attacchi informatici

Cos’è un honeypot, come funziona e quali sono le tipologie

1303 0

L’honeypot è un sistema informatico utilizzato come esca di protezione contro gli attacchi informatici. In questo articolo vediamo nel dettaglio cos’è, perché viene utilizzato in ambiente informatico, quali sono le tipologie e come funziona.

Cos’è un honeypot

Honeypot, che si traduce letteralmente come barattolo di miele, in ambito informatico è un sistema hardware o software utilizzato  come esche per attirare i cyber criminali. E’ stato costruito anche per analizzare e studiare nello specifico le tecniche che utilizzano i cybercriminali durante un attacco. In questo modo chi si difende può capire in anticipo cosa sta per succedere e craere un contrattaco.

Si presenta come un bersaglio per i cyber criminali e quindi rientra a pieno titolo tra gli strumenti di “Intrusion Detection System (IDS)”; strumenti che permettono di eseguire un monitoraggio continuo allo scopo di identificare – in anticipo – tutti gli attacchi alle reti informatiche e ai computer connessi.

La tecnica di utilizzo di questi sistemi è una tecnica di difesa attiva definita anche come “Cyber Deception”, dove si cerca di ingannare l’avversario affinché colpisca il perimetro cyber della nostra organizzazione, verrà guidato inconsapevolmente in un punto preciso in modo da farlo uscire allo scoperto.

Come funzionano gli honeypot?

Come accennato sopra l’honeypot sembra un normale computer che ha installato software e dati  e proprio per questo motivo diventa un classico obiettivo per i criminali informatici. L’esca potrebbe presentarsi come un sistema di fatturazione aziendale, che spesso vediamo come bersaglio dei cyber criminali, che cercano di scoprire i numeri delle carte di credito.

Una volta entrati i cyber criminali vengono tracciati e viene studiato il loro comportamento per ottenere indizi su come rendere più sicura la vera rete aziendale.

Come nella pesca, per rendere un esca molto appetibile, in ambito informatico gli honeypot vengono caricati di vulnerabilità di sicurezza, “come tenere aperte delle porte specifiche”, “impostare password deboli”, in questo modo l’attacante penserà di essere all’interno di un ambiente potenzialmente attaccabile.

Quali sono le tipologie di honeypot

Ne esistono di diversi tipi che possiamo classificare come segue:

  • trappole e-mail
  • trappole spam
  • Database esca
  • Malware honeypot
  • Spider honeypot

A cosa serve un honeypot

Con la messa in atto tutte queste tecniche è possibile monitorare il traffico in entrata nel sistema honeypot stabilendo quanto segue:

  • Da dove arrivano i cybercriminali
  • Che livello ha la minaccia
  • Quale tecnica sta utilizzando l’attaccante
  • A quali dati e a quali software sono interessati
  • Qual è il livello di efficacia delle attuali misure di sicurezza contro i cyberattacchi

I vantaggi e gli svantaggi degli honeypot

Gli honeypot sono molto utili per scoprire le vulnerabilità nei grandi sistemi. Potrebbero ad esempio essere utilizzati per mostrare l’alto livello di minaccia posto da attacchi ai dispositivi ma possono anche suggerire modi per migliorare la sicurezza.

C’è anche una parte pericolosa sull’utilizzo di questi sistemi. Come descritto un honeypot ben configurato trarrà i cyber criminali in inganno, facendo credere all’attacante di aver ottenuto accesso a un sistema reale. Ci saranno gli stessi messaggi d’avviso all’accesso, lo stesso aspetto, gli stessi campi dei dati, gli stessi loghi dei vostri sistemi (tutto oviamente fake).

Se però l’attacante si accorge dell’inganno, sicuramente cambierà la strategia di attacco procedendo ad attaccare gli altri vostri sistemi lasciando da parte la trappola.

Un aggressore una volta toccato l’honeypot, potrà creare finti attacchi in modo da distrarre l’attenzione da un vero exploit direzionato ai vostri sistemi di produzione reali, inviando informazioni false all’honeypot.

Una vera e propria strategia di guerra!

Esempio di honeypot

Di seguito vedremo un semplice esempio di honeypot definito la “cartella civetta”: una tecnica frequentemente usata per individuare i pericolosi attacchi ransomware.

La configurazione inizia creando all’interno del sistema una cartella che conterrà un certo numero di file “con le estensioni tipiche che i ransomware criptano”.

Tale cartella verrà tenuta sotto controllo da uno speciale agent: “una sonda” che sarà in grado di rilevare ogni interazione con i file in essa contenuti.

Attraverso questi file, essendo privi di importanza e non utilizzati dagli utenti del sistema, qualsiasi interazione “ad esempio una criptazione” verrà immediatamente segnalata come attacco.

Di solito i ransomware eseguono la criptazione procedendo cartella per cartella. La tecnica è quella di di posizionare la cartella “civetta” in una posizione tale da essere la prima che viene colpita dall’attacco.

Ad esempio gli daremo un nome che la ponga al primo posto nell’ordine alfabetico. La tecnica dei ransomware è quella di procedere a criptare le cartelle in ordine alfabetico.

Come impostare l’honeypot

Sul web è possibile trovare numerose soluzioni che vengono offerte per impostare degli honeypot, addirittura alcune anche open source.

Di seguito una lista di quelle più conosciute ed utilizzate:

Capture-HPC 

E’ un honeypot ad alta interazione che utilizza un’architettura client-server, viene configurato un server che stabilisce i siti da visitare e controlla diversi client, che a loro volta aprono le pagine ed inviano i risultati delle loro analisi al server.

Honeyd

E’ uno dei più noti. E’ a bassa interazione lato server che permette di emulare diversi servizi e diversi sistemi operativi.

MapWOC

 Un honeypot open source ad alta interazione lato client, carica le pagine grazie a browser reali che funzionano su una macchina virtuale.

Honeypot e sicurezza informatica

In conclusione questi sistemi andrebbero implementati all’interno di un’architettura coordinata che comprenda anche un sistema IDS “Intrusion Detection System” ed il firewall.

In questo modo si otterrà un duplice scopo: far uscire allo scoperto l’azione dell’attaccante, senza bloccarla, e raccogliere informazioni tali da conoscere meglio il proprio nemico.

Tuttavia l’utilizzo molto importante degli all’honeypot non sostituisce  un’adeguata cybersecurity all’interno della propria organizzazione.

Iscriviti al canale YouTube di Giorgio Perego

Consulta anche i seguenti articoli

La definizione di sicurezza informatica e le linee guida per proteggere i dati sensibili

Gli attacchi informatici più diffusi: quali sono e come difendersi

Aggiornati con i volumi di EPC Editore

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.

Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.

Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.

Giorgio Perego

Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati. Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica. Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.