Jesteśmy w stanie wyobrazić sobie taki scenariusz ... ale czym jest honey pot? Honey pot to komputer postawiony w sieci służący do przyciągnięcia uwagi hakera i analizowania jego działań, zdobywania informacji o stosowanych technikach i umiejętnościach oraz do zdobywania dowodów o włamaniu wykorzystywanych później w sondzie. Jest to komputer najsłabiej zabezpieczony w całej sieci którego zadaniem jest monitorowanie poczynań hakera oraz odciąganie go na dłuższy czas od głównego celu. Taki komputer nie pełni żadnej innej funkcji i nie może jej pełnić, ponieważ nie może generować żadnego ruchu. Dzięki temu jesteśmy pewnie że jakikolwiek ruch generowany w sieci przez honey pota oznacza włamanie. Honey poty wcale nie muszą być komputerami fizycznie stojącymi gdzieś na biurku w firmie. Do ich tworzenia w ramach oszczędności i wygody korzysta się z oprogramowania do tworzenia systemów/maszyn wirtualnych. np. takich jak:
- VMware
- UML
- VirtualPC
- Bochs
- Plex86
Systemy te potrafią czasem wręcz doskonale udawać drugą rzeczywistą i fizyczną maszynę. Haker włamujący się na taki vitualny honey pot włamuje się tak naprawdę tylko na plik na dysku udający inny komputer( istnieje też możliwość tworzenia osobnej partycji dla nowego systemu (gościa) pozwala to montować takie partycje np. w linuxie). Zachodzi tu często sytuacja gospodarz-gość. Gospodarz to komputer na którym zainstalowany jest wirtualny system. Można mu często zmieniać zarówno oprogramowanie jak i sprzęt ( który wcale nie musi odpowiadać rzeczywistym komponentom wmontowanym w komputer )... dzięki temu tworzymy doskonalszą iluzję "nowego komputera" w sieci. "Nowy komputer", virtualny oczywiści, może komunikować się w sieci poprzez interfejs sieciowy gospodarza, lub też przez swój virtualny ( w VMware można zmienić nawet adres MAC dzięki czemu w sieci widoczny jest jako (niezależna maszyna). Obserwowanie hakera po włamaniu na taki sprzęt wcale nie musi przynosić szkód. Cały komputer to tak naprawdę tylko plik na partycji(lub osobna partycja w zależności od naszego wyboru), który łatwo można skopiować i zamontować, a w razie zniszczeń i spustoszenia spowodowanych przez hakera tylko jednym polecnim "cp" lub zwykłym DRAG&DROP przywrócić stan systemu sprzed włamania :) Równie łatwo możemy zachować stan systemu w każdym innym momencie e penetracji analizując wszystkie techniki i zmiany jakie zostały wykonane, kopiując plik w inne miejsce nie przerywając tym samym pracy hakerowi a samemu korzystając z zamrożonego stanu systemu. Problem może czasem stanowić odseparowanie systemu gościa od gospodarza ... np. obydwa z tych systemów nie powinny korzystać z usług współdzielenia dysku (Samba, NFS, FTP, P2P, HTTP etc...). konfiguracja garnka miodu powinna przyciągnąć intruzów, ale równie dobrze powinna odpierać ataki wirusów, lub wormów internetowych. Jeżeli ktoś wchodzi na honey pot-a to musimy być pewni , że to nie jakiś robal. Każde wejście na honey pota już w 100% upewnia nas, że mamy do czynienia z kimś kto włamał się do sieci. Nie może być mowy o pomyłce. Cały problem tkwi tylko w przekonaniu i utwierdzeniu włamywacza o jego sukcesie oraz obserwowaniu go i zbieraniu o nim jak największej ilości informacji. Bądź co bądź taki komputer ( nie koniecznie wirtualny, jeżeli posiada się odpowiednie środki finansowe można użyć osobnego komputera w sieci ) w sieci, który został przejęty przez hakera to dla niego idealny punkt do kolejnego ataku. Stwarza więc słaby punkt w sieci i patrząc z jednej strony obniża jej bezpieczeństwo. Plusem natomiast jest możliwość ingerowania i monitorowania intruza, obserwowania strony atakowanej i atakującej, przy tym doskonalsze poznawanie technik. Można wejść od akcji w dowolnym momencie. Przywrócenie kopii w wypadku rzeczywistego komputera, to tylko kwestia zrobienia sobie np. obrazu w Ghost-cie i odtworzenie go po całej akcji. Najważniejsze są mechanizmy logowania. nie powinno się ich ukrywać. System ma być łatwy ale nie podejrzanie lamerski. Ważne jest aby cały czas być informowanym o tym co dzieje się na honey pocie. Zwykłe logi syslog, syslogd mogą czasem nie wystarczyć. Można np. zainstalować osobny komputer, którego zadaniem będzie tylko i wyłącznie gromadzenie logów. Logi wysyłane na osobny komputer są w tym wypadku dużo bardziej wiarygodne od tych lokalnych. Można też prócz wysyłania logów na zdalny serwer logów ( powinien on pełnić wtedy tylko tą funkcję ) oraz gromadzenia lokalnych, postarać się postawić po drodze komputer bez przypisanego adresu IP ( np. w linux w trybie mostkowania) przysłuchujący się całemu ruchowi i zapisujący go. Należałoby też zainstalować gdzieś po drodze system wykrywania włamań Snort/IDS. Można też postawić coś ale keyloggera, który w czasie rzeczywistym wysyła wciśnięte na honey pocie klawisze na zdalny host (np. "Sebek"). Można też w wirtualnej maszynie VMware zastosować opcje undoable i nadzorować pliki, redo w których zapisywane są zmiany. Jednym z większych problemów jest jednak nie pozwolenie przeprowadzania z garnka miodu ataków na zewnątrz sieci oraz w jej wnętrzu. Można to utrudnić ustawiając odpowiednie reguły na fire-wall-u. Bronienie natomiast sieci wewnętrznej przed honey potem może być np. SnortSam lub też HogWash jako rozszerzenie do Snorta. Można też zainstalować SingleHoneyPot TinyHoneyPot, oprogramowanie pozwalające udawać różne usługi na honey pocie. Dobrze jest też nazwać komputer w jakiś zachęcający sposób np. "Server" lub "Bardzo ważny komputer" lub coś w tym stylu. Otworzenie portów dla różnych trojanów też może dać efekt. Można nawet postawić pod nimi, różne napisane własnoręcznie skrypty ... Reasumując:
- szybka możliwość odtworzenia kopii sprzed ataku
- skuteczne i tajne monitorowanie poczynań hakera oraz ich dokumentacja
- wyeksponowanie komputera w sieci
Napisane npdst artykułu z PC kurier PLUS i wykładów LA.
Autor: JohnySpot
Źródło: HackingPlanet.org. Treść udostępniona na zasadach licencji Creative Commons Attribution
Autor: Johny Spot
Licencja: Creative Commons