Technologie, které usnadňují zabezpečení: Medové hrníčky pro útočníky

8. 9. 2011

Sdílet

Informace jsou základem – v případě informační bezpečnosti jak pro útočníka, tak pro obránce. Oba dva přitom řeší stejný problém: jak je získat?

Předtím, než agresor provede útok proti určité síti nebo systému, musí dopředu získávat informace (tedy pokud nejde „naslepo“ a není mu zcela jedno, kam a k čemu se dostane). A právě v této chvíli jej lze poměrně snadno detekovat.

Ovšem nejen to: analýzou jeho zájmů a použitých technik stejně dobře jde určit, kam a jakým způsobem bude útok směřovaný. Jednou ze zajímavých technologií, která slouží k včasné výstraze před útoky, stejně jako třeba k získávání informací o útočnících jsou tzv. honeypots, medové hrníčky.

 

Z pohádky do reality

Tento termín ponejprve vznikl v pohádkovém světě, kdy medvídek Pú neodolal vůni medu a snažil se proniknout do džbánu, z něhož nakonec nemohl vyndat čenich. Později se tento „terminus technikus“ začal používat v oblasti zpravodajských služeb, kde označoval nějaké neodolatelné vábení nastražené na protivníka, který tak (lidově řečeno) „sedl na vějičku“. Odtud pak princip i termín přešly do světa informační bezpečnosti.

Nejde přitom o nic jiného než o psychologii: útočník se snaží jít cestou nejmenšího odporu, a tak mu tuto cestu pouze připravujete a nabízíte. Jinými slovy: dáte-li mu „děravý“ a nezabezpečený server, proč by se pak snažil bojovat s ostatními?

To je ostatně zásadní rozdíl mezi útočníky a obránci (v kybernetickém prostoru, ale i v reálném světě). Útočník hledá nejslabší místo systému, obránce musí zajistit všude stejně vysokou úroveň ochrany. Jinak ona nejslabší místa vytváří.

Ale zpět k „hrníčkům medu“ - ani jejich existence pochopitelně nezaručuje stoprocentní bezpečnost. Útočník může třeba na „ostrých“ serverech zneužívat nedostatek, o kterém ví jen on sám a o kterém právě my nemáme tušení.

Dobře nastavené honeypots ovšem mohou být používány ke zjišťování těchto aktivit. Systém prošpikovaný detektory a čidly (byť virtuálními) může odhalit taktiky a techniky útočníků, čímž pomáhá najít zneužívání třeba ještě veřejně neoznámených zranitelností.

 

Dostupné honeypoty

Na světě jsou v současné době k dispozici mnohé honeypots aplikace – navíc jsou nedílnou součástí prakticky všech moderních systémů IDS a IPS. V nich (a nejen zde) umožňují analyzovat způsoby uvažování a chování agresorů a zavčas přijímat odpovídající protiopatření. K dispozici jsou nástroje proprietární stejně jako open-source.

Rozlišujeme přitom tři základní úrovně „medových hrníčků“. A to s interakcí nízkou, střední a vysokou. V první kategorii (nízká interakce) jsou zpravidla aplikace simulující rozsáhlé síťové prostředí, kdy jsou jednotlivé počítače a servery emulovány dle nepoužívaných IP adres v síti.

Do této kategorie patří třeba program honeyd šířený pod licencí GPL. Nicméně tato technika je velice primitivní, neb spočívá v podstatě jen v postavení fasád, ale za nimi se nic neskrývá. Hacker se může spokojeně projít po ulici, ale kdykoliv chce vstoupit do nějakého domu, zjistí, že se pohybuje v kulisách a že je klamán.

Střední interakce už představuje vzájemné působení útočníka a prostředí. Nicméně i v tomto případě jde spíše o působení na neživého útočníka (virus apod.) než skutečného hackera.

Tupý kód totiž nemá nejmenší důvod se domnívat, že se nepohybuje v „živé“ síti a začne se podle toho chovat. Např. se snaží instalovat, stahovat další komponenty z internetu, dále se šířit – což je mu naoko umožněno, ale ve skutečnosti se nachází pouze v uzavřeném virtuálním prostředí. Kromě jiného zde tedy nemůže způsobit žádnou škodu. Na tomto principu pracují třeba programy mwcollect nebo nepenthes.

Ovšem pro hackery z masa a kostí potřebujete připravit systém s vysokou interakcí. Nejlépe síť reálných systémů, ovšem s přístupem k nim přes speciální bránu, kde je veškerý provoz monitorovaný.

bitcoin_skoleni

Další detektory a čidla jsou pak ve vlastním systému. Za všechny programu uveďme např. Honeynet. Ovšem pozor! Tak jednoduché („nainstaluj a sleduj“) to zase není. Musíme pro útočníka vytvořit jednak důvěryhodné prostředí – třeba vytvořením simulovaného provozu. A jednak prostředí zajímavého (aby sem měl důvod chodit): třeba tím, že v rámci „hrníčku medu“ budou putovat atraktivní informace jako třeba e-maily nebo soubory s hesly…

Samozřejmě, že i hackeři si dávají dobrý pozor, aby nespadli do medové pasti. Nejde jen o to, že je pro ně osobně něco podobného potupou, ale především o to, že mohou vyzradit svoji identitu, taktiku, použité technologie, znalosti…