Sistemi honeypot: attrarre nemici e cattura delle informazioni
Attrarre i nemici da parte degli honeypot
L’effettiva utilità di un honeypot risiede nella capacità di essere attaccato, quindi deve risultare rintracciabile e attraente per i potenziali aggressori offrendo servizi interessanti. Il problema principale risiede nella decisione su cosa sia da considerare interessante e tale scelta dipende soprattutto dal livello di competenze dell’aggressore. Un dilettante potrebbe limitarsi a cercare la presenza dei servizi più comuni (http, ftp, telnet, ecc) e trascurare quelli più specifici come ssh, finger o applicazioni come ad esempio i database. Al contrario questo potrebbe non sfuggire all’occhio attento di un esperto.
Meccanismi di cattura delle informazioni
L’acquisizione e la cattura di dati e delle informazioni su un sistema progettato per essere compromesso deve consentire delle analisi significative delle attività svolte dagli aggressori e deve avvenire in modo del tutto trasparente. In primo luogo sull’host è possibile registrare tutte le connessioni in ingresso e uscita, i comandi impartiti e i processi in esecuzione. Lo svantaggio principale è rappresentato dalla facilità di individuazione sia dei log che dei tool di sicurezza utilizzati che possono essere disabilitati per nascondere le proprie tracce. Una soluzione più complessa consiste nella cattura delle informazioni sull’honeypot e nel loro trasferimento ad un server remoto per un’analisi successiva consentendo una completa archiviazione di tutto il traffico acquisito.
Naturalmente anche tale server deve essere attentamente protetto per evitare che subisca degli attacchi soprattutto in presenza di un evidente flusso dati tra i due sistemi, rendendolo del tutto inefficace. Infine possiamo considerare il gateway la cui funzione principale consiste nel trasferimento dei dati tra gli host della rete e Internet, consentendo la registrazione di tutte le connessioni e del traffico scambiato. Il rischio è rappresentato dal gateway stesso, che essendo visibile in rete, può diventare oggetto di un attacco. Senza opportune tecniche di cattura dei dati la validità degli stessi è estremamente ridotta.