Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Honeypot – pasca na útočníkov 1. časť

Ak chceme budovať efektívnu ochrannú líniu a dbať o bezpečnosť našej siete, serverov, či pracovných staníc je bezpochyby potrebné držať krok s aktuálnymi trendmi v oblasti IT hrozieb. Hrozby sa rôznia od cielených útokov, cez malware až po zvládanie spamu. Prostriedkom, ktorý nám umožní lepšie porozumieť a analyzovať „druhú“ stranu je nástroj, ktorému sa venuje tento článok tzv. honeypot.

Ubehla už pomerne dlhá doba od rozhovoru, ktorý sme zrealizovali s Davidom Vorelom, vedúcim projektu honeynet.cz. Dnes na tento rozhovor nadviažeme a povieme si o honeypotoch a honeynetoch niečo viac.

Honeypot ako lákadlo pre útočníkov

Spravidla sa snažíme každý produkčný, ale i výskumný systém pripojený na sieť chrániť. Predstavte si, že honeypot je pravý opak tohto princípu. Jeho zmysel a výpovedná hodnota spočíva práve v jeho napadnutí, a teda neautorizovanom využití na istú, zvyčajne nekalú činnosť. Každé pripojenie na honeypot je štandardne považované za útok resp. bezpečnostný incident. Prevádzkovateľ honeypotu následne túto činnosť analyzuje a vyhodnocuje. Výsledkom je oboznámenie sa s postupom útočníka, získanie vzorky malware (často i zatiaľ neznámej), nahliadnutie do botnetu, aktualizácia pravidiel firewallov, či IPS systémov, analýza trendov nevyžiadanej pošty, či spamu na rôznych webových fórach, alebo i odlákanie pozornosti od produkčného systému. Ako vidíte využitie honeypotov je veľmi rôznorodé. Dôležité je však zaistiť to, aby honeypot nikdy nespôsobil škodu na skutočnom systéme a sieti.

Média občas prinášajú správy o zapojení honeypotov do botnetu, či o využití honeypotu na cielený útok. Toto je najhorší scénar každého správcu honeypotu. Vlastne ide o jeho zlyhanie, keďže nedokázal zabrániť zneužitiu tohto systému. Zabrániť zneužitiu však nie je vždy také jednoduché. Útočníkom je samozrejme fenomén honeypotov veľmi dobre známy. V tom lepšom prípade po identifikácií systému, ako honeypotu – tento systém ignorujú. V tom horšom sa pokúsia o jeho cielené zneužitie prípadne vyradenie. Občas však dochádza aj k iným situáciám a to povedzme bizardnejším. Jeden bezpečnostný tím napríklad pozoruje aktivitu iného výskumného tímu v domnienke, že ide o reálnych útočníkov.

Pre oblasť výskumu majú honeypoty zaručene obrovský prínos. Medzi ich prevádzkovateľov patria najčastejšie rôzne univerzity, výskumné organizácie, bezpečnostné tímy, či už privátne, ale i bezpečnostné tímy jednotlivých krajín, ale svoje uplatnenie nachádzajú aj v rámci bezpečnostných a spravodajských zložiek, samozrejmosťou je ich prevádzka pri bezpečnostných spoločnostiach a občas i u poskytovateľov internetovej konektivity.

obrazok

Honeypot a produkčná sieť

Ak sa prenesieme od výskumnej a akademickej sféry, kde sa honeypoty používajú najčastejšie, ku sfére korporátnej zistíme, že tieto nástroje si nájdu svoje opodstatnte i v tejto oblasti. Ak však spomeniete pojem honeypot administrátorovi siete zvyčajne ho veľmi ľahkomyseľne odmietne. V prvom rade si s ním spája mnoho obáv a rizík. Avšak tí zanietení správcovia sietí vedia, že to nie je celkom tak. Ak je prevádzkovateľ honeypotu schopný zaistiť jeho fungovanie vzhľadom na sieť a možnosti danej organizácie, žiadne riziko nehrozí, práve naopak organizácia spustením tohto nástroja veľmi veľa získa. Ak vás napadá otázka ako, odpoveď je jednoduchá. Poďme si to „rozmeniť na drobné.“

Honeypot môže v sieti organizácie v prvom rade slúžiť z vonkajšieho pohľadu ako cieľ, ktorý odláka potenciálnych útočníkov od iných skutočne dôležitých cieľov v danej sieti. Toto pravidlo platí najmä vo vzťahu k automatizovaným útokom, ako je aktivita sieťových červov. Sťažiť a zmiasť však môže i cielený útok a povedzme profesionálneho útočníka.

Ďalším dôvodom prečo sa v organizácií zaoberať nasadením honeypotu je lokálna sieť. Iste poznáte problémy s aplikovaním bezpečnostnej politiky a jej vynucovanie u radových zamestnancov. Tiež sa istotne trápite s fenoménom dneška tzv. BYOD – Bring your own device. Honeypot vám v tomto smere pomôže identifikovať potenciálne hrozby vo vnútri vašej siete. Napríklad môže ísť o červa, ktorý sa vyhol detekčným mechanizmom pre nerešpektovanie, alebo výnimočné zlyhanie vašej bezpečnostnej politiky a bezpečnostných prvkov. Môže však tiež ísť o „šikovného“ zamestnanca, ktorý vyvíja nekalé aktivity. Toto všetko dokáže identifikovať práve honeypot. Ďalšou oblasťou nasadenia honeypotov sú bezdrôtové siete, tam poslúžia na identifikáciu pokusov o narušenie jej bezpečnosti, či o prehľad potenciálnych útokov. Samozrejme tieto činnosti je možné realizovať a automatizovať pokročilými monitorovacími zariadeniami, ktoré však stoja nemalé finančné prostriedky a v podstate sa funkčne prekrývajú s možnosťami honeypotov. No honeypoty je možné postaviť na čiste open-source platforme a ušetriť tak nemalý finančný obnos.

Vráťme sa však teraz opäť k ochrane korporátnej siete z vonka. Honeypoty môžu poslúžiť organizácií ako zdroj nových poznatkov, ale čiastočne i ako „systém včasného varovania“ a obohatiť tak pravidlá firewallov a IPS/IDS systémov. Organizácia tak môže byť o krok vpred kým zareagujú patričné bezpečnostné inštitúcie vydaním svojich aktualizácií pre najrôznejšie bezpečnostné prvky a riešenia.

obrazok
Jednoduchý honeynet. Implementácia honeypotov vo výskumnej sieti. Samozrejme podobný honeynet je možné realizovať i v produkčnej sieti, závisí od možností a znalostí, ktoré má daná organizácia a správca siete.
obrazok
Modelový scénar pre implementáciu honeypotu v rámci produkčnej siete. V takomto prípade honeypot samotný nepredstavuje pre zvyšok siete takmer žiadne riziko.

Kde sa vzal honeypot? Krátky pohľad do histórie

V akademických kruhoch sa pojem honeypot začal objavovať začiatkom 90. rokov 20 storočia. Za priekopníka v tejto oblasti možno označiť Clifforda Stolla, astronóma pracujúceho v laboratóriu Lawrence Berkley, kde spravoval počítačovú sieť určenú na vedecké účely (80. roky), ktorý vo svojej práci (podobajúcej sa skôr románu) popísal ako odhalil istého nemeckého narušiteľa pomocou „honeypotu.“ Nešlo však o honeypot v pravom slova-zmysle, Stoll útočníka sledoval a dokumentoval jeho postup, namiesto toho, aby zabránil jeho počínaniu hneď po jeho odhalení. Na základe analýzy, ktorú vykonal dokázal v spolupráci s políciou zhruba po roku tohto útočníka dolapiť. Ďalším viac technickým dielom je práca od Billa Cheswigoma, ten analyzoval za pomoci honeypotu holandského útočníka. V roku 1997 sa objavil jeden z prvých voľne dostupných honeypotov pod názvom Deception Toolkit, o rok nasledovaný komerčným riešením s názvom Cybercop Sting. Vývoj tohto riešenia napriek vysokej technologickej úrovni, ktorú dosiahlo na svoju dobu nepokračoval z dôvodu komerčného neúspechu. Míľnikom vo svete honeypotov bol rok 1999, kedy vzniklo najznámejšie združenie v tejto oblasti – The Honeynet Project. Významný úspech zaznamenal pojem honeypot v roku 2002, kedy bol vďaka tomuto nástroju zachytený exploit pre Solaris využívajúci dosiaľ neznámu bezpečnostnú chybu. No a v roku 2004 bol vydaný dodnes hojne používaný open-source nástroj z produkcie The Honeynet Project - Honeywall Roo.

Ako možno klasifikovať honeypoty?

Honeypoty možno rozdeliť z mnohých hľadísk. Ak si prejdete niečo z mála literatúry, ktorá je pre túto oblasť dostupná, prípadne relevantné online materiály, zistíte, že nie vždy panuje zhoda na ich kategorizácií. Pre jednoduchosť tohto článku ich rozdelíme nasledovne.

Honeypoty v prvom rade možno rozdeliť z pohľadu pasivity resp. aktivity. Pasivita v tomto prípade znamená, či honeypot len pasívne čaká spôsobom, že ponúka svoje zraniteľné služby ako server, alebo aktívne prehľadáva sieť, ako klient a interaguje so servermi. Pasívne honeypoty možno označiť ako serverové. Ako je spomenuté vyššie ide „len“ o vábenie útočníka na zámerne zraniteľné služby bežiace na danom systéme. Aktívne honeypoty možno označiť ako klientské. Tieto honeypoty aktívne mapujú sieť a ak nájdu určitý server interagujú s ním spôsobom simulácie softvéru na strane klienta. Ide napríklad o simuláciu zraniteľného webového prehliadača, e-mailového klienta, či rôznych aplikačných služieb. Tieto honeypoty sa v jednoduchosti povedané pokúšajú vyprovokovať server k využitiu klientskej zraniteľnosti. Medzi najpopulárnejšie implementácie (zahŕňame tu vysokointeraktívne i nízkointeraktívne riešenia) patria Capture-HPC, HoneyClient, HoneyC, či SpyBye. Ak v tomto prípade rozlíšime mieru interakcie, klientske honeypoty s nízkou mierou interakcie len porovnávajú prípadný útok zo strany servera s databázou svojich vzoriek. Vysokointeraktívne klientske honeypoty po interakcii so serverom skúmajú zmeny v systéme (ktorý je zvyčajne virtualizovaný), a tak môžu objaviť i doposiaľ neznáme útoky, ktorých vzorky ešte nie sú v databázach pre nízkointeraktívne honeypoty.

Miera interakcie

Druhý zásadný spôsob kategorizácie spočíva vo vyhodnotení miery interakcie daného honeypotu. Vyššie je spomenutá miera interakcie pre klientske honeypoty takže sa poďme pozrieť ako je to s mierou interakcie pri serverových honeypotoch. Ich mieru interakcie možno klasifikovať v troch kategóriách (no zvyčajne sa používajú len dve): Vysokointeraktívne, stredneinteraktívne a nízkointeraktívne.

Nízkointeraktívne honeypoty sú založené na emulácií sieťových služieb. Ochotné pri komunikácií s útočníkom sú len do doby, pokiaľ sa daný útočník pripojí. Po jeho pripojení vykonajú vopred určenú akciu, ide napríklad o odpoveď vopred definovanou správou (banner), dokážu stiahnuť vzorku malware, ktorý chce útočník použiť a pod. Majú obmedzené množstvo aktivít, ktoré sú schopné realizovať a tiež počet aktívnych spojení. Ide o veľmi bezpečné riešenie, útočník nemá k dispozícií operačný systém, ale ma prístup výlučne len k emulovanej službe, ktorá je upravená tak, aby útočník nadobudol pocit, že ide o reálne bežiacu službu s reálnou výpovednou hodnotou. Cieľom je v rámci možností získať o útočníkovi čo najviac informácií. Tieto honeypoty sú najčastejšie používané ako produkčné, oproti vysokointeraktívnym sa ľahko spravujú, majú nízke náklady na beh a nepredstavujú ani menšie riziko. Zvyčajne však zachytia len automatizované, už známe útoky. Dajú sa teda použiť na štatistické účely, na odvedenie pozornosti (spomínané vyššie) a tvorbu pravidiel pre bezpečnostné nástroje.

Stredneinteraktívne honeypoty sú funkčnosťou veľmi podobné nízkointeraktívnym honeypotom, preto sa táto kategória veľmi v praxi nepoužíva. Jediný rozdiel je v tom, že útočníkovi ponúkajú o niečo viac možností pre jeho sebarealizáciu. Najznámejšie dnes využívané implementácie sú Dionaea (nástupca Nepenthes), Honeyd, či HoneyTrap.

Poslednou kategóriou z tohto hľadiska sú vysokointeraktívne honeypoty. Tieto honeypoty dávajú útočníkovi k dispozícií celý svoj operačný systém spolu so službami a aplikáciami, ktoré na ňom bežia. Spravidla sa jedná o virtualizovaný systém, kde je možné pomerne jednoducho a rýchlo obnoviť pôvodný (nemodifikovaný) stav. Pri použití tohto riešenia sa však už objavujú isté riziká a taktiež stúpa náročnosť na ich prevádzku. Systém je potrebné veľmi detailne monitorovať, aby mohla byť činnosť útočníka zaznamenaná, analyzovaná a vyhodnotená. Veľmi dôležité je daný systém zabezpečiť pomocou firewallu a špeciálne prispôsobeného IPS systému tak, aby ho nemohol útočník zneužiť napr. pre cielený útok, či zapojenie do botnetu a vyvíjať tak škodlivú činnosť. Jednoducho povedané treba ho „strážiť.“ Tieto riešenia majú veľký prínos pre výskum, je tak možné identifikovať zraniteľnosti nulového dňa tzv. zero-day zraniteľnosti, odhaliť nový malware, ale i vysokosofistikované cielené útoky (techniky a nástroje, ktoré používa konkrétny útočník). V poslednej dobe sa honeypoty používajú i na analýzu útokov smerovaných na priemyselné systémy, či kritickú infraštruktúru. Čo sa týka implementácie honeywallu, akéhosi firewallu a manažérskeho systému pre honeypoty, veľmi rozšíreným je Honeywall Roo od The Honeynet Project. Na monitorovanie systému honeypotu sa používa napr. Sebek, či Qebek, ide o open-source nástroje, ktoré sú tiež dielom The Honeynet Project, no v súčasnosti sú zastarané a ich aktívny vývoj už žiaľ neprebieha.

Stretnúť sa môžeme i s hybridnými honeypotmi. Tieto honeypoty kombinujú možnosti vysokointeraktívnych a nízkointeraktívnych honeypotov. Ide napríklad o to, že honeypot sa tvári ako komplexný systém no po nalákaní útočníka presmeruje tok jeho aktivít do emulovaného prostredia. Naopak existujú i implementácie, ktoré sú schopné pri podozrení na nový útok sprístupniť neemulovaný operačný systém, inak pracujú výlučne v emulovanom prostredí.

obrazok

Produkčné verzus výskumné honeypoty, fyzické a virtuálne honeypoty

Hľadisko na základe ktorého možno klasifikovať honeypoty podľa využitia. Myslím, že tento článok už vo svojom úvode poskytol pohľad na túto klasifikáciu, a tak by bolo zbytočné opakovať všetky spomenuté fakty.

Každý honeypot môže byť buďto fyzický, alebo virtualizovaný za pomoci nástrojov akými sú napríklad VmWare, či Oracle VirtualBox. V praxi je výhoda virtualizovaného systému nesporná. Správca ho môže flexibilne a veľmi jednoducho obnoviť do pôvodného stavu a tiež pohodlne modifikovať jeho parametre prípadne celý systém „premiestniť.“ V istých prípadoch, kde sa predpokladá výskum veľmi sofistikovaných útokov by však použitie virtualizácie mohlo predstavovať riziko odhalenia pre prípadného veľmi zbehlého útočníka.

Ďalšie typy honeypotov

Honeypoty možno ďalej deliť do ďalších kategórií ako napr. bezdrôtové honeypoty (spomenuté vyššie). Honeypoty simulujúce rôzne webové služby, tu sa snažíme predovšetkým o detekciu útokov ako XSS, SQL injection a pod. Ale využitie nájdu i pri výskume spambotov, phishingu a podobných hrozieb. Medzi implementácie patria Google Hack Honeypot, PHPHop a mnohé ďalšie. Možné je tiež prevádzkovať celé farmy honeypotov, za využitia virtualizácie a tvorby jednotlivých honeypotov podľa potreby napr. kvôli ochrane reálnej siete. V tomto prípade sa určitá prevádzka presmeruje podľa vopred stanovených pravidiel na danú farmu, kde sa ďalej analyzuje. Okrem týchto typov existujú i honeypoty pre Bluetooth, USB a pod. Kreativite tvorcov sa v tejto oblasti medze nekladú.

Atraktívnosť pre útočníkov

Na záver sa v krátkosti dotknem i problematiky atraktivity pre potenciálnych útočníkov. Je všeobecne známe, že "automatizovaní útočníci" v podobe botov dokážu relatívne rýchlo preskenovať obrovské množstvo IP adries. Prejdú tak napríklad rozsah patriaci celému autonómnemu systému. V tomto prípade sa môže zdať, že nie je veľmi potrebné venovať problematike atraktívnosti zvýšenú pozornosť a že prípadný nezáujem zo strany útočníkov nehrozí. Avšak nie je to celkom tak. Prax ukazuje, že najmä v prípade nasadenia vysokointeraktívnych honeypotov je záujem zo strany útočníkov pomerne malý. Spravidla najväčší počet pokusov o útok prichádza na port 445. No dobrou správou je, že atraktívnosť honeypotov možno rôznymi spôsobmi zvýšiť. V prvom rade je potrebné navodiť dojem reálneho systému, a teda produkovať istý druh výstupu, či komunikácie ako v prípade skutočných produkčných systémov. Tento fakt je dôležitý najmä v prípade ak sú cieľom výskumu sofistikovanejšie, prípadne cielené útoky. Pri týchto typoch útokov si útočník v porovnaní s plne automatizovanými pokusmi preskúma daný "terén" oveľa poctivejšie. Ďalším dôležitým faktorom je napríklad indexácia doménového názvu vyhľadávačmi. Ako návnadu možno vytvoriť napríklad honeypot fórum, či zraniteľnú webovú stránku. Atraktívnosť sa samozrejme zvyšuje s vyšším počtom honeypotov a využitím tzv. honeynetov.

Záver

V prvej časti sme si objasnili základnú problematiku, rozdelenie a históriu honeypotov. V ďalšom pokračovaní sa pozrieme na honeynety a organizácie, ktoré sa aktívne zapodievajú výskumom využívajúcim honeypoty a tiež na inštitúcie šíriace v tejto oblasti patričnú osvetu.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info