Daj się podejść!

Dobrze skonfigurowany firewall, zaktualizowany system operacyjny oraz program antywirusowy są często niewystarczającymi ''środkami obronnymi'' internauty przeciw sieciowym intruzom. Dywersja to dobry sposób na odwrócenie uwagi i rozpoznanie atakującego. Bądź sprytniejszy od włamywacza, wykorzystaj honeypot (z ang. garnek miodu).

Dobrze skonfigurowany firewall, zaktualizowany system operacyjny oraz program antywirusowy są często niewystarczającymi 'środkami obronnymi' internauty przeciw sieciowym intruzom. Dywersja to dobry sposób na odwrócenie uwagi i rozpoznanie atakującego. Bądź sprytniejszy od włamywacza, wykorzystaj honeypot (z ang. garnek miodu).

To rozwiązanie polega na utworzeniu kontrolowanych luk systemowych, których cel działania jest prosty - mają przyciągnąć uwagę włamywacza, a w konsekwencji - ułatwić przeciwdziałanie prawdziwemu zagrożeniu oraz jego identyfikację. Nazwa "garnek miodu" pochodzi z książki Kubuś Puchatek, której tytułowy bohater z łakomstwa włożył łapkę do garnka, a potem nie mógł jej wyjąć. W takiej samej sytuacji jest haker, który chcąc przejąć słabo na pozór zabezpieczony komputer, wpada w pułapkę.

"Garnek miodu" pozwala też na zmylenie włamywacza - za pomocą niektórych programów tego typu można na przykład zmusić system Linux do identyfikowania się w Internecie jako Windows - jego podstawowa funkcja to "udawanie" dziur w systemie.

Lenistwo nie popłaca

Pierwszą czynnością większości hakerów jest przeskanowanie otwartych portów (patrz ramka "Program nmap - sieciowy detektyw") atakowanego komputera - w ten sposób napastnik uzyskuje informacje, które pozwalają mu dobrać metody włamania. Na tym etapie haker nie rozróżni prawdziwej wady zabezpieczeń systemu (np. działającego konia trojańskiego) od utworzonego honeypota. Zwykle po wykryciu łatwej do wykorzystania luki systemowej haker wybierze najkrótszą drogę do przejęcia komputera i swoje działania skieruje właśnie na nią. Wpadnie więc w zastawioną pułapkę...

Kevin Mitnick o działaniach hakerów

Przygotowując się do ataku, haker analizuje całą strukturę firmy i stara się odnaleźć jej najsłabsze ogniwo. Może to być luka w systemie zabezpieczeń technologicznych, niewłaściwe procedury operacyjne czy też nieodpowiedzialny pracownik. Do systemu firmy można się też dostać, wykorzystując zewnętrznych współpracowników sprzątających w firmie czy wykonujących dla niej inne drobne usługi.

Całą rozmowę z Kevinem Mitnickiem znajdziesz pod adresem http://www.pcworld.pl/artykuly/31403.html .

Wielki Brat patrzy - rodzaje honeypotów

Organizacja The Honeynet Project

Organizacja The Honeynet Project

"Garnek miodu" okazuje się bardzo dobrym rozwiązaniem - wystarczy utworzyć monitorowaną przynętę, składającą się z wystawionych na atak komputerów bądź innego sprzętu sieciowego, która dostarczy informacji na temat pracy włamywaczy. Taka zresztą była intencja twórców tego rozwiązania - poznać hakerskie narzędzia, metody oraz dzielić się z innymi swoją wiedzą, aby zwalczać cyberprzestępczość (warto dodać, że takie pułapki często łączy się w sieci w tzw. honeynety - patrz ramka "Organizacja The Honeynet Project").

Prywatnego użytkownika Internetu w większym stopniu zaciekawi możliwość zwiększenia bezpieczeństwa domowego peceta. Poza firewallem oraz antywirusem do listy oprogramowania chroniącego komputer warto dodać honeypot, który umożliwia rozpoznanie oraz zmylenie ewentualnego włamywacza. Większość "garnków miodu" pozwala na symulację często wykorzystywanych do ataków luk bezpieczeństwa (działających w tle trojanów, niezaktualizowanych usług systemu Windows, np. takich, przez które szerzył się wirus Blaster) albo - w przypadku Linuksa - udostępnia hakerowi błędne informacje o wersji jądra systemowego.

Są dwa typy honeypotów: sprzętowe oraz symulacje programowe. W pierwszym przypadku wykorzystane są prawdziwe serwery, routery albo przełączniki, z kolei rozwiązania programowe polegają na utworzeniu kontrolowanych, niemających żadnego wpływu na bezpieczeństwo komputera luk w zabezpieczeniach systemu - np. konia trojańskiego, oczekującego na polecenia.

Program nmap - sieciowy detektyw

Program nmap pozwala na przeskanowanie dowolnego komputera podłączonego do sieci - dostarcza informacji na temat otwartych portów komputera, tego, jakie usługi są uruchomione w systemie (często wraz z numerem ich wersji), systemu operacyjnego, typu zainstalowanego firewalla oraz dziesiątków innych informacji. Jest uniwersalny oraz działa z większością systemów operacyjnych (zarówno Windows, jak i Linuksem).

Z założenia nmap to narzędzie pomocnicze administratora, który może szybko i łatwo sprawdzić na przykład, czy wybrany komputer w sieci jest wystarczająco zabezpieczony. Niestety, daje też pole do popisu hakerom, którzy zdobyte dzięki niemu informacje o lukach systemowych mogą wykorzystać do przeprowadzania włamań.

Oczywiście, możliwa jest częściowa blokada wypływających z komputera informacji za pomocą najprostszego nawet firewalla, jednak nie da się całkowicie zamaskować komputera w Sieci.

Program honeyd - garnek miodu do Linuksa

To obecnie bez wątpienia najlepszy programowy honeypot - jego możliwości są ogromne, autorzy często publikują aktualizacje. Co ważne, jest bezpłatny, ale przeznaczony dla profesjonalistów - proces konfiguracji jest skomplikowany, a całość pozbawiona trybu graficznego.

Aplikację pobrać można ze strony głównej projektu honeyd - http://www.honeyd.org - ale jest też wersja przygotowana do pracy, zawierająca m.in. więcej skryptów emulujących serwisy - do pobrania ze strony http://www.tracking-hackers.com/solutions/honeyd/honeyd-linux-kit-0.6.tgz .

Oto polecenia, które trzeba wykonać, w celu instalacji omawianej aplikacji w systemie Linux:

cd /usr/local/share

wget http://www.tracking-hackers.com/solutions/honeyd/honeyd-linux-kit-0.6.tgz

tar -zxf honeyd-linux-kit-0.6.tgz

cd honeyd

nano honeyd.conf - plik ten zawiera informacje konfiguracyjne programu honeyd - plik konfiguracyjny należy zaadaptować do swoich potrzeb. Przykładowe wartości, których użyć można jako ustawienia honeyd:

create windows

set windows personality "Windows NT 4.0 Server SP5-SP6"

set windows default tcp action reset

add windows default udp action reset

add windows tcp port 80 "perl scripts\iis-0.95iisemul8.pl"

add windows tcp port 139 open

add windows tcp port 137 open

add windows udp port 137 open

add windows udp port 135 open

set windows uptime 3284460

W celu uruchomienia programu, należy wydać polecenie:

./honeyd -p nmap.prints -a nmap.assoc -f plik_konfiguracyjny -l dziennik_zdarzeń numer_IP_komputera (np. ./honeyd -p nmap.prints -a nmap.assoc -f honeyd.conf -v /var/log/honeyd 194.69.207.0 ).

Do poprawnego działania honeyd wymaga zainstalowanych bibliotek libevent ( http://www.monkey.org/~provos/libevent/ ), libdnet ( http://libdnet.sourceforge.net/ ) oraz libpcap ( http://www.tcpdump.org/ ).


Zobacz również