gli FPS in Linux?
Come aumentare gli FPS in Linux?
FPS sta per Fotogrammi al secondo. Il compito dell'FPS è misurare il frame rate nelle riproduzioni video o nelle prestazioni di gioco game. In parole ...
Giochi I migliori giochi di laboratorio dell'app Oculus
I migliori giochi di laboratorio dell'app Oculus
Se possiedi un visore Oculus, devi essere informato sul sideloading. Il sideloading è il processo di installazione di contenuti non archiviati sul vis...