Yvision.kzYvision.kz
kk
Разное
Разное
399 773 постов41 подписчиков
Всяко-разно
0
11:24, 18 января 2011

Honeypot: Наживка для хакера

Blog post image

Бурный рост телекоммуникационной отрасли привел к тому, что электронная почта стала обычным явлением, решив проблему деловой и личной переписки с точки зрения времени и расстояний. Параллельно мир ощутил и негативные аспекты прогресса, например спам.

Пожалуй, наиболее комплексной проблемой телекоммуникаций, да и IT в целом, можно назвать информационную безопасность. Ее никогда не бывает достаточно, ведь зачастую на карту поставлен весь электронный бизнес организации, и даже при самой надежной системе защиты стопроцентной гарантии неуязвимости внутренних данных компании никто не даст в принципе.

С точки зрения обеспечения информационной безопасности хороши все средства, особенно сегодня — с повсеместным распространением широкополосного интернет-доступа. Казалось бы, можно применить самые совершенные средства аутентификации и криптования, отгородиться мощным межсетевым экраном, но одна маленькая оплошность в ответственной программе способна свести на нет все усилия, предоставив квалифицированному злоумышленнику возможность задействовать эту оплошность в своих целях и в конце концов получить несанкционированные права доступа.

Достаточно долго в этом противостоянии «нападение–защита» практиковалась своеобразная пошаговая стратегия: злоумышленник воспользовался одной лазейкой — ее со временем закрыли. Тогда он нащупал следующую — ее опять закрыли, и т. д. Это полный аналог шахмат, где партия способна длиться сколь угодно долго: за это время компания может понести колоссальные убытки. Оказалось, что практически всегда у хакера есть возможность адекватно отреагировать на защитные меры. А потому потенциально страдающая сторона, дабы минимизировать риск вторжения, обязана играть на опережение. Данному вопросу и посвящена настоящая статья.

Один из методов, позволяющий осуществить эту идею, называется Honeypot (от англ. — «горшочек с медом»). Фактически Honeypot представляет собой приманку, на которую в случае удачи и высокого фактора достоверности попадется злоумышленник. Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что позволит изучить стратегию злоумышленника и определить круг средств, с помощью которых могут быть нанесены удары по реальным объектам безопасности. Реализация Honeypot не принципиальна, это может быть как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание хакеров.

Honeypot кардинально отличается от всех разработок в сфере безопасности. Как правило, все продукты на данном рынке призваны решать строго определенную функцию (неважно, об аппаратном или программном обеспечении идет речь): межсетевой экран решает задачи разграничения доступа из одной сети в другую на различных уровнях, сервис SSH предназначен для шифрованного доступа к ресурсам операционной системы и т. д. Технология Honeypot не предназначена для решения конкретной задачи, а представляет собой целую философию — гибкую, настраиваемую в соответствии с поставленной целью. Как можно догадаться, это не формализованный продукт или технология, а своего рода инструмент, примерно как микроскоп в руках биолога.

Honeypot обеспечивает специалистам в области безопасности достаточно весомые преимущества. В первую очередь, это сбор необходимой информации, зачастую содержащей ценные сведения. Развертывание и эксплуатация «живца» не представляют особой трудности, также и средства Honeypot, как правило, не требовательны к системным ресурсам.

Огромное количество существующих на рынке продуктов имеет развитые встроенные механизмы сбора и анализа информации, касающейся безопасности (в основном на уровне журналов). При желании сетевой администратор способен отследить события в хронологическом порядке и узнать, что же происходило на определенном участке инфраструктуры в X часов Y минут Z секунд. Однако нельзя отрицать, что вычленение необходимых сведений нередко бывает довольно сложным, ведь приходится просматривать огромные лог-файлы, чтобы узнать когда, где и как обнаружилась подозрительная несанкционированная активность. С этой точки зрения средства Honeypot выглядят практически идеально: информации собирается немного, но вся она представляет большую ценность, ведь именно такие сведения раскрывают суть попытки взлома, сканирования или исследования.

Поскольку Honeypot изначально «забрасывается» для атаки и исследований, можно предположить, что практически вся снятая с ловушки информация отражает действия именно злоумышленников. На ее основе можно провести анализ, построить статистику методов, использующихся хакерами, а также определить наличие каких-либо новых решений, применяющихся взломщиками. Неразумно было бы подставлять под удар реальный участок сетевой инфраструктуры — ведь на основе информации от Honeypot можно оперативно внести коррективы в конфигурацию, например, production-сервера.

Один из наиболее щекотливых моментов, связанных с Honeypot, заключается в наглядности метода. Допустим, на этапе проектирования и развертывания инфраструктуры компания ответственно отнеслась к вопросам обеспечения безопасности: были инсталлированы и должным образом настроены межсетевые экраны, средства аутентификации, шифрования и т. д. Потом, как правило, наступает этап успокоения: «нас нельзя взломать, мы вложили огромные средства и имеем дело только с лучшими продуктами», а затем — этап недовольства, ведь если руководство не видит эффекта, то обычно возникают мысли о напрасно потраченных деньгах. Honeypot способен наглядно показать наличие большой опасности — она никуда не исчезла, разве что временно находится «за дверью», но никто не даст гарантии, что через час межсетевой экран и все прочие средства защиты не будут преодолены: достаточно вспомнить о случаях проникновения в сети NASA или военного ведомства США.

Особо следует остановиться на инсталляции и эксплуатации Honeypot. Как правило, весь комплекс мероприятий сводится к «установить и ждать». Наиболее распространен случай с выделенным сервером, находящимся под контролем специалистов. На сегодняшний день имеется множество программ-подделок, которые производят впечатление настоящих, но не являются таковыми, их основная задача — протоколировать весь обмен. Преимущество Honeypot в том, что копию ПО можно сделать на морально устаревшем сервере, не справляющемся с типичными вычислительными задачами электронного бизнеса.

Для того чтобы уяснить ценность ловушек, примем во внимание модель безопасности Брюса Шнейера (Bruce Schneier), которая подразумевает три уровня: предотвращение, обнаружение и ответ. Honeypot-ловушки могут быть задействованы на всех трех уровнях, например на уровне предотвращения Honeypot применяется при замедлении или полной остановке автоматических вторжений. Ловушки можно использовать для обнаружения неавторизованной активности — в этом случае традиционные решения из области безопасности способны сгенерировать огромный объем журнальных записей, в то время как всего несколько из них отображают реальные попытки проникновения или исследования. Кроме того, многие современные технологии не обладают интеллектуальными способностями и не могут идентифицировать доселе незнакомые атаки. Honeypot решает проблемы такого рода — в силу малого объема полезной генерируемой информации можно быть почти уверенным, что имеет место атака или исследование.

Ловушки используются и для реакции на вторжение. Если злоумышленник проник в сеть и одна из атакованных систем оказалась ловушкой, полезная информация, полученная от этой ловушки, применяется для ответа на атаку. Описанные преимущества могут вызвать иллюзию, будто Honeypot — идеальное средство для обеспечения максимальной безопасности. Увы, в силу ряда недостатков это не так, и Honeypot может служить дополнением к имеющемуся комплексу средств защиты. В первую очередь нужно отметить узкую направленность конкретной ловушки, также существует вероятность обнаружения и опасность полного взлома Honeypot.

Honeypot потенциально не способен охватить все проблемы безопасности, поэтому приходится либо исследовать уровень безопасности отдельно взятого фрагмента инфраструктуры, либо задействовать несколько приманок. Нельзя исключить риск осознания злоумышленниками того факта, что перед ними не реальный «фронт работы», а лишь подставная ловушка. Чаще всего это происходит из-за неправильной или недостаточно тщательной настройки ловушки, то есть в подавляющем большинстве случаев виновен человеческий фактор.

Приведем пример: Honeypot замаскирован под сервер доменных имен (DNS), работающий под управлением ОС Sun Solaris. Если в силу каких-либо причин сервер проявит себя работающим под ОС Linux, можно не сомневаться — злоумышленник заподозрит ловушку. Еще одна типичная проблема — активность: если это не реальный компьютер, то чаще всего он не будет проявлять никакой активности (находясь в пассивном режиме ожидания взлома) и не станет генерировать сетевой трафик, что сразу же заметит злоумышленник.

В интернет-сообществах хакеров довольно остро стоит проблема обнаружения Honeypot — это действительно очень эффективное средство безопасности. Для чего даже созданы специальные утилиты, например Honey Hunter, однако однозначного рецепта на данный счет нет. Грамотно построенный Honeypot практически невозможно распознать, и это еще раз подтверждает, что обнаружение ловушки практически всегда является следствием человеческого фактора. Крайний случай неудачи с Honeypot выглядит как полный взлом ловушки и использование Honeypot в качестве плацдарма для совершения атак на другие устройства и сервисы. Но это весьма редко встречающийся сценарий развития событий, ведь никто в здравом уме не станет даже теоретически допускать возможность использования ловушки как стартовой площадки для нападения на другие объекты. Если разрешить применять Honeypot для соединения с удаленными хостами, атакующий будет иметь возможность нападения на другие системы, используя IP-адрес ловушки как источник атаки, что с юридической точки зрения вызовет серьезные проблемы. Подобную возможность можно или запретить, или контролировать, однако если она запрещена, это может показаться подозрительным злоумышленнику, а если она существует, но контролируется, атакующий способен оценить ограничения или запрещенные запросы, и на основе полученной информации сделать вывод, что атакуемый объект — ловушка.

Помимо сугубо практического применения Honeypot, описанного выше, не менее важна и другая сторона вопроса — исследовательская. К сожалению, одна из наиболее актуальных проблем специалистов по безопасности заключается в нехватке информации. Кто является угрозой, зачем они атакуют, каким образом и какие средства используют, — эти вопросы очень часто не имеют однозначного ответа. Осведомлен значит вооружен, но в мире безопасности такой информации мало — нет источников данных. Это и неудивительно, ведь речь идет о настоящем противостоянии специалистов по безопасности и специалистов по «антибезопасности». Обычно профессионалы безопасности узнавали о злоумышленниках, изучая используемые ими средства и анализируя следы атаки. Когда система была скомпрометирована, администраторы часто находили средства злоумышленников, оставленные ими на взломанной системе. Таким образом делалось множество предположений, основанных на зафиксированных средствах и методиках.

Для целей сбора недостающих данных Honeypot помогут отследить весь процесс атаки, вплоть до фиксирования нажатия клавиш на клавиатуре. И хотя в общем случае исследовательские ловушки не уменьшают риск для организации, собранная с них информация вполне может быть применена на реальных системах, например, для улучшения предупреждения, обнаружения, возможностей протоколирования и необходимой реакции на потенциальный взлом.

Идея Honeypot представлена и в более масштабном понимании — на уровне целой сети — Honeynet. Это определенная разновидность Honeypot, однако подобная система состоит не из одного компьютера или активного сетевого устройства, а из целой сети. Она находится за межсетевым экраном и перехватывает все входящие и исходящие соединения, затем информация об активности злоумышленника рассматривается и анализируется. Honeynet, разумеется, создает для атакующего более достоверную картину, нежели организованный отдельно Honeypot.

Кроме того, с помощью нескольких машин с различным программным обеспечением можно гораздо больше узнать о действиях хакера, нежели при использовании одной ловушки.

0
749
1