ABC della sicurezza

ABC della sicurezza: Honeypot

honeypot

La “trappola al miele”, meglio conosciuta in ambito intelligence come honey trap, è un trucco molto usato nel mondo degli 007. In effetti la storia è piena di aneddoti in cui uomini restano affascinati dall’avvenenza di una bellissima donna, rivelatasi poi una spia. Così come successe a Mordechai Vanunu, famoso ex tecnico nucleare israeliano, il quale dopo aver dichiarato che Israele era in possesso di un arsenale atomico, e prima di poter rivelare i dettagli al Sunday Times, fu sedotto e letteralmente rapito dalla bellezza “al miele” di Cheryl Ben Tov. La donna, nome in codice “Cindy”, lo condusse a Roma per una vacanza romantica durante la quale venne catturato dal Mossad, per essere poi imprigionato per lunghi mesi nelle carceri israeliane con l’accusa di tradimento.

honeypotPerché parlarne in questa sede? Perché così come per le spie, esiste una versione informatica per della trappola al miele: l’ (letteralemente “barattolo di miele”). Il suo scopo, o meglio ancora quello di una honeynet, è di ottenere informazioni attraendo “la preda”, l’, in una vera e propria trappola. In questo caso la nostra trappola non avrà le fattezze di una donna come nel caso di Vanunu, ma piuttosto freddi byte e affascinanti file system da sfogliare. Di fatto si tratta di una trappola tecnologica che riesce ad attirare un lontano dal perimetro di produzione e che ci consenta di isolarlo e magari studiarlo senza che lui se ne accorga.

Questo è esattamente ciò che riuscì a Clifford Stoll, astronomo, impiegato come system administrator presso il Lawrence Berkeley National Laboratory. Nel 1986 si accorse che qualcuno aveva violato i sistemi del laboratorio e invece di respingere l’attacco lasciò che l’hacker mostrasse qual’era il suo vero intento. Markus Hess, questo era il nome della spia cybernetica che si nascondeva nei sistemi di Stoll, era stato reclutato dal KGB per spiare i sistemi militari americani. Dal laboratorio dell’astronomo condusse vari attacchi verso ARPANET, una rete di computer creata dal Dipartimento della Difesa americano per scopi militari dalla quale successivamente nacque Internet. Fu in quel momento che Stoll decise di creare sul filesystem di uno dei suoi server un progetto che potesse interessare l’hacker. Tentò con file dal contenuto diverso, fino a scoprire che la sua preda era molto attratta da file contenenti informazioni militari, così come descrive nel suo libro “The Cuckoo’s Egg”. Una volta scoperta la giusta esca, lasciò alcuni file nel server che facevano riferimento ad un progetto militare, ovviamente inesistente, e riuscì a far rimanere collegato Hess sui sistemi del laboratorio per il tempo necessario a scoprire, con l’aiuto delle autorità locali e dell’FBI, la sua posizione in Germania. Il tutto portò all’arresto e conseguente condanna per spionaggio internazionale dell’hacker tedesco.

In realtà non fu un vero Honeypot, quello ideato da Stoll, in quanto si trattava di sistemi di produzione che erogavano servizi reali, quelli sui quali creò i dati fittizi, ma fu piuttosto l’idea stessa di crearli che gettò le basi per tutte le tecniche usate in seguito.

La miglior difesa è…. la conoscenza

securityCome sappiamo nella maggior parte dei casi la di una rete è principalmente difensiva. L’uso di  Firewall, Intrusion Detection Systems e altre tecnologie cerca di limitare l’accessibilità di un perimetro ben definito con lo scopo di identificare un azione malevola e prendere le dovute contromisure. In questo modello, in effetti, è l’attaccante ad avere l’iniziativa. Con l’utilizzo di un Honeypot di qualunque tipologia, la difesa in quale modo diventa attacco: è possibile verificare costantemente i tipi di minacce e nello specifico se si utilizza un High-level Honeypot, è possibile verificare le azioni malevole in dettaglio. Essendo una zona di rete non di produzione l’Honeypot riceverà solamente azioni di tipo scan o attacchi diretti, in questo modo sarà molto facile capire che si è sotto attacco o si sta per esserlo. Inoltre risulta molto utile in quelle realtà dove le connessioni web sono criptate o in cui i canali autorizzati non possono essere verificati in profondità, permettendo l’analisi delle azioni malevole a valle della connessione. Infine un Honeypot consente di tracciare la sorgente del traffico malevolo molto più facilmente che utilizzando altri espedienti o metodologie. L’Honeypot non è però la panacea di tutti i mali ma, se utilizzato all’interno di un architettura che comprenda sistemi quali Intrusion Detection System, e in particolare ADS (Anomaly Detection System), ha una duplice finalità: dare continuità all’azione dell’hacker senza interromperla bruscamente e raccogliere informazioni tali da conoscere meglio il proprio “nemico”.

HoneyPot: quali vantaggi?

Le tipologie di informazioni che possono essere raccolte con un Honeypot sono molteplici e di vario utilizzo per imprese, enti e organizzazioni: isolando un worm o un virus un’azienda di sicurezza informatica ne può studiare il comportamento e comprendere meglio quali contromisure adottare; anche aziende governative e Infrastrutture critiche dovrebbero utilizzare tali tecnologie in grado di rilevare chi e perché vuole attaccare i loro sistemi. Certo la spesa per creare i sistemi e l’utilizzo di risorse per controllarli e migliorarli potrebbe essere sicuramente onerosa da parte di un’azienda, anche se, per quanto riguarda l’utilizzo del personale per il presidio, i servizi potrebbero essere gestiti da un Soc già presente. Da contro i benefici sono molti: maggiore controllo durante attacchi o scan, studio e statistiche delle tipologie di malware, virus o worm ricevuti, specifica analisi e controllo delle azioni malevole in tempo reale, diversificazione degli ambienti facilmente configurabile attraverso l’uso di varie tecnologie integrate con l’honeypot. Mentre lo scopo finale: conoscere il tuo nemico, è sicuramente il vantaggio più grande garantito da tale sistema.

Vi lascio citando Sun Tzu nell’Arte della Guerra: “Conosci il nemico come conosci te stesso. Se farai così, anche in mezzo a cento battaglie non ti troverai mai in pericolo”

 

Alessandro Contini

Alessandro Contini

Alessandro Contini opera come Cyber Security Consultant in realtà nazionali e internazionali, partendo da una lunga esperienza e competenza tecnica sulle architetture di sistemi, in particolare legate alla infrastrutture critiche. Inoltre Alessandro collabora come specialista di Cyber ​​Intelligence per trovare informazioni più approfondite in amibito Cyber Crime e Cyber terrorismo.

LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This