Honeypot
In informatica, un honeypot (letteralmente: "barattolo del miele") è un sistema o componente hardware o software usato come "trappola" o "esca" a fini di protezione contro gli attacchi di pirati informatici. Solitamente consiste in un computer o un sito che sembra essere parte della rete e contenere informazioni preziose, ma che in realtà è ben isolato e non ha contenuti sensibili o critici; potrebbe anche essere un file, un record, o un indirizzo IP non utilizzato.
Il valore primario di un honeypot è l'informazione che esso dà sulla natura e la frequenza di eventuali attacchi subiti dalla rete. Gli honeypot non contengono informazioni reali e quindi non dovrebbero essere coinvolti da nessuna attività; rilevazioni in senso opposto possono rivelare intrusioni non autorizzate o malevole in corso.
Gli honeypot possono portare dei rischi ad una rete, e devono essere maneggiati con cura. Se non sono ben protetti, un attacker potrebbe usarli per entrare in altri sistemi.[1]
Etimologia
[modifica | modifica wikitesto]Il termine "honeypot" (barattolo di miele) è spesso collegato al personaggio per bambini Winnie the Pooh, un orso di pezza che spesso si trova nei guai a causa della sua golosità nei confronti del miele.
Un'ulteriore spiegazione del termine è un riferimento al nome, inglese, sarcastico per la costruzione circondante un gabinetto in un appezzamento di terra, o per altri metodi di raccolta letame in luoghi senza impianto idraulico interno. Honey è quindi un termine ironico per tale rifiuto, contenuto in un honeypot finché non è portato all'area di smaltimento da un camion addetto. In questo uso, gli attackers sono paragonabili alle mosche, attirate dall'odore dell'acqua di scolo.
Tipi di honeypot
[modifica | modifica wikitesto]Gli honeypot possono essere classificati sia in base al contesto di utilizzo sia in base alla modalità di interazione con l’utente.
Basandosi sul contesto di utilizzo, gli honeypot sono classificati come:
- Honeypot di produzione
- Honeypot di ricerca
Gli honeypot di produzione sono facili da utilizzare, immagazzinano un numero limitato di informazioni, e sono utilizzati principalmente in ambito aziendale. Gli honeypot di produzione sono situati all’interno della rete aziendale assieme agli altri server di produzione, in modo tale da migliorare la sicurezza dell’azienda. Normalmente, gli honeypot di produzione sono a bassa interazione, il che ne facilita l’installazione. Raccolgono meno informazioni riguardo agli attacchi e agli attaccanti rispetto agli honeypot di ricerca.
Gli honeypot di ricerca nascono per raccogliere informazioni riguardanti le metodologie di attacco e le motivazioni che spingono la community di black hat ad eseguire attacchi informatici. Questi honeypot non danno valore aggiunto ad una specifica organizzazione; piuttosto, sono utilizzati per capire a quali minacce si è esposti e quindi apprendere come proteggersi al meglio contro di esse.[2] Gli honeypot di ricerca sono complessi da installare e mantenere, raccolgono un’ampia quantità di informazioni, e sono usati principalmente in ambiti militari, pubblici e di ricerca.[3]
Basandosi invece sul design e quindi sulla modalità di interazione con l’utente, gli honeypot sono classificati come:
- Honeypot puri
- Honeypot ad alta interazione
- Honeypot a bassa interazione
Gli honeypot puri sono a tutti gli effetti macchine fisiche presenti nella rete di produzione. Gli attacchi sono monitorati da remoto collegandosi direttamente all’honeypot in rete. Non è necessaria l’installazione di nessun software aggiuntivo sulla macchina. Sebbene un honeypot puro risulta utile, la segretezza di questo meccanismo di difesa può essere migliorata appoggiandosi a soluzioni migliori.
Gli honeypot ad alta interazione sono veri computer, su cui eseguono applicazioni o servizi. Lo scopo di questi honeypot è quello di simulare in maniera fedele una macchina facente parte dell’ecosistema di produzione, consentendo agli attaccanti di utilizzare una varietà di servizi realmente presenti con il solo scopo di fargli perdere tempo. La difficoltà sta nel creare un ambiente la cui esecuzione sia confinata alla macchina stessa e non possa provocare danni al resto delle macchine presenti in rete. Grazie all’utilizzo di macchine virtuali è possibile ospitare più honeypot su una singola macchina fisica, il che garantisce sicurezza verso l’esterno ed un recupero veloce della sola macchina virtuale in caso di manomissione. In generale, gli honeypot ad alta interazione offrono un miglior servizio di sicurezza essendo difficili da rilevare, ma presentano costi di manutenzione più elevati. Se non c’è possibilità di utilizzare macchine virtuali, si ha la necessità di mantenere una macchina fisica per ogni honeypot presente, il che può essere estremamente costoso. Esempio: Honeynet.
Gli honeypot a bassa interazione sono solitamente software che emulano sistemi operativi e i servizi più utilizzati dagli attaccanti per portare avanti un attacco. Questi honeypot sono più semplici da installare e più sicuri, ma riescono a catturare una quantità inferiore di informazioni. Grazie a questi software è possibile simulare in molteplicità i servizi sopracitati su un'unica macchina fisica o virtuale. Esempio: Honeyd.
Possono essere honeypot anche altre cose, come veri siti web o chatroom, il cui scopo è di fermare utenti con intenti criminali.
Deception technology
[modifica | modifica wikitesto]Recentemente, un nuovo segmento di mercato chiamato Deception technology (tecnologia dell’inganno) è emerso grazie all’utilizzo delle tecnologie di base degli honeypot unite all’integrazione di un sistema automatizzato per la scalabilità. La deception technology affronta il problema dell'implementazione automatica di risorse honeypot in grandi imprese commerciali o istituzioni pubbliche.[4]
Malware honeypot
[modifica | modifica wikitesto]I malware honeypot sono utilizzati per individuare possibili malware sfruttando la conoscenza dei vettori di attacco e di replicazione noti. Una tecnica di replicazione del malware come quella della semplice copia su unità flash USB, può essere facilmente individuata, sia manualmente che utilizzando honeypot speciali il cui scopo è quello di emulare le periferiche di I/O. Il forte aumento dei malware creati per la ricerca ed il furto delle criptovalute,[5] innesca in servizi come Bitcoin Vigil la necessità di creare e monitorare honeypot a basso costo ai fini di poter ricevere avvisi precoci su possibili infezioni da malware.[6]
Honeypot anti-spam
[modifica | modifica wikitesto]Gli spammer abusano spesso di risorse come server di posta open mail relay e gli open proxy per effettuare attività di spam. Alcuni sistemisti hanno quindi creato honeypot software che si fingono risorse di questo tipo per analizzare l’attività degli spammer. Questa tipologia di honeypot fornisce agli amministratori di sistema diverse possibilità di analisi e mitigazione degli attacchi, rendendo l’utilizzo illecito di queste risorse più difficile e rischioso.
Questi honeypot possono mostrare l’indirizzo IP degli spammer e dare la possibilità di fermare in massa un’azione di spam. Per gli honeypot open relay è possibile determinare gli indirizzi e-mail degli spammer, grazie al fatto che questi, tipicamente, utilizzano come destinatari loro stessi in una prima fase di test. È facile quindi ingannare gli spammer consegnando le prime mail illecite ricevute al destinatario, in questo modo si convincono che l’honeypot sia un open relay genuino e abusabile. A questo punto l’honeypot blocca tutte le mail provenienti dall’indirizzo e-mail dello spammer che, senza successo, continuerà ad utilizzare l’honeypot credendo di effettuare spam.[7] Tuttavia il mittente potrebbe essere a sua volta un altro sistema utilizzato in maniera illecita, di fatto gli spammer potrebbero utilizzare una catena di sistemi per rendere più difficile il rilevamento del reale punto di partenza del messaggio.
Questo di per sé è indicativo delle potenzialità che hanno gli honeypot se utilizzati come strumento anti-spam.
Agli albori degli honeypot anti-spam, gli spammer, con scarsa attenzione nel mascherare la loro posizione, potevano testare vulnerabilità e inviare spam direttamente dalle loro macchine sentendosi al sicuro. Gli honeypot hanno poi reso gli abusi più rischiosi e difficili da portare a termine.
A questo scopo gli honeypot anti-spam possono utilizzare i messaggi di test intercettati per riconoscere e ostacolare i tentativi di inoltro di spam attraverso loro stessi. I sistemisti possono poi scoprire altri dettagli riguardanti lo spam e lo spammer esaminando i messaggi di spam catturati.
Tra gli honeypot open mail relay troviamo Jackpot, scritto in Java da Jack Cleaver; smtpot.py, scritto in Python da Karl A. Krueger e spamhole, scritto in C.[8] Bubblegum Proxypot è un honeypot (o proxy pot) open source.[9]
Rispetto ai primi anni 2000 la percentuale delle e-mail inviate attraverso i server di posta open relay è scesa drasticamente, anche grazie al fatto che i fornitori di servizi internet (ISP), tramite liste di blocco, fermano l'invio di e-mail indirizzate a questi server. Di conseguenza, al giorno d'oggi, la presenza degli open mail relay è praticamente nulla, e tra gli spammer è diventato più comune l'utilizzo di botnet.[10]
Database honeypot
[modifica | modifica wikitesto]I database vengono spesso attaccati da intrusi tramite SQL Injection. Poiché tali attività non sono riconosciute dai firewall di base, le aziende utilizzano spesso firewall specifici per la protezione dei database. Alcuni dei firewall per la protezione dei database SQL forniscono / supportano l’architettura honeypot in modo tale da spostare gli intrusi su un database trappola mentre l'applicazione Web rimane funzionante.[11]
Rilevamento
[modifica | modifica wikitesto]Dal momento in cui gli honeypot sono armi utilizzate anche per inibire gli spammer, i sistemi di rilevamento di honeypot sono diventati l'arma usata dagli spammer. Poiché i sistemi di rilevamento utilizzano probabilmente le caratteristiche uniche di honeypot specifici per identificarli, una grande quantità di honeypot in uso rende l'insieme di caratteristiche uniche più ampio e scoraggiante per coloro che cercano di individuarli e quindi identificarli. Questa è una circostanza insolita nel software: una situazione in cui un gran numero di versioni dello stesso software, tutte leggermente diverse tra loro, può essere utile. C'è anche un vantaggio nell'avere distribuito alcuni honeypot facili da rilevare. Fred Cohen, l'inventore del Deception Toolkit,[12] sostiene anche che ogni sistema che gestisce il suo honeypot dovrebbe avere una porta di inganno che gli avversari possono usare per rilevare l'honeypot. Cohen ritiene che ciò possa scoraggiare gli attaccanti.
Rischi
[modifica | modifica wikitesto]L'obiettivo degli honeypot è quello di attrarre e coinvolgere gli attaccanti per un periodo sufficientemente lungo tale da ottenere indicatori di compromissione (IoC) di alto livello, tra cui gli strumenti di attacco ed il concetto di Tactics, Techniques and Procedures (TTP). Pertanto un honeypot deve emulare i servizi essenziali nella rete di produzione e garantire all'attaccante la libertà di svolgere attività contraddittorie per aumentarne la sua attrattiva. Sebbene l'honeypot sia un ambiente controllato e possa essere monitorato utilizzando strumenti come ad esempio l'honeywall,[13] gli attaccanti potrebbero comunque essere in grado di utilizzare alcuni honeypot come nodi pivot per penetrare nei sistemi di produzione.[14]
Il secondo rischio degli honeypot è che possano attrarre utenti legittimi a causa della mancanza di comunicazione nelle reti aziendali su larga scala. Ad esempio, il team di sicurezza che applica e monitora l'honeypot potrebbe non rivelare la posizione dell'honeypot a tutti gli utenti in tempo a causa della mancanza di comunicazione o della prevenzione di minacce interne.[15][16]
Honeynet
[modifica | modifica wikitesto]Due o più honeypot su una rete formano una honeynet. In genere, una honeynet viene utilizzata per monitorare una rete più ampia e/o più diversificata in cui un honeypot potrebbe non essere sufficiente. Le honeynet e gli honeypot vengono solitamente utilizzati come parti di più grandi network intrusion detection system. Una honey farm è una raccolta centralizzata di honeypot e strumenti di analisi.
Il concetto di honeynet iniziò nel 1999 quando Lance Spitzner, fondatore dell'Honeynet Project, pubblicò il documento "To Build a Honeypot".[17]
Note
[modifica | modifica wikitesto]- ^ (EN) Eric Cole e Stephen Northcutt, Honeypots: A Security Manager's Guide to Honeypots, su sans.edu. URL consultato il 23 novembre 2017 (archiviato dall'url originale il 1º dicembre 2017).
- ^ (EN) Spitzner, Lance., Honeypots : tracking hackers, Addison-Wesley, 2003, ISBN 0-321-10895-7, OCLC 49875316.
- ^ (EN) Onur Katakoglu, Attacks Landscape in the Dark Side of the Web (PDF), su acm.org, 3 aprile 2017.
- ^ (EN) Deception related technology – its not just a "nice to have", its a new strategy of defense – Lawrence Pingree, su blogs.gartner.com. URL consultato il 23 novembre 2017 (archiviato dall'url originale il 27 settembre 2017).
- ^ (EN) Pat Litke, Cryptocurrency-Stealing Malware Landscape, su Secureworks.com. URL consultato il 23 novembre 2017 (archiviato dall'url originale il 22 dicembre 2017).
- ^ (EN) Bitcoin Vigil: Detecting Malware Through Bitcoin, su cryptocoinsnews.com, cryptocoins news. URL consultato il 23 novembre 2017 (archiviato dall'url originale il 22 settembre 2017).
- ^ (EN) M. Edwards, Antispam Honeypots Give Spammers Headaches, su windowsitpro.com, Windows IT Pro. URL consultato il 24 novembre 2017 (archiviato dall'url originale il 1º luglio 2017).
- ^ (EN) dustintrammell, spamhole – The Fake Open SMTP Relay Beta, su sourceforge.net, Dice Holdings, Inc.
- ^ (EN) International Council of E-Commerce Consultants., Ethical hacking and countermeasures, Course Technology, CENGAGE Learning, ©2010-, ISBN 978-1-4354-8365-1, OCLC 320192995.
- ^ (EN) Open Relay, su techopedia.com, Techopedia. URL consultato il 24 novembre 2017 (archiviato dall'url originale il 1º dicembre 2017).
- ^ (EN) Secure Your Database Using Honeypot Architecture, su dbcoretech.com (archiviato dall'url originale l'8 marzo 2012).
- ^ (EN) Biographical Information on Fred Cohen, su all.net. URL consultato il 14 marzo 2023.
- ^ (EN) Honeywall CDROM – The Honeynet Project, su honeynet.org. URL consultato il 14 marzo 2023 (archiviato dall'url originale l'11 ottobre 2022).
- ^ (EN) Lance Spitzner, Honeypots Tracking Hackers, Addison-Wesley Professional, 2002, OCLC 1153022947.
- ^ (EN) Mahmoud T. Qassrawi e Hongli Zhang, Client honeypots: Approaches and challenges, in 4th International Conference on New Trends in Information Science and Service Science, maggio 2010, pp. 19-25. URL consultato il 14 marzo 2023.
- ^ (EN) illusive networks: Why Honeypots are Stuck in the Past | NEA | New Enterprise Associates, su nea.com. URL consultato il 14 marzo 2023.
- ^ (EN) Know Your Enemy: GenII Honey Nets Easier to deploy, harder to detect, safer to maintain., su Honeynet Project, Honeynet Project. URL consultato il 24 novembre 2017 (archiviato dall'url originale il 1º dicembre 2017).
Altri progetti
[modifica | modifica wikitesto]- Wikimedia Commons contiene immagini o altri file su Honeypot