Che cos’è un honeypot?

Come gli orsi sono ghiotti di miele, è difficile che gli hacker resistano dall’in­tru­fo­lar­si in un server poco protetto: per questo si usa l’espres­sio­ne “honeypot”, in italiano barattolo di miele. Con questo termine in in­for­ma­ti­ca si indica una misura di sicurezza con la quale gli am­mi­ni­stra­to­ri di un server ingannano gli hacker e gli im­pe­di­sco­no di colpire nel segno. Un “barattolo di miele” simula i servizi di rete o programmi per attirare i ma­lin­ten­zio­na­ti e pro­teg­ge­re il sistema da eventuali attacchi. In pratica gli utenti con­fi­gu­ra­no gli honeypot, uti­liz­zan­do delle tec­no­lo­gie lato server e lato client.

• Honeypot lato server: il concetto alla base dell’honeypot lato server è quello di attrarre gli hacker in aree isolate del sistema e tenerli alla larga da com­po­nen­ti di rete im­por­tan­ti. Inoltre gli honeypot offrono la pos­si­bi­li­tà di tracciare le mosse dei ma­lin­ten­zio­na­ti. Un semplice honeypot simula così un’ap­pli­ca­zio­ne server che mette a di­spo­si­zio­ne uno o più servizi nella rete, come ad esempio un web server. Se si riesce ad ingannare l’hacker tramite questo diversivo e comincia ad in­tro­met­ter­si nel server, l’honeypot registra le attività, dà l’allarme o prende delle con­tro­mi­su­re. Nel migliore dei casi un server simile fornisce in­for­ma­zio­ni riguardo al tipo di attacchi, se sono stati manuali o au­to­ma­ti­ci. Così gli am­mi­ni­stra­to­ri ottengono dei dati che gli per­met­to­no di pro­teg­ge­re meglio il sistema contro attacchi futuri.

• Honeypot lato client: un honeypot lato client imita un programma che utilizza i servizi del server. Un classico esempio di un honeypot di questo tipo è la si­mu­la­zio­ne di un browser che visita ap­po­si­ta­men­te delle pagine non sicure per rac­co­glie­re dati relativi alla sicurezza. Se su una di queste pagine avviene un attacco al browser o ai suoi com­po­nen­ti ag­giun­ti­vi, il processo viene re­gi­stra­to. Ana­liz­zan­do i dati salvati, si riesce a mi­glio­ra­re a po­ste­rio­ri il software simulato.

Gli istituti di ricerca e le isti­tu­zio­ni ufficiali uti­liz­za­no i Research honeypot (honeypot di ricerca) per rac­co­glie­re in­for­ma­zio­ni circa il modus operandi degli hacker e metterli così a di­spo­si­zio­ne della community. Nelle aziende le misure di sicurezza di questo tipo vengono impostate a pro­te­zio­ne della rete aziendale; a questo scopo gli am­mi­ni­stra­to­ri in­stal­la­no i Pro­duc­tion honeypot per quelle aree della rete che non vengono nor­mal­men­te uti­liz­za­te e non mettono a di­spo­si­zio­ne servizi per i di­pen­den­ti o i clienti. L’obiettivo è quello di attirare gli hacker in zone sicure che mostrano delle finte falle di sicurezza. Ogni accesso ad un sistema non uti­liz­za­to di questo tipo viene tenuto sotto controllo e ana­liz­za­to come se fosse un vero attacco.

Se vengono sfruttati più honeypot per simulare un’intera rete e creare un obiettivo di attacco par­ti­co­lar­men­te al­let­tan­te per gli hacker, si parla di una honeynet.

Per con­fi­gu­ra­re un honeypot, gli am­mi­ni­stra­to­ri hanno due pos­si­bi­li­tà: o lo rea­liz­za­no come un sistema fisico o sulla base di un software di vir­tua­liz­za­zio­ne.

• Honeypot fisico: si tratta di un computer autonomo, collegato con un proprio indirizzo IP in una rete.

• Honeypot virtuale: si tratta di un sistema logico, a cui vengono assegnate le risorse di un computer fisico at­tra­ver­so una vir­tua­liz­za­zio­ne.

In entrambi i casi l’honeypot è isolato, di modo che il ma­lin­ten­zio­na­to non raggiunga il sistema reale tramite quello creato per de­pi­star­lo.

L’obiettivo di un honeypot è quello di non farsi sma­sche­ra­re: più a lungo si riesce ad ingannare un hacker, maggiori saranno le in­for­ma­zio­ni che il sistema riuscirà a rac­co­glie­re sulle sue strategie e i suoi metodi. Uno dei criteri di clas­si­fi­ca­zio­ne più im­por­tan­ti per gli honeypot è perciò il grado di in­te­rat­ti­vi­tà che si instaura con gli intrusi. Anche in questo contesto, sia per gli honeypot lato server che lato client si può di­stin­gue­re tra quelli a bassa in­te­ra­zio­ne e ad alta in­te­ra­zio­ne.

• Honeypot a bassa in­te­ra­zio­ne: questo tipo di honeypot riproduce es­sen­zial­men­te i sistemi reali o le ap­pli­ca­zio­ni. I servizi e le funzioni vengono ge­ne­ral­men­te simulati in pre­vi­sio­ne di un possibile attacco.

• Honeypot ad alta in­te­ra­zio­ne: in questo caso si tratta di sistemi reali che offrono servizi server e che devono perciò essere ben con­trol­la­ti e protetti. Se un honeypot ad alta in­te­ra­zio­ne non viene isolato cor­ret­ta­men­te dal resto del sistema, si corre il rischio che l’hacker possa im­pos­ses­sar­se­ne, si infiltri nel sistema da pro­teg­ge­re o lo usi per originare attacchi ad altri server in rete.

Il tipo più semplice di honeypot consiste in un’ap­pli­ca­zio­ne che simula dei servizi di rete (anche in­stau­ran­do una con­nes­sio­ne). Ma visto che con questo tipo di honeypot l’hacker ha a di­spo­si­zio­ne solo limitate pos­si­bi­li­tà di in­te­ra­zio­ne, le in­for­ma­zio­ni raccolte sono in pro­por­zio­ne ridotte e gli hacker capiscono in fretta che si tratta di un inganno. Queste misure sono uti­liz­za­te so­prat­tut­to per scovare e re­gi­stra­re attacchi au­to­ma­tiz­za­ti da parte di malware. Una soluzione open source co­no­sciu­ta con cui poter impostare degli honeypot lato server è Honeyd.

• Honeyd: il software è ri­la­scia­to con licenza GPL e permette agli am­mi­ni­stra­to­ri di creare diversi host virtuali in una rete di computer, con­fi­gu­ra­bi­le in modo che vengano ri­pro­dot­ti i diversi tipi di server, così da simulare un sistema completo com­pren­si­vo dei pro­to­col­li TCP/IP. No­no­stan­te ciò, il software viene an­no­ve­ra­to tra gli honeypot a bassa in­te­ra­zio­ne, visto che Honeyd non simula tutti i parametri del sistema, offre poca in­te­ra­zio­ne e viene sma­sche­ra­to fa­cil­men­te dagli hacker. Dal 2008 non ci sono stati più ag­gior­na­men­ti e questo fa pensare che il software non verrà più svi­lup­pa­to ul­te­rior­men­te.

Gli honeypot a bassa in­te­ra­zio­ne lato client (chiamati anche “ho­ney­clien­ts”) sono programmi con cui è possibile emulare diversi browser. Gli utenti hanno così la pos­si­bi­li­tà di visitare le pagine e di re­gi­stra­re gli attacchi avvenuti sul browser simulato. Gli ho­ney­clien­ts open source a bassa in­te­ra­zio­ne più co­no­sciu­ti sono HoneyC, Monkey-Spider e PhoneyC.

• HoneyC: questo ho­ney­client a bassa in­te­ra­zio­ne consente agli utenti di iden­ti­fi­ca­re i server pe­ri­co­lo­si in rete. Con HoneyC entra in azione un client simulato che analizza le risposte del server per cercare contenuti dannosi. La struttura di base del software consiste di 3 com­po­nen­ti: il visitor engine è re­spon­sa­bi­le per l’in­te­ra­zio­ne con il server ed emula diversi browser tramite i moduli; il queue engine crea una lista di server, che viene elaborata dal visitor engine, mentre una va­lu­ta­zio­ne dell’in­te­ra­zio­ne con un server web avviene tramite l’analyse engine, che verifica dopo ogni visita, se si è con­trav­ve­nu­to alle regole di sicurezza del software.
• Monkey-Spider: si tratta di un crawler che si può uti­liz­za­re come honeypot a bassa in­te­ra­zio­ne lato client. A questo scopo il software scansiona le pagine alla ricerca di codici dannosi che po­treb­be­ro essere una minaccia per il browser.
• PhoneyC: è un ho­ney­client scritto in Python con cui si possono emulare diversi browser per ricercare i contenuti dannosi sulle pagine. Il software riesce ad elaborare i linguaggi di scripting, come Ja­va­Script o VBScript, e supporta funzioni di deof­fu­sca­zio­ne per di­stri­car­si tra il codice dannoso simulato. Inoltre PhoneyC supporta diversi metodi per ana­liz­za­re le pagine, tra cui l’antivirus open source ClamAV.

Gli am­mi­ni­stra­to­ri che vor­reb­be­ro pre­di­spor­re honeypot lato server con molte pos­si­bi­li­tà di in­te­ra­zio­ne, si basano ge­ne­ral­men­te su server con funzioni complete, che vengono con­fi­gu­ra­ti come diversivi su un hardware reale o in ambienti virtuali. Mentre gli honeypot a bassa in­te­ra­zio­ne sono adatti so­prat­tut­to per l’iden­ti­fi­ca­zio­ne e l’analisi di attacchi au­to­ma­ti­ci, gli honeypot ad alta in­te­ra­zio­ne si con­cen­tra­no su quelli eseguiti ma­nual­men­te.

Pro­met­ten­te è l’honeypot lato server, se agli hacker viene proposto un obiettivo di attacco con un alto grado di in­te­rat­ti­vi­tà. Ov­via­men­te l’impegno ne­ces­sa­rio per con­fi­gu­ra­re e con­trol­la­re un honeypot di questo tipo, è maggiore rispetto ai software semplici, che si limitano ad imitare le funzioni del server. Uti­liz­za­re un server reale come honeypot è rischioso, in quanto una volta che l’hacker si è in­tru­fo­la­to nel sistema, potrebbe sfrut­tar­lo per sferrare attacchi ad altri server su Internet. In alcuni casi ci possono anche essere delle con­se­guen­ze legali, visto che è l’am­mi­ni­stra­to­re del server a ri­spon­de­re di tutte le attività originate dallo stesso.

Per con­trol­la­re gli attacchi hacker avvenuti su un server con­fi­gu­ra­to come honeypot, si possono uti­liz­za­re degli strumenti di mo­ni­to­ring, come Sebek, di­spo­ni­bi­le gra­tui­ta­men­te, mentre un honeypot ad alta in­te­ra­zio­ne si può rea­liz­za­re con il software Argos.

• Sebek: questo strumento per l’ela­bo­ra­zio­ne di dati si utilizza negli honeypot ad alta in­te­ra­zio­ne per con­trol­la­re gli hacker e rac­co­glie­re in­for­ma­zio­ni su attività che mettono a re­pen­ta­glio la sicurezza del sistema. La struttura di base del software si compone di due fasi: da una parte il client funziona su un honeypot e rileva tutte le attività degli hacker, come entry, upload di file o password, mentre dall’altra le trasmette ad un server per la re­gi­stra­zio­ne, processo che può avvenire su un sistema a parte.

• Argos: questo honeypot ad alta in­te­ra­zio­ne si basa su un emulatore hardware mo­di­fi­ca­to QEMU. Il software supporta diversi sistemi operativi, che vengono eseguiti su una macchina virtuale e sono con­fi­gu­ra­ti come honeypot. Per ri­co­no­sce­re e re­gi­stra­re gli attacchi, Argos non richiede alcun software ag­giun­ti­vo. Il traffico dati entrante, che arriva all’honeypot tramite la scheda di rete, viene au­to­ma­ti­ca­men­te con­tras­se­gna­to come “tainted” (con­ta­mi­na­to) e con­trol­la­to. Lo stesso processo viene applicato anche ai dati ritenuti com­pro­mes­si. Per via del maggior dispendio di risorse per l’emu­la­zio­ne del sistema operativo e l’analisi dei dati, Argos è molto più lento rispetto ai sistemi in­stal­la­ti su hardware simili.

Gli honeypot ad alta in­te­ra­zio­ne sono dei software che fun­zio­na­no su sistemi operativi reali e uti­liz­za­no i classici browser per re­gi­stra­re gli attacchi scaturiti dai server in rete. I tool più co­no­sciu­ti sono Capture-HPC e mapWOC.

• Capture-HPC: utilizza un’ar­chi­tet­tu­ra client-server, in cui un server sta­bi­li­sce i siti da visitare e controlla diversi client, che a loro volta aprono le pagine e inviano i risultati delle loro analisi al server. Possibili client sono i diversi browser, le ap­pli­ca­zio­ni Office, i PDF-Reader o Media-Player.
• mapWOC: anche il software open source mapWOC (ab­bre­via­zio­ne di “massive automated passive Web Ob­ser­va­tion Center“) carica le pagine grazie a browser reali, che fun­zio­na­no su una macchina virtuale. Qui il traffico dati viene co­stan­te­men­te con­trol­la­to dai client per rilevare e ana­liz­za­re gli attacchi, che avvengono ad esempio tramite Drive-by-Downloads (il computer viene infettato sca­ri­can­do un programma ad insaputa dell’utente). mapWOC usa come com­po­nen­ti di base il sistema Debian Squeeze, KVM per la vir­tua­liz­za­zio­ne e ClamAV per la ricerca di virus e malware.  Il progetto è sup­por­ta­to dal ministero tedesco per la sicurezza IT, Bundesamt für Si­che­rheit in der In­for­ma­tion­stech­nik (BSI).

Ge­ne­ral­men­te un honeypot si usa in aggiunta agli altri com­po­nen­ti per la sicurezza in­for­ma­ti­ca, come l’Intrusion Detection System (IDS) e i firewall, offrendo così un’altra funzione di controllo. Uno dei vantaggi prin­ci­pa­li degli honeypot è quello di ottenere dati estre­ma­men­te im­por­tan­ti. Gli honeypot non fanno parte di un sistema normale, ma sono dei sistemi di controllo, dove ogni attività viene vista come un po­ten­zia­le attacco. I dati com­ples­si­vi, rilevati at­tra­ver­so gli honeypot, sono molti im­por­tan­ti per la sicurezza. Se sono invece i sistemi realmente in uso ad essere con­trol­la­ti, all’analisi dei dati segue la rimozione dei file infetti.

Però bisogna ricordare che non tutti gli honeypot for­ni­sco­no in­for­ma­zio­ni utili. Infatti, se l’esca usata non è molto al­let­tan­te o difficile da trovare, po­treb­be­ro anche non ve­ri­fi­car­si attacchi e si saranno spesi inu­til­men­te tempo e denaro per mettere a punto questo sistema di sicurezza.

Grazie agli honeypot, le aziende rac­col­go­no dei dati andando però incontro a dei rischi: i sistemi simulati sono creati con lo scopo di attirare gli hacker, che se vi si in­fil­tra­no po­treb­be­ro però riuscire a causare danni all’intera rete. Per questo bi­so­gne­reb­be cercare di separare gli honeypot dal resto del sistema e tenere sempre sotto controllo le attività nei sistemi di ade­sca­men­to. Inoltre è im­por­tan­te limitare i danni verso l’esterno. Per evitare che gli hacker uti­liz­zi­no gli honeypot per i loro fini, le con­nes­sio­ni in entrata do­vreb­be­ro essere ridotte al minimo.un honeypot ad alta in­te­ra­zio­ne lato server ricorre alle stesse misure di sicurezza del resto del sistema, i dati che se ne ricavano ser­vi­ran­no per tirare le somme sulla loro efficacia. Se si rileva un’in­tru­sio­ne nell’honeypot, bi­so­gne­reb­be ac­cer­tar­si che l’hacker non sia riuscito anche ad in­fil­trar­si nel resto del sistema. In seguito sarà ne­ces­sa­rio mi­glio­ra­re la sicurezza di entrambi i tipi di sistemi per poter al­lon­ta­na­re attacchi futuri dello stesso tipo. 

Anche la legge si è servita in passato dei mec­ca­ni­smi dell’honeypot per cogliere in flagrante i criminali, che ri­cer­ca­va­no contenuti illegali. Se sia però lecito, ricorrere agli honeypot per con­tra­sta­re la dif­fu­sio­ne di materiali protetti da copyright, rimane una questione con­tro­ver­sa. Secondo una notizia pub­bli­ca­ta da CNet, l’FBI avrebbe inserito nel 2006 alcuni link sui forum che ri­man­da­va­no a contenuti pe­do­por­no­gra­fi­ci. I cittadini americani che hanno aperto questi link, hanno ricevuto poco dopo una visita dagli agenti federali. Nel 2007 è stato reso noto che anche il di­par­ti­men­to federale della polizia criminale tedesca gestiva sul proprio sito una sot­to­pa­gi­na con in­for­ma­zio­ni su as­so­cia­zio­ni ter­ro­ri­sti­che di sinistra, per capire così chi si in­te­res­sas­se al tema e potesse quindi con­si­de­rar­si sospetto. Un articolo del giornale tedesco Ta­ges­spie­gel ha riportato che sin da settembre 2004 venivano re­gi­stra­ti gli indirizzi IP di tutti i vi­si­ta­to­ri del sito e ci si rivolgeva al provider di ri­fe­ri­men­to per iden­ti­fi­ca­re gli utenti. In rete si è anche parlato dell’impiego di honeypot per indagare sui siti di streaming e sulle piat­ta­for­me di file sharing. Visto che non tutte le pagine di questo tipo sono state chiuse, si è ipo­tiz­za­to che quelle rimaste online venissero usate come honeypot. Tuttavia, un pro­ce­di­men­to simile solleva numerosi dubbi a livello legale e sul piano della privacy.