Honeypot, intrappolati nel miele

Credevamo di aver bucato un server sperduto da qualche parte del mondo e invece…

L’era di Internet che stiamo vivendo ci vede costantemente sotto attacco da parte di malefici bot alla ricerca di vulnerabilità da sfruttare sui dispositivi di tutto il mondo. Cerchiamo da sempre di difenderci da queste piaghe digitali, purtroppo però il progredire dei sistemi di protezione non sempre è al passo coi tempi; il processo di mitigazione, che da sempre è stato quello di bloccare l’accesso (di IP, user-agent, vulnerabilità conosciute e così via) parte dal presupposto che un bot non deve, in alcun modo, poter accedere a certe informazioni, bloccandolo quindi sulla soglia del server. In diverse situazioni questo tipo di approccio si è rivelato fallimentare: da qui è nata l’idea di gestire diversamente il processo comportamentale di un bot, traendolo in inganno attraverso modelli comportamentali maligni (pattern) e di bloccarli una volta riconosciuta l’attività dannosa. Gli honeypot (barattoli di miele) in rete riassumono perfettamente questo concetto: creare una trappola per il bot, di solito un file o un path “succosi”, per poi imprigionarlo costringendolo a trovare altre falle fittizie o bloccarlo nel firewall. Sul piano della forma un honeypot non è tanto diverso da un comune servizio (come un server Web) ed effettivamente a una prima occhiata sembrerà davvero un servizio reale.

L’honeypot che creiamo su Hacker Journal 220 simula un server SSH scarsamente configurato e facile da crackare; una volta che il bot (o l’attacker) effettua l’attacco, avrà accesso a una shell Linux da cui poter eseguire programmi e ricevere feedback da parte del sistema.

Se vuoi sapere quale software Open Source abbiamo usato per creare questa trappola per cracker e come si configura, non perdere Hacker Journal 220 in edicola o su Sprea.it.
Se vuoi, puoi anche abbonarti alla versione cartacea o a quella digitale da qui!