Honeypot (detekcijski sistem)

Iz Wikipedije, proste enciklopedije

Honeypot je varnostni računalniški mehanizem oziroma navidezni sistem, zasnovan za odkrivanje ali preprečevanje nepooblaščenega dostopa, ter uporabe informacijskega sistema. Ime honeypot se uporablja predvsem za nastavljanje pasti nepooblaščenim uporabnikom, kot so hekerji ali drugi zlonamerni uporabniki.[1] Sistem je sestavljen iz računalnika, aplikacij in podatkov, ki simulirajo podatke realnega sistema, saj izgleda kot del omrežja.[2] Navzven deluje kot oslabljen oziroma ranljiv sistem, ki vsebuje veliko nepristnih datotek in map, z namenom, da privabi potencialne napadalce k poskusu vdora, zraven pa beleži vse aktivnosti.[3]

Delovanje Honeypota[uredi | uredi kodo]

Honeypot je varnostno sredstvo, ki je brez produkcijske vrednosti in na prvi pogled deluje kot zelo ranljiv sistem. Pravzaprav pa preprečuje, da bi napadalci dostopali do zaupnih podatkov podjetja ali posameznikov, preprečuje tudi dostop do preostalih delov tehnične opreme in dostop do administrativnih pravic oziroma do upravljanja sistema. Da bi se napadalcem sistem zdel čim bolj pristen, vsebuje veliko nepristnih datotek in map in prav zato na prvi pogled deluje ranljiv, lahka tarča za vdore, v resnici pa ima zelo velik pomen za podjetje. Ko pride napadalec v sistem, in ne odkrije, da okolje v katero je vdrl, ni pristno, lahko sistemski administratorji zberejo podatke o njegovi identiteti, namenu in načinu, s katerim je prišel v sistem. Tako se pridobi vpogled v to, kako napadalci delujejo, pridobljeno znanje pa se uporabi v prihodnosti za preprečevanje napadov na prave produkcijske sisteme. Pomembno je, da honeypot čim bolj posnema resnični sistem, saj bo tako napad trajal dlje časa in bo več možnosti za zbiranje podatkov o napadalcu.[4]

Zgodovina[uredi | uredi kodo]

Izraz honeypot se je najprej pričel uporabljati v vojski in vladnih organizacijah, začetki pa naj bi segali tja v sredino osemdesetih let. V računalniških omrežjih so nastavljali vabe v navidezni obliki pomembnih sporočil ter dokumentov. Približno desetletje pozneje, pa so se pojavile tudi prve javno dostopne aplikacije, ki bi jih lahko uvrstili v sisteme honeypot.[5] Leta 1998 je veliko honeypotov postalo javno dostopnih, nastal je tudi program za operacijske sisteme Windows. Dve leti kasneje pa so tehnologijo začeli uporabljati za lovljenje črvov ter proučevanje njihovega delovanja.[6]

Tipi[uredi | uredi kodo]

Nizko interakcijski sistemi: omogočajo omejen nabor storitev resničnega sistema, ki jih oponašajo. Tu ne gre za računalniški sistem, v katerega bi se napadalec prijavil ali vdrl vanj. Nizko interakcijski tipi so uporabni večinoma za zgodnje odkrivanje nedovoljenih aktivnosti na računalniškem sistemu in opozarjanje nanje. Pri tej vrsti honeypota ni vloženo veliko truda v to, da bi napadalca prepričali, da gre za pristen produkcijski sistem. Cilj je namreč samo, da zabeležijo aktivnosti in o tem obvestijo administratorje.

Visoko interakcijski sistemi: cilj visoko interakcijskih honeypotov je ponuditi hekerjem dostop in interakcijo s pravim operacijskim sistemom, če pa hekerju uspe honeypot izkoristiti, ga lahko tudi uporabi-zlorabi kot orodje za napadanje drugih sistemov in omrežij. Da do tega ne bi prišlo, bi moral biti v sistemu aktiven močan požarni zid. Če želi administrator ugotoviti namen napadalca, mora zaradi obsega in količine podatkov, ki ga honeypot spremlja in beleži, vložiti precej več truda za spremljanje in analiziranje vseh podatkov.[7]

Poleg visoko in nizko interakcijskega poznamo še druge tipe sistemov: sistem s srednjo stopnjo interaktivnosti, raziskovalni, produkcijski, fizični in navidezni honeypot sistem.

Prednosti in slabosti[uredi | uredi kodo]

Je zelo preprosto oblikovan, zato ima številne prednosti. Zbira majhne nize podatkov, z zelo visoko vrednostjo, z njim pa se odkriva katera orodja napadalci uporabljajo, hkrati pa omogoča odkrivanje socialne mreže preko katere napadalci med seboj komunicirajo. Prednost je tudi v tem, da je poceni in ne potrebuje pretiranega vzdrževanja.[8]

Med slabosti sistema pa sodi to, da heker lahko prepozna da je prišel v sistem honeypot, nato pa prevzame nadzor in izkoristi možnost za napad na produkcijski sistem v omrežju. Pomembno je, da so honeypot sistemi uspešno zakriti, saj če je vaba preveč očitna, se bodo hekerji ukvarjali z drugimi tarčami, sistem pa tako nima nobene vrednosti če ni napaden, saj nič ne pripomore k boljši varnosti.[5]

Kako priti do Honeypota?[uredi | uredi kodo]

Honeypot lahko izdela uporabnik sam, v nasprotnem primeru pa obstajajo številni ponudniki, npr.:

  • Argos: visoko interacijski, zaznava oddaljene poskuse ogrožanja emuliranega operacijskega sistema, odkriva nove napade in zero-day ranljivosti (http://www.few.vu.nl/argos/)[3]

Glej tudi[uredi | uredi kodo]

Viri[uredi | uredi kodo]

  1. »Honeypot Definition«. techterms.com (v angleščini). Pridobljeno 22. januarja 2017.
  2. »What is honeypot (honey pot)? - Definition from WhatIs.com«. SearchSecurity (v ameriški angleščini). Pridobljeno 22. januarja 2017.
  3. 3,0 3,1 Žužek, J. (2015). Zaznavanje napadov z detekcijskim sistemom Honeypot (Diplomsko delo).
  4. William W. Martin, "Honeypots and Honeynets - Security throught Deception", SANS Institute 2003.
  5. 5,0 5,1 Anders, G. (2013). Sistemi za dodatno omrežno varnost "Honeypot" (Diplomsko delo).
  6. Peter, Todd Schiller and Eric. »A Practical Guide to Honeypots«. www.cs.wustl.edu (v angleščini). Pridobljeno 22. januarja 2017.
  7. »Types of Honeypots - Low Interaction Honeypots and High Interaction Honeypots«. www.omnisecu.com. Pridobljeno 24. januarja 2017.
  8. »Honeynet Tutorial - Honeypots - Advantages and Disadvantages«. homes.cerias.purdue.edu. Arhivirano iz prvotnega spletišča dne 20. januarja 2017. Pridobljeno 24. januarja 2017.