https://www.amazon.com/Firewalls-Internet-Security-Repelling-Hacker/dp/020163466X;
• доклад An Evening with Berferd in which a Cracker Is Lured, Endured, and Studied: http://www.cheswick.com/ches/papers/berferd.pdf.
19. Ханипоты
Я был заинтригован ханипотами с тех пор, как прочитал книгу Клиффорда Столла The Cuckoo’S Egg(https://www.amazon.com/Cuckoos-Egg-Tracking-Computer-Espionage/dp/1416507787/), изданную в 1989 году, в которой рассказывалось о том, как он поймал иностранного шпиона. С тех пор я запускал до восьми различных ханипотов за раз, отслеживая вредоносные программы и поведение хакеров. Я часто участвую в профессиональных проектах ханипотов и даже написал книгу о них под названием Honeypots for Windows(https://www.amazon.com/Honeypots-WindowsBooks-Professionals/dp/1590593359/). Мне кажется, что все компании должны включать один или несколько ханипотов в свою защиту.
Что такое ханипот?
Ханипот (ловушка) – это поддельная система, созданная с целью обнаружения несанкционированной деятельности. В качестве ханипота может выступать компьютерная система, устройство, сетевой маршрутизатор, беспроводная точка доступа, принтер – все, что угодно. А ханинет – это набор ханипотов, их сеть. Ханипот может быть создан путем развертывания реальной, но неиспользуемой системы или специализированного программного обеспечения ханипотов.
Эмуляция может быть в любом месте на уровнях модели Open Systems Interconnection (OSI): физическом, канальном, сетевом, транспортном, сеансовом, презентационном или прикладном, – или в любой комбинации этих уровней. Есть много вариантов ханипотов с открытым исходным кодом или коммерческих, каждая из которых предлагает различные функции. Покупатель должен остерегаться. Есть лишь некоторые ханипоты, которые смогут работать десятилетиями, но подавляющее большинство предложений рассчитано на краткосрочный период.
Взаимодействие
Насколько хорошо система ханипотов эмулирует или работает на определенном уровне, определяет ее взаимодействие. Ханипот с низким уровнем взаимодействия только имитирует очень упрощенные соединения портов и регистрирует их. Подключающемуся пользователю может быть предложен или не предложен вход в систему, но обычно успешный вход запрещен. Ханипоты среднего взаимодействия позволяют потребителю войти и предлагают дополнительные, но вместе с тем реалистичные действия. Если они эмулируют веб-сайт, то часто это приличный, но довольно статический веб-сайт. Если они делают эмуляцию FTP, узел позволяет вход в систему, где есть файлы, которые могут быть загружены, и позволяет многократное использование команд FTP. Ханипоты высокого взаимодействия имитируют реальную производственную систему до такой степени, что хакер, взаимодействующий с ней, будет не в состоянии отличить ее от реального производственного актива. Если она эмулирует веб-сайт, то он широкий и реалистичный, с часто обновляемым контентом. Ханипоты низкого взаимодействия намного легче поддерживать, но иногда их цель требует более высокого взаимодействия. Конечно, реальная система предлагает лучшую эмуляцию, но может быть более сложной в настройке и управлении в долгосрочной перспективе.
Зачем использовать ханипоты?
Есть много причин, по которым следует использовать ханипоты, в том числе:
• в качестве системы раннего предупреждения для обнаружения вредоносных программ и хакеров;
• для определения намерения хакера;
• для исследования хакеров и вредоносных программ;
• для анализа вредоносного ПО.
При соответствующей настройке ханипот невероятно малошумный (в плане логов) и ценный элемент, особенно для анализа журналов или генерации предупреждений. Например, журналы брандмауэра всегда полны десятков тысяч отброшенных пакетных событий каждый день, большинство из которых не имеют ничего общего со злонамеренностью. И даже если есть злонамеренный элемент, потребуется много труда, чтобы определить, что именно представляет угрозу.
Ханипот – это поддельная система, и по идее никто (или ничто) не сможет подключиться к ней. Вы должны потратить немного времени на фильтрацию обычного широкого трафика и законных попыток подключения (например, из ваших антивирусных программ обновления, управления патчами и других инструментов управления системой и т. д.). Но как только это будет сделано (что обычно занимает от двух часов до двух дней), любая другая попытка подключения по определению вредоносна.
Ханипот – это, несомненно, лучший способ поймать злоумышленника, который обошел другие защитные механизмы. Он тихонечко ждет любой внезапной попытки подключения. Я отслеживал многих хакеров и тестировщиков за десятилетия своей работы, и один правдивый факт заключается в том, что они ищут и перемещаются по сети, как только получили первоначальный доступ. Не многие хакеры знают, какие системы являются ханипотами, а какие нет, и когда они перемещаются и просто «касаются» их, считайте, вы их поймали.
Пример: одна из наиболее распространенных проблем, связанных с атаками, – это расширенные постоянные угрозы (APT), описанные в главе 14. Они легко и обычно без обнаружения двигаются в стороны и по горизонтали. Но разместите парочку ханипотов в качестве поддельных веб-серверов, серверов баз данных и серверов приложений, и вы обнаружите APT без труда.
Конечно, есть хакеры, которые просто перейдут от своего первого внутреннего вторжения к конкретному активу или набору активов, но это случается редко. Обычно даже после компрометации предполагаемой основной цели они будут оглядываться. И когда они осматриваются и «дотрагиваются» до ханипотов… вы их ловите! Или, по крайней мере, узнаете о них. Я большой поклонник размещения ханипотов низкого или среднего взаимодействия, чтобы получить раннее предупреждение о вторжении.
Как я ловил русского шпиона
За эти годы я выстроил десятки систем ханипотов, но одна из моих любимых историй – это когда я разрабатывал их для подрядчика из министерства обороны. Он был обеспокоен внешним взломом, но наши ханипоты быстро обнаружили несанкционированную инсайдерскую атаку.
Мы отследили ее и пришли к сотруднице отдела заработной платы из России. Мы уже установили камеры в отделе, чтобы наблюдать за ее действиями. Она вставила несанкционированную беспроводную карту в свой компьютер, чтобы «соединить» две изолированные сети, и передавала большие объемы личных данных другому внешнему партнеру. После двух дней наблюдения и определения ее намерений (она определенно собирала данные для сверхсекретных проектов), мы со службой безопасности вошли в комнату, чтобы противостоять ей. Она сразу расплакалась и так талантливо играла свою роль невинной жертвы, что, если бы мы не следили за ней несколько дней, я бы ей поверил. Она была хакером, но сотрудники ее отдела думали, что она настолько не разбирается в компьютерах, что отправили на курсы, чтобы она научилась лучше печатать.
Она была лишь одним из многих российских сотрудников, нанятых по временному контракту. В конце концов выяснилось, что все они были шпионами.
Ресурсы для изучения ханипотов
Проект Honeynet Project (http://www.honeynet.org) – это лучший источник для изучения ханипотов. Honeywall CD-ROM (http://www.honeynet.org/project/HoneywallCDROM) – отличное бесплатное ПО с ханипотами для пользователей, которые не боятся конфигурации Linux.
Honeyd (http://www.honeyd.org) – гибкий бесплатный ханипот с открытым исходным кодом, но он требует твердых знаний Linux и сетевых навыков для установки и работы. Она выполняет отличную широкую эмуляцию более чем ста операционных систем и может быть легко связана с другими продуктами и скриптами. С другой стороны, она не обновлялась годами. Я думаю, что это хороший вариант для тех, кто хочет увидеть все, что только можно.
Мой любимый ханипот – Kfsensor (www.keyfocus.net). Это коммерческий продукт, который работает только на компьютерах с Windows, и он постоянно обновляется и улучшается. У Kfsensor есть свои недостатки, но у него также много различных функций и он довольно прост в настройке. У него есть сотни опций и настроек, а также он позволяет регистрировать и предупреждать различные базы данных и журналы. Доступны бесплатные пробные версии.
В мире существует множество (более ста) ханипотов. Каждый год в Интернете появляется несколько новых. Если вы заинтересованы в ханипотах, то опробуйте некоторые из них. Нет никаких сомнений в том, что каждый человек, заинтересованный в скорейшем предупреждении о возможно успешном хакере или проникновении вредоносных программ, должен запустить ханипот.
Глава 20 посвящена профилю Лэнса Спицнера, который, вероятно, сделал больше для исследования ханипотов, чем кто-либо другой.
20. Профиль: Лэнс Спицнер
Ничто не расстраивает меня больше, чем то, когда сотрудник безопасности говорит мне: «Вы не можете исправить глупость», – Лэнс Спицнер
В конце 1980-х я прочитал книгу Клиффорда Столла под названием The Cuckoo’s Egg. Это история о том, как ошибка в 0,75 доллара привела американского астронома к раскрытию международной шпионской группировки. Главным инструментом Столла в расследовании был ханипот. Эта книга действительно пробудила мой интерес к информационной безопасности и борьбе с хакерами.
Прошло десять лет, прежде чем я встретился с другим великим человеком, Лэнсом Спицнером. Сегодня большинство людей считают его отцом современных компьютерных ханипотов. Он написал и опубликовал так много информации о них в начале 2000-х годов, включая книгу Honeypots: Tracking Hackers(https://www.amazon.com/Honeypots-TrackingHackers-Lance-Spitzner/dp/0321108957), что даже сегодня, спустя десятилетие, никто не написал больше, чем он. Благодаря свежему взгляду Спицнера на ханипоты я тоже заинтересовался ими и даже написал книгу на эту тему