Sistemi honeypot: attrarre nemici e cattura delle informazioni

Sistemi honeypot: attrarre nemici e cattura delle informazioni

Attrarre i nemici da parte degli honeypot

L’effettiva utilità di un honeypot risiede nella capacità di essere  attaccato, quindi deve risultare rintracciabile e attraente per i potenziali aggressori offrendo servizi interessanti. Il problema principale risiede nella decisione su cosa sia da considerare interessante e tale scelta dipende soprattutto dal livello di competenze dell’aggressore. Un dilettante potrebbe limitarsi a cercare la presenza dei servizi più comuni (http, ftp, telnet, ecc) e trascurare quelli più specifici come ssh, finger o applicazioni come ad esempio i database. Al contrario questo potrebbe non sfuggire all’occhio attento di un esperto.

Meccanismi di cattura delle informazioni

L’acquisizione e la cattura di dati e delle informazioni su un sistema progettato per essere compromesso deve consentire delle analisi significative delle attività svolte dagli aggressori e deve avvenire in modo del tutto trasparente. In primo luogo sull’host è possibile registrare tutte le connessioni in ingresso e uscita, i comandi impartiti e i processi in esecuzione. Lo svantaggio principale è rappresentato dalla facilità di individuazione sia dei log che dei tool di sicurezza utilizzati che possono essere disabilitati per nascondere le proprie tracce. Una soluzione più complessa consiste nella cattura delle informazioni sull’honeypot e nel loro trasferimento ad un server remoto per un’analisi successiva consentendo  una  completa  archiviazione  di  tutto  il  traffico  acquisito.

Naturalmente anche tale server deve essere attentamente protetto per evitare che subisca degli attacchi soprattutto in presenza di un evidente flusso dati tra i due sistemi, rendendolo del tutto inefficace. Infine possiamo considerare il gateway la cui funzione principale consiste nel trasferimento dei dati tra gli host della rete e Internet, consentendo la registrazione  di tutte le connessioni e del traffico scambiato. Il rischio è rappresentato dal gateway stesso, che essendo visibile in rete, può diventare oggetto di un attacco. Senza  opportune tecniche di cattura dei dati la validità degli stessi è estremamente ridotta.

 

Precedente L'idea alla base degli honeypot in informatica Successivo Manutenzione dei sistemi honeypot

Lascia un commento

*