Lo strumento dell’honeypot serve per ingannare chi attacca e scoprirne le mosse. Funziona come un’esca, ma può avere controindicazioni
Il termine honeypot letteralmente significa barattolo di miele. Ma a discapito del nome è un componente rilevante nelle architetture informatiche, soprattutto per quanto riguarda la sicurezza informatica. Il motivo di un nome così originale è presto detto: come gli orsi sono attratti terribilmente dal miele, così gli attaccanti sono attratti da servizi/porte lasciati incustoditi e non protetti relativamente ai più svariati contesti di rete.
Possiamo immaginare il servizio/porta come una funzionalità messa a disposizione da un dispositivo di rete al quali gli utenti possono connettersi in remoto. Banalmente accedere a un sito web significa accedere a una specifica porta/servizio messa a disposizione dal personale che gestisce tale sito web, solitamente la porta 80 o 443 e rispettivamente il servizio http e https.
Esca per gli attaccanti
Ma torniamo al concetto di honeypot: abbiamo capito che si tratta di un dispositivo, hardware o software, che viene utilizzato come esca nei confronti di uno o più attaccanti remoti.
La ragione per cui si utilizza un simile strumento è molto semplice: permette di studiare il comportamento di un attaccante e questo può fornire informazioni rilevanti per migliorare la sicurezza complessiva di una rete. Entrando nel dettaglio, un honeypot può fornire delle informazioni molto precise sulla frequenza e sulla natura degli attacchi che coinvolgono la rete bersaglio.
Tuttavia, uno strumento del genere ha anche delle controindicazioni. Il problema maggiore si pone quando quest’ultimo non viene configurato adeguatamente e soprattutto non viene posizionato in un segmento di rete adeguato: il rischio è che possa trasformarsi in un vantaggio per un attaccante, il quale potrebbe sfruttarlo per accedere a reti limitrofe.
Come installare un “barattolo di miele”
Gli honeypot si possono installare sia su reti Linux che su reti Windows. Il vantaggio di utilizzare un sistema Windows è la facilità di configurazione e l’immediatezza con cui si possono ottenere buoni risultati. Esistono varie alternative di honeypot compatibili per sistemi Windows. I più diffusi sono: HoneyBot e KFsensor. Teniamo a precisare che queste non sono le uniche possibilità: la loro facilità d’utilizzo rende questi due strumenti particolarmente interessanti anche per gli utenti alle prime armi. Diamo uno sguardo più da vicino a KFsensor.
È sufficiente scaricare la versione trial che per trenta giorni ci mette a disposizione tutte le funzionalità, senza alcuna limitazione. Una durata di tempo sufficiente per prendere confidenza con lo strumento ed effettuare qualche piccolo esperimento.
KFsensor vanta di alcune caratteristiche molto interessanti, tra cui: monitoraggio del traffico (il software si mette in ascolto su tutte le porte relative al protocollo Tcp e Udp emulando tutti i principali servizi presenti in una rete); interazione con l’attaccante (così facendo quest’ultimo penserà di essere in presenza di un servizio reale e non di una simulazione); generazione di alert (l’amministratore di sistema è sempre informato circa gli eventi malevoli all’interno della rete analizzata); analisi delle statistiche (è possibile generare dei report dettagliati).
Nell’immagine sottostante possiamo osservare come si presenta il nostro sistema honeypot ad installazione terminata. Nella parte sinistra dell’interfaccia grafica ci sono tutti i servizi di rete che sono simulati dallo strumento. L’attaccante potrà quindi connettersi ad ognuno di questi, non sospettando che si tratti di una simulazione e che quindi non sono servizi realmente attivi.
In questa ulteriore immagine si osserva un tentativo di attacco da parte di un utente malevolo. Quest’ultimo ha effettuato una scansione della rete e KFsensor ha rilevato con esattezza tutte l’attività svolta: i servizi evidenziati in rosso sono quelli che sono stati sollecitati dall’azione dell’attaccante.
Potrebbe interessarti anche