Che cos’è un honeypot?

Come gli orsi sono ghiotti di miele, è difficile che gli hacker resistano dall’intrufolarsi in un server poco protetto: per questo si usa l’espressione “honeypot”, in italiano barattolo di miele. Con questo termine in informatica si indica una misura di sicurezza con la quale gli amministratori di un server ingannano gli hacker e gli impediscono di colpire nel segno. Un “barattolo di miele” simula i servizi di rete o programmi per attirare i malintenzionati e proteggere il sistema da eventuali attacchi. In pratica gli utenti configurano gli honeypot, utilizzando delle tecnologie lato server e lato client.

• Honeypot lato server: il concetto alla base dell’honeypot lato server è quello di attrarre gli hacker in aree isolate del sistema e tenerli alla larga da componenti di rete importanti. Inoltre gli honeypot offrono la possibilità di tracciare le mosse dei malintenzionati. Un semplice honeypot simula così un’applicazione server che mette a disposizione uno o più servizi nella rete, come ad esempio un web server. Se si riesce ad ingannare l’hacker tramite questo diversivo e comincia ad intromettersi nel server, l’honeypot registra le attività, dà l’allarme o prende delle contromisure. Nel migliore dei casi un server simile fornisce informazioni riguardo al tipo di attacchi, se sono stati manuali o automatici. Così gli amministratori ottengono dei dati che gli permettono di proteggere meglio il sistema contro attacchi futuri.

• Honeypot lato client: un honeypot lato client imita un programma che utilizza i servizi del server. Un classico esempio di un honeypot di questo tipo è la simulazione di un browser che visita appositamente delle pagine non sicure per raccogliere dati relativi alla sicurezza. Se su una di queste pagine avviene un attacco al browser o ai suoi componenti aggiuntivi, il processo viene registrato. Analizzando i dati salvati, si riesce a migliorare a posteriori il software simulato.

Gli istituti di ricerca e le istituzioni ufficiali utilizzano i Research honeypot (honeypot di ricerca) per raccogliere informazioni circa il modus operandi degli hacker e metterli così a disposizione della community. Nelle aziende le misure di sicurezza di questo tipo vengono impostate a protezione della rete aziendale; a questo scopo gli amministratori installano i Production honeypot per quelle aree della rete che non vengono normalmente utilizzate e non mettono a disposizione servizi per i dipendenti o i clienti. L’obiettivo è quello di attirare gli hacker in zone sicure che mostrano delle finte falle di sicurezza. Ogni accesso ad un sistema non utilizzato di questo tipo viene tenuto sotto controllo e analizzato come se fosse un vero attacco.

Se vengono sfruttati più honeypot per simulare un’intera rete e creare un obiettivo di attacco particolarmente allettante per gli hacker, si parla di una honeynet.

Per configurare un honeypot, gli amministratori hanno due possibilità: o lo realizzano come un sistema fisico o sulla base di un software di virtualizzazione.

• Honeypot fisico: si tratta di un computer autonomo, collegato con un proprio indirizzo IP in una rete.

• Honeypot virtuale: si tratta di un sistema logico, a cui vengono assegnate le risorse di un computer fisico attraverso una virtualizzazione.

In entrambi i casi l’honeypot è isolato, di modo che il malintenzionato non raggiunga il sistema reale tramite quello creato per depistarlo.

L’obiettivo di un honeypot è quello di non farsi smascherare: più a lungo si riesce ad ingannare un hacker, maggiori saranno le informazioni che il sistema riuscirà a raccogliere sulle sue strategie e i suoi metodi. Uno dei criteri di classificazione più importanti per gli honeypot è perciò il grado di interattività che si instaura con gli intrusi. Anche in questo contesto, sia per gli honeypot lato server che lato client si può distinguere tra quelli a bassa interazione e ad alta interazione.

• Honeypot a bassa interazione: questo tipo di honeypot riproduce essenzialmente i sistemi reali o le applicazioni. I servizi e le funzioni vengono generalmente simulati in previsione di un possibile attacco.

• Honeypot ad alta interazione: in questo caso si tratta di sistemi reali che offrono servizi server e che devono perciò essere ben controllati e protetti. Se un honeypot ad alta interazione non viene isolato correttamente dal resto del sistema, si corre il rischio che l’hacker possa impossessarsene, si infiltri nel sistema da proteggere o lo usi per originare attacchi ad altri server in rete.

Il tipo più semplice di honeypot consiste in un’applicazione che simula dei servizi di rete (anche instaurando una connessione). Ma visto che con questo tipo di honeypot l’hacker ha a disposizione solo limitate possibilità di interazione, le informazioni raccolte sono in proporzione ridotte e gli hacker capiscono in fretta che si tratta di un inganno. Queste misure sono utilizzate soprattutto per scovare e registrare attacchi automatizzati da parte di malware. Una soluzione open source conosciuta con cui poter impostare degli honeypot lato server è Honeyd.

• Honeyd: il software è rilasciato con licenza GPL e permette agli amministratori di creare diversi host virtuali in una rete di computer, configurabile in modo che vengano riprodotti i diversi tipi di server, così da simulare un sistema completo comprensivo dei protocolli TCP/IP. Nonostante ciò, il software viene annoverato tra gli honeypot a bassa interazione, visto che Honeyd non simula tutti i parametri del sistema, offre poca interazione e viene smascherato facilmente dagli hacker. Dal 2008 non ci sono stati più aggiornamenti e questo fa pensare che il software non verrà più sviluppato ulteriormente.

Gli honeypot a bassa interazione lato client (chiamati anche “honeyclients”) sono programmi con cui è possibile emulare diversi browser. Gli utenti hanno così la possibilità di visitare le pagine e di registrare gli attacchi avvenuti sul browser simulato. Gli honeyclients open source a bassa interazione più conosciuti sono HoneyC, Monkey-Spider e PhoneyC.

• HoneyC: questo honeyclient a bassa interazione consente agli utenti di identificare i server pericolosi in rete. Con HoneyC entra in azione un client simulato che analizza le risposte del server per cercare contenuti dannosi. La struttura di base del software consiste di 3 componenti: il visitor engine è responsabile per l’interazione con il server ed emula diversi browser tramite i moduli; il queue engine crea una lista di server, che viene elaborata dal visitor engine, mentre una valutazione dell’interazione con un server web avviene tramite l’analyse engine, che verifica dopo ogni visita, se si è contravvenuto alle regole di sicurezza del software.
• Monkey-Spider: si tratta di un crawler che si può utilizzare come honeypot a bassa interazione lato client. A questo scopo il software scansiona le pagine alla ricerca di codici dannosi che potrebbero essere una minaccia per il browser.
• PhoneyC: è un honeyclient scritto in Python con cui si possono emulare diversi browser per ricercare i contenuti dannosi sulle pagine. Il software riesce ad elaborare i linguaggi di scripting, come JavaScript o VBScript, e supporta funzioni di deoffuscazione per districarsi tra il codice dannoso simulato. Inoltre PhoneyC supporta diversi metodi per analizzare le pagine, tra cui l’antivirus open source ClamAV.

Gli amministratori che vorrebbero predisporre honeypot lato server con molte possibilità di interazione, si basano generalmente su server con funzioni complete, che vengono configurati come diversivi su un hardware reale o in ambienti virtuali. Mentre gli honeypot a bassa interazione sono adatti soprattutto per l’identificazione e l’analisi di attacchi automatici, gli honeypot ad alta interazione si concentrano su quelli eseguiti manualmente.

Promettente è l’honeypot lato server, se agli hacker viene proposto un obiettivo di attacco con un alto grado di interattività. Ovviamente l’impegno necessario per configurare e controllare un honeypot di questo tipo, è maggiore rispetto ai software semplici, che si limitano ad imitare le funzioni del server. Utilizzare un server reale come honeypot è rischioso, in quanto una volta che l’hacker si è intrufolato nel sistema, potrebbe sfruttarlo per sferrare attacchi ad altri server su Internet. In alcuni casi ci possono anche essere delle conseguenze legali, visto che è l’amministratore del server a rispondere di tutte le attività originate dallo stesso.

Per controllare gli attacchi hacker avvenuti su un server configurato come honeypot, si possono utilizzare degli strumenti di monitoring, come Sebek, disponibile gratuitamente, mentre un honeypot ad alta interazione si può realizzare con il software Argos.

• Sebek: questo strumento per l’elaborazione di dati si utilizza negli honeypot ad alta interazione per controllare gli hacker e raccogliere informazioni su attività che mettono a repentaglio la sicurezza del sistema. La struttura di base del software si compone di due fasi: da una parte il client funziona su un honeypot e rileva tutte le attività degli hacker, come entry, upload di file o password, mentre dall’altra le trasmette ad un server per la registrazione, processo che può avvenire su un sistema a parte.

• Argos: questo honeypot ad alta interazione si basa su un emulatore hardware modificato QEMU. Il software supporta diversi sistemi operativi, che vengono eseguiti su una macchina virtuale e sono configurati come honeypot. Per riconoscere e registrare gli attacchi, Argos non richiede alcun software aggiuntivo. Il traffico dati entrante, che arriva all’honeypot tramite la scheda di rete, viene automaticamente contrassegnato come “tainted” (contaminato) e controllato. Lo stesso processo viene applicato anche ai dati ritenuti compromessi. Per via del maggior dispendio di risorse per l’emulazione del sistema operativo e l’analisi dei dati, Argos è molto più lento rispetto ai sistemi installati su hardware simili.

Gli honeypot ad alta interazione sono dei software che funzionano su sistemi operativi reali e utilizzano i classici browser per registrare gli attacchi scaturiti dai server in rete. I tool più conosciuti sono Capture-HPC e mapWOC.

• Capture-HPC: utilizza un’architettura client-server, in cui un server stabilisce i siti da visitare e controlla diversi client, che a loro volta aprono le pagine e inviano i risultati delle loro analisi al server. Possibili client sono i diversi browser, le applicazioni Office, i PDF-Reader o Media-Player.
• mapWOC: anche il software open source mapWOC (abbreviazione di “massive automated passive Web Observation Center“) carica le pagine grazie a browser reali, che funzionano su una macchina virtuale. Qui il traffico dati viene costantemente controllato dai client per rilevare e analizzare gli attacchi, che avvengono ad esempio tramite Drive-by-Downloads (il computer viene infettato scaricando un programma ad insaputa dell’utente). mapWOC usa come componenti di base il sistema Debian Squeeze, KVM per la virtualizzazione e ClamAV per la ricerca di virus e malware.  Il progetto è supportato dal ministero tedesco per la sicurezza IT, Bundesamt für Sicherheit in der Informationstechnik (BSI).

Generalmente un honeypot si usa in aggiunta agli altri componenti per la sicurezza informatica, come l’Intrusion Detection System (IDS) e i firewall, offrendo così un’altra funzione di controllo. Uno dei vantaggi principali degli honeypot è quello di ottenere dati estremamente importanti. Gli honeypot non fanno parte di un sistema normale, ma sono dei sistemi di controllo, dove ogni attività viene vista come un potenziale attacco. I dati complessivi, rilevati attraverso gli honeypot, sono molti importanti per la sicurezza. Se sono invece i sistemi realmente in uso ad essere controllati, all’analisi dei dati segue la rimozione dei file infetti.

Però bisogna ricordare che non tutti gli honeypot forniscono informazioni utili. Infatti, se l’esca usata non è molto allettante o difficile da trovare, potrebbero anche non verificarsi attacchi e si saranno spesi inutilmente tempo e denaro per mettere a punto questo sistema di sicurezza.

Grazie agli honeypot, le aziende raccolgono dei dati andando però incontro a dei rischi: i sistemi simulati sono creati con lo scopo di attirare gli hacker, che se vi si infiltrano potrebbero però riuscire a causare danni all’intera rete. Per questo bisognerebbe cercare di separare gli honeypot dal resto del sistema e tenere sempre sotto controllo le attività nei sistemi di adescamento. Inoltre è importante limitare i danni verso l’esterno. Per evitare che gli hacker utilizzino gli honeypot per i loro fini, le connessioni in entrata dovrebbero essere ridotte al minimo.un honeypot ad alta interazione lato server ricorre alle stesse misure di sicurezza del resto del sistema, i dati che se ne ricavano serviranno per tirare le somme sulla loro efficacia. Se si rileva un’intrusione nell’honeypot, bisognerebbe accertarsi che l’hacker non sia riuscito anche ad infiltrarsi nel resto del sistema. In seguito sarà necessario migliorare la sicurezza di entrambi i tipi di sistemi per poter allontanare attacchi futuri dello stesso tipo. 

Anche la legge si è servita in passato dei meccanismi dell’honeypot per cogliere in flagrante i criminali, che ricercavano contenuti illegali. Se sia però lecito, ricorrere agli honeypot per contrastare la diffusione di materiali protetti da copyright, rimane una questione controversa.

Secondo una notizia pubblicata da CNet, l’FBI avrebbe inserito nel 2006 alcuni link sui forum che rimandavano a contenuti pedopornografici. I cittadini americani che hanno aperto questi link, hanno ricevuto poco dopo una visita dagli agenti federali.

Nel 2007 è stato reso noto che anche il dipartimento federale della polizia criminale tedesca gestiva sul proprio sito una sottopagina con informazioni su associazioni terroristiche di sinistra, per capire così chi si interessasse al tema e potesse quindi considerarsi sospetto. Un articolo del giornale tedesco Tagesspiegel ha riportato che sin da settembre 2004 venivano registrati gli indirizzi IP di tutti i visitatori del sito e ci si rivolgeva al provider di riferimento per identificare gli utenti.

In rete si è anche parlato dell’impiego di honeypot per indagare sui siti di streaming e sulle piattaforme di file sharing. Visto che non tutte le pagine di questo tipo sono state chiuse, si è ipotizzato che quelle rimaste online venissero usate come honeypot. Tuttavia, un procedimento simile solleva numerosi dubbi a livello legale e sul piano della privacy.