Tecniche anti-honeypot e contromisure ai nemici

Tecniche anti-honeypot e contromisure ai nemici

Nei precedenti articoli abbiamo visto come sia possibile utilizzare la tecnologia di honeypot e honeynet per cercare di contenere gli attacchi informatici ai nostri sistemi. Naturalmente sull’altro fronte i nostri nemici non restano a guardare ma si impegnano nella ricerca di contromisure adeguate. Si parla, in gergo, di tecniche anti-honeypot o anche di honeypot discovering.

L’approccio migliore per nascondere la vera identità di un honeypot resta senza dubbio la personalizzazione. Molti tool in grado di evidenziarne la presenza ricercano, come nel caso di antivirus e IDS, file e directory specifiche oppure determinati processi in esecuzione. Rinominare i file binari o installare il software in locazioni diverse da quelle di default può talvolta rivelarsi una soluzione sufficientemente efficace.

Problemi di tempo

I principali interventi adottati nella costruzione degli honeypot riguardano il potenziamento dei meccanismi di logging o l’utilizzo di software di virtualizzazione per creare degli ambienti protetti. In entrambi i casi l’esecuzione di  qualunque attività da parte di un intruso necessita di tempi più lunghi rispetto ad un “sistema normale”, in quanto sono richieste più operazioni per il log, oppure è necessaria la loro emulazione nei sistemi a basso livello di interazione.

Attraverso la stima dei tempi di esecuzione è possibile individuare la presenza di un ambiente sospetto.

Honeypot virtuali

I sistemi a basso/medio livello di interazione consentono di creare degli ambienti particolarmente realistici attraverso un attento lavoro di personalizzazione.

La parola chiave da tenere presente è fingerprinting, ovvero l’individuazione dell’impronta digitale di tale sistema da confrontare con quello reale onde evidenziare eventuali discrepanze. Comunemente gli attacker interagiscono in  remoto concentrando i loro sforzi sul protocollo di comunicazione a vari livelli della pila ISO/OSI.

Interazione a livello datalink

Quando l’aggressore si trova sullo stesso segmento di rete dell’honeypot (ad esempio nel caso di attacchi provenienti dall’interno della LAN) può identificarlo attraverso un semplice esame della propria cache arp nella quale sono riportate le associazioni tra indirizzi IP e MAC delle schede di rete. Infatti per simulare la presenza di molteplici host su una singola macchina si ricorre alla tecnica dell’arp spoofing, che sostanzialmente consiste nel reindirizzare il traffico diretto ad un determinato range di indirizzi IP verso un’unica scheda di rete. In questo modo è facile stabilire che si tratta di host fantasma dal momento che risultano tutti associati ad uno stesso MAC.

Interazione a livello rete

In questo caso l’interesse si sposta sul protocollo IP e le relative intestazioni dei pacchetti, attraverso la cui analisi si possono scoprire elementi  interessanti. Ogni sistema operativo utilizza in maniera particolare lo stack di rete (TTL, Window size, TOS ecc.) per cui è facile evidenziare eventuali errori in fase di emulazione.

Interazione a livello di applicazione

Nello specifico riguarda la capacità di riprodurre il comportamento delle varie applicazioni attraverso opportuni script, inclusi i messaggi prodotti dalle stesse. Talvolta anche un piccolo errore di battitura in una stringa può svelare la vera natura dell’honeypot.

Contromisure guidate dal buon senso

Infine non bisogna dimenticare il buon senso e lasciarsi prendere dalle manie di grandezza. E’ poco realistico avere in una rete molti sistemi operativi differenti, se non altro per i loro costi di gestione. Normalmente si tende ad avere ambienti omogenei per sfruttare al meglio le proprie competenze così come è altrettanto improbabile che una piccola azienda possa permettersi il lusso di avere apparecchiature molto costose (come alcuni modelli di router Cisco) destinate a  realtà di maggiori dimensioni. Anche le applicazioni emulate devono risultare compatibili con l’ambiente in cui sono integrate: è più sensato avere IIS su Windows e Apache su Linux che non il contrario.

 

Precedente Il ROO: implementantazione di una rete honeynet Successivo Honeynet: rilevare la presenza di un honeywall

Lascia un commento

*