Cari lettori di Tecnogalaxy, oggi parleremo di honeypot, andremo a vedere cosa sono e perché vengono utilizzate in ambiente informatico.

Gli honeypot sono sistemi hardware o software usati come esca per attirare i cyber criminali, studiare le loro mosse e le loro tecniche in modo da capirne in anticipo le intenzioni e attivare le giuste contromisure per rispondere ad un eventuale attacco informatico.

Il nome honeypot si ricollega al mondo dello spionaggio, dove una relazione romantica viene sfruttata per rubare segreti. Spesso una spia nemica viene compromessa mettendo in atto una trappola di questo tipo per poi ricattarla per ottenere tutte le informazioni che conosce.

A livello tecnico si tratta di un computer che viene sacrificato come trappola per attirare un attacco informatico. Presentandosi come un bersaglio per i cyber criminali e quindi rientrano a pieno titolo tra gli strumenti di “Intrusion Detection System (IDS)”,  che permettono di eseguire un monitoraggio continuo allo scopo di identificare – in anticipo – tutti gli attacchi alle reti informatiche e ai computer connessi.

L’utilizzo degli honeypot è una tecnica di difesa attiva definita anche come “Cyber Deception”, dove si cerca di ingannare l’avversario affinché colpisca il perimetro cyber della nostra organizzazione, verrà guidato inconsapevolmente in un punto preciso in modo da farlo uscire allo scoperto.

Come funzionano gli honeypot?

Come accennato sopra l’honeypot sembra un normale computer che ha installato software e dati e proprio per questo motivo diventa un classico obiettivo per i criminali informatici. L’esca potrebbe presentarsi come un sistema di fatturazione aziendale, “che spesso vediamo come bersaglio dei cyber criminali”, che cercano di scoprire i numeri delle carte di credito.

Una volta entrati i cyber criminali vengono tracciati e viene studiato il loro comportamento per ottenere indizi su come rendere più sicura la vera rete aziendale.

Per renderli più appetibili gli honeypot vengono resi appetibili perché presenti di vulnerabilità di sicurezza, ad esempio avranno porte che rispondono a una scansione, avranno password deboli, e le porte vulnerabili potrebbero venire lasciate aperte per attirare appunto i cyber nell’ambiente honeypot.

Esistono diversi tipi di honeypot, la prima avviene con le trappole e-mail o trappole spam che mettono un falso indirizzo e-mail in una posizione nascosta.

Dato che l’indirizzo ha come unica funzione quella di fare da trappola spam, si è sicuri al 100% che qualsiasi mail riceva sia spam. Tutti i messaggi che contengono lo stesso contenuto di quelli inviati alla trappola saranno automaticamente bloccati e l’IP del mittente sarà aggiunto a una blacklist.

Database esca altro tipo di honeypot che può essere impostato per monitorare vulnerabilità software e individuare attacchi come ad esempio “iniezioni SQL”, sfruttamento dei servizi SQL, o abuso delle autorizzazioni.

Malware honeypot imita le app software e API per attrarre attacchi malware, le caratteristiche del malware saranno poi analizzate per sviluppare software antimalware o per eliminare vulnerabilità nelle API.

Spider honeypot , pensato per intrappolare i webcrawler “detti anche spider” creando delle pagine Web e dei link accessibili soltanto ad essi. Facendo la rilevazione dei crawler si possono imparare le tecniche per bloccare i bot dannosi e i crawler di reti pubblicitarie.

Mettendo in atto tutte queste tecniche è possibile monitorare il traffico in entrata nel sistema honeypot stabilendo quanto segue:

  • Da dove arrivano i cybercriminali
  • Che livello ha la minaccia
  • Quale tecnica sta utilizzando l’attaccante
  • A quali dati e a quali software sono interessati
  • Livello di efficacia delle attuali misure di sicurezza contro i cyberattacchi

Quali sono i vantaggi degli honeypot?

Come abbiamo potuto vedere in questo articolo, gli honeypot sono molto utili per scoprire le vulnerabilità nei grandi sistemi, potrebbero ad esempio essere utilizzati per mostrare l’alto livello di minaccia posto da attacchi ai dispositivi, possono anche suggerire modi per migliorare la sicurezza.

C’è anche una parte pericolosa sull’utilizzo degli honeypot, come descritto un honeypot ben configurato trarrà i cyber criminali in inganno, facendo credere all’attaccante di aver ottenuto accesso a un sistema reale.

Ci saranno gli stessi messaggi d’avviso all’accesso, lo stesso aspetto , gli stessi campi dei dati, gli stessi loghi dei vostri sistemi (tutto ovviamente fake). Se però l’attaccante si accorge dell’inganno, sicuramente cambierà la strategia di attacco procedendo ad attaccare gli altri vostri sistemi lasciando da parte la trappola.

Un aggressore una volta toccato l’honeypot, potrà creare finti attacchi in modo da distrarre l’attenzione da un vero exploit direzionato ai vostri sistemi di produzione reali, inviando informazioni false all’honeypot.

Una vera e propria strategia di guerra!!!

Di seguito vi farò vedere un semplice esempio di honeypot definita la “cartella civetta”, che  è una tecnica frequentemente usata per individuare i pericolosi attacchi ransomware.

La configurazione inizia creando all’interno de sistema una cartella che conterrà un certo numero di file “con le estensioni tipiche che i ransomware criptano”.

Tale cartella verrà tenuta sotto controllo da uno speciale agent “una sonda” che sarà in grado di rilevare ogni interazione con i file in essa contenuti.

Questi file essendo privi di importanza e non utilizzati dagli utenti del sistema, qualsiasi interazione “ad esempio una criptazione” verrà immediatamente segnalata come attacco.

Di solito i ransomware eseguono la criptazione procedendo cartella per cartella, la tecnica è quella di di posizionare la cartella “civetta” in una posizione tale da essere la prima che viene colpita dall’attacco.

Ad esempio gli daremo un nome che la ponga al primo posto nell’ordine alfabetico , la tecnica dei ransomware è quella di procedere a criptare le cartelle in ordine alfabetico.

Sul web è possibile trovare numerose soluzioni che vengono offerte per impostare degli honeypot, addirittura alcune anche open source.

Di seguito una lista di quelle più conosciute ed utilizzate:

  • Capture-HPC:  un honeypot ad alta interazione che utilizza un’architettura client-server, viene configurato un server che stabilisce i siti da visitare e controlla diversi client, che a loro volta aprono le pagine ed inviano i risultati delle loro analisi al server.
  • Honeyd: è uno dei più noti , è un honeypot a bassa interazione lato server che permette di emulare diversi servizi e diversi sistemi operativi.
  • mapWOC : un honeypot open source ad alta interazione lato client, carica le pagine grazie a browser reali che funzionano su una macchina virtuale.

In conclusione gli all’honeypot  andrebbero implementati all’interno di un’architettura coordinata che comprenda anche un sistema IDS “Intrusion Detection System” ed il firewall.

In questo modo si otterrà un duplice scopo: far uscire allo scoperto l’azione dell’attaccante, senza bloccarla, e raccogliere informazioni tali da conoscere meglio il proprio nemico.

Tuttavia l’utilizzo molto importante degli all’honeypot non sostituisce  un’adeguata cybersecurity all’interno della propria organizzazione

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.