Site icon Panda Security Mediacenter

Honeypot, le trappole per cybercriminali

Battere in astuzia i cracker è possibile, scopri come.

La guerra contro i cybercriminali si gioca spesso sul terreno delle informazioni: vince chi riesce a conoscere meglio l’avversario e sfruttarne i punti deboli. Di fatto, negli ultimi anni si parla non solo di cyberspionaggio, ma anche di controspionaggio online, facendo riferimento alle strategie di intelligence che le imprese e i governi utilizzano per migliorare la propria sicurezza online.
Una di queste consiste nell’uso degli honeypot, sistemi informatici creati per attirare i cybercriminali per raccogliere informazioni e tenerli lontani dalle risorse importanti.

Gli honeypot sono un tassello ormai fondamentale delle strategie di cybersicurezza delle grandi aziende e si aggiungono ai sistemi di rilevamento delle intrusioni (IDS) e ai firewall per creare una rete di strumenti di protezione completa. In questo post descriviamo i tipi più comuni di honeypot, come funzionano e a cosa servono.

Cos’è un honeypot

Honeypot in inglese significa letteralmente “barattolo di miele”. Questo termine viene utilizzato metaforicamente per indicare i sistemi informatici progettati per attirare i cybercriminali, così come un vasetto di miele attirerebbe un orso goloso (almeno nell’immaginario collettivo).

Perché un’azienda dovrebbe investire le proprie risorse nell’andare a caccia di cracker e malware? Ci sono diversi motivi per cui le grandi imprese utilizzano gli honeypot:

Esempi di honeypot

Come vedremo nella prossima sezione, ci sono molti tipi di honeypot, ma per capirne meglio il funzionamento, andiamo prima a vedere alcuni esempi.

La cartella civetta

Le aziende che gestiscono dati sensibili o sono in possesso di file con informazioni importanti sono quelle più vulnerabili agli attacchi ransomware. Per capire come si sviluppano questi attacchi e, allo stesso tempo, proteggere i contenuti importanti, molte aziende utilizzano il classico sistema della cartella-esca.

Questa viene creata in modo da essere raggiunta per prima dai ransomware, che generalmente analizzano il sistema della vittima alla ricerca di cartelle con determinati nomi e caratteristiche procedendo in ordine alfabetico.

In questo modo, quando il ransomware inizia a criptare il contenuto della cartella fasulla, il sistema di cybersicurezza lo rileva e protegge le directory con i file importanti.

Il server FTP falso

Molte aziende utilizzano i server FTP per la condivisione interna di risorse ed è per questo che fanno così gola ai cybercriminali. Un modo per tenerli lontani dalle risorse critiche del sistema e dai dati personali archiviati è creare un server FTP falso, reale o virtuale, connetterlo alla rete e renderlo ben visibile.

In questo modo, un cybercriminale che voglia rubare i dati dell’impresa approderà prima sul server honeypot, verrà rilevato dal sistema IDS e gli verrà impedito di accedere ad altre parti del sistema, ad esempio al vero server FTP dell’azienda.

I siti del dark web gestiti dalla polizia

Nel dark web esistono portali in cui è possibile acquistare prodotti illegali, da droga e armi fino ai “servizi” di criminali. I dipartimenti di polizia informatica dei governi di tutto il mondo monitorano con attenzione l’attività su questi siti e, quando riescono a chiuderne uno, a volte lasciano online il sito per attirare altri potenziali utenti e cybercriminali interessati ai suoi prodotti.

Questo è il caso dei più grandi portali di droga e armi del dark web (ad esempio AlphaBay e Hansa Market) ma anche di alcuni siti di pedopornografia. Si tratta di un metodo evidentemente molto efficace, anche se presenta qualche dubbio dal punto di vista etico e della legalità delle indagini, dato che almeno teoricamente è possibile che un utente di Internet innocente finisca senza volere su uno di questi siti.

Tipi di honeypot

Generalmente, gli honeypot vengono suddivisi in base a due criteri: il livello di interazione offerto e il lato applicativo (server o client). Vediamo di cosa si tratta.

In base al primo criterio, gli honeypot possono essere a:

I primi sono software che emulano servizi o sistemi operativi. Sono più semplici da gestire ma raccolgono meno informazioni e sono più facili da riconoscere. Gli honeypot ad alta interazione, invece, sono macchine fisiche su cui vengono ricreate intere parti dell’ecosistema informatico dell’azienda. In questo caso la difficoltà sta nel separare efficacemente l’honeypot dal resto del sistema.

Un buon esempio di honeypot a bassa interazione è Honeyc. Questo software open source appartiene alla tipologia “lato client”, perché emula un client connesso alla rete alla ricerca di host ingannevoli o infetti.

Per capire la differenza tra lato client e server, basta considerare un altro esempio: Honeyd. Nonostante il nome molto simile, Honeyd è completamente diverso da Honeyc, perché invece di emulare un client, crea host virtuali che emulano vari tipi di server. In questo caso, quindi, l’attaccante sarà il client attirato verso l’honeypot e non un sito infetto da malware.

Riassumendo:

Conclusioni

Gli honeypot sono un ottimo esempio dell’evoluzione della cybersicurezza. I cracker e i cybercriminali sono sempre più astuti, per cui anche le aziende e i singoli utenti devono dotarsi delle migliori tecnologie e strategie disponibili. Ciò include sfruttare il principio alla base del 90% degli attacchi informatici, ovvero l’inganno.

Grazie agli honeypot, non solo è possibile tenere alla larga i criminali e dare al sistema di cybersicurezza il tempo necessario per intervenire in caso di attacco, ma si riescono a raccogliere molte informazioni utili sugli attacchi. Con questi dati, i professionisti della cybersicurezza possono perfezionare i propri strumenti e addirittura personalizzarli in base alle necessità specifiche di ciascuna azienda, entità o singolo utente.

Nella lunga partita a scacchi tra cybercriminali e cybersecurity, vincerà chi avrà più informazioni e saprà sfruttarle al meglio.

Buona navigazione e buona protezione!

Exit mobile version