Le honeypots possono essere classificate in base al loro spiegamento (uso/azione) e in base al loro livello di coinvolgimento. Sulla base della distribuzione, le honeypots possono essere classificate come:
- le honeypots di produzione
- le honeypots di ricerca
Le honeypots di produzione sono facili da usare, catturano solo informazioni limitate e sono usate principalmente dalle aziende. Le honeypots di produzione sono collocate all’interno della rete di produzione con altri server di produzione da un’organizzazione per migliorare il loro stato generale di sicurezza. Normalmente, le honeypots di produzione sono honeypots a bassa interazione, che sono più facili da implementare. Forniscono meno informazioni sugli attacchi o sugli aggressori rispetto alle honeypots di ricerca.
Le honeypots di ricerca vengono eseguite per raccogliere informazioni sui motivi e sulle tattiche della comunità dei black hat che prendono di mira diverse reti. Queste honeypots non aggiungono un valore diretto a un’organizzazione specifica; invece, sono usate per ricercare le minacce che le organizzazioni affrontano e per imparare come proteggersi meglio da queste minacce. Le honeypots di ricerca sono complesse da implementare e mantenere, catturano informazioni estese e sono utilizzate principalmente da organizzazioni di ricerca, militari o governative.
In base ai criteri di progettazione, le honeypots possono essere classificate come:
- pure honeypots
- high-interaction honeypots
- low-interaction honeypots
Pure honeypots sono sistemi di produzione completi. Le attività dell’attaccante sono monitorate utilizzando un bug tap che è stato installato sul collegamento dell’honeypot alla rete. Nessun altro software deve essere installato. Anche se una honeypot pura è utile, la furtività dei meccanismi di difesa può essere assicurata da un meccanismo più controllato.
Le honeypot ad alta interazione imitano le attività dei sistemi di produzione che ospitano una varietà di servizi e, quindi, un attaccante può avere a disposizione molti servizi per perdere tempo. Utilizzando macchine virtuali, più honeypots possono essere ospitate su una singola macchina fisica. Pertanto, anche se la honeypot è compromessa, può essere ripristinata più rapidamente. In generale, le honeypots ad alta interazione forniscono più sicurezza essendo difficili da rilevare, ma sono costose da mantenere. Se le macchine virtuali non sono disponibili, un computer fisico deve essere mantenuto per ogni honeypot, il che può essere esorbitantemente costoso. Esempio: Honeynet.
Le honeypots a bassa interazione simulano solo i servizi frequentemente richiesti dagli attaccanti. Poiché consumano relativamente poche risorse, più macchine virtuali possono essere facilmente ospitate su un sistema fisico, i sistemi virtuali hanno un breve tempo di risposta, e meno codice è richiesto, riducendo la complessità della sicurezza del sistema virtuale. Esempio: Honeyd.
Tecnologia dell’ingannoModifica
Di recente, un nuovo segmento di mercato chiamato tecnologia dell’inganno è emerso utilizzando la tecnologia honeypot di base con l’aggiunta di automazione avanzata per la scala. La tecnologia di deception si rivolge all’implementazione automatizzata delle risorse honeypot su una grande impresa commerciale o istituzione governativa.
Malware honeypotsEdit
Malware honeypots sono utilizzati per rilevare il malware sfruttando i vettori di replicazione e di attacco noti del malware. I vettori di replica come le chiavette USB possono essere facilmente verificati per le prove di modifiche, sia attraverso mezzi manuali o utilizzando honeypots speciali che emulano le unità. Il malware è sempre più utilizzato per cercare e rubare criptovalute.
Versioni di spamEdit
Gli spammer abusano di risorse vulnerabili come relay di posta aperti e proxy aperti. Questi sono server che accettano e-mail da chiunque su Internet, compresi gli spammer, e le inviano a destinazione. Alcuni amministratori di sistema hanno creato programmi honeypot che si mascherano come queste risorse abusabili per scoprire l’attività degli spammer.
Ci sono diverse capacità che tali honeypots forniscono a questi amministratori, e l’esistenza di questi falsi sistemi abusabili rende l’abuso più difficile o rischioso. Le honeypots possono essere una potente contromisura contro l’abuso da parte di coloro che si basano su volumi di abuso molto elevati (ad esempio, gli spammer).
Queste honeypots possono rivelare l’indirizzo IP dell’abusatore e fornire la cattura dello spam di massa (che consente agli operatori di determinare gli URL e i meccanismi di risposta degli spammer). Come descritto da M. Edwards a ITPRo Today:
Tipicamente, gli spammer testano un server di posta per il relaying aperto semplicemente inviando loro stessi un messaggio email. Se lo spammer riceve il messaggio e-mail, il server di posta ovviamente permette l’open relaying. Gli operatori di Honeypot, tuttavia, possono usare il test di relay per contrastare gli spammer. L’honeypot cattura il messaggio email del test di relay, restituisce il messaggio email di test, e successivamente blocca tutti gli altri messaggi email da quello spammer. Gli spammer continuano ad usare l’honeypot antispam per lo spamming, ma lo spam non viene mai consegnato. Nel frattempo, l’operatore dell’honeypot può notificare gli ISP degli spammer e far cancellare i loro account Internet. Se gli operatori degli honeypot rilevano gli spammer che usano server open-proxy, possono anche notificare all’operatore del server proxy di bloccare il server per prevenire ulteriori abusi.
La fonte apparente può essere un altro sistema abusato. Gli spammer e altri abusatori possono usare una catena di tali sistemi abusati per rendere difficile il rilevamento del punto di partenza originale del traffico di abuso.
Questo è di per sé indicativo del potere degli honeypots come strumenti anti-spam. Nei primi giorni delle honeypots anti-spam, gli spammer, con poca preoccupazione di nascondere la loro posizione, si sentivano sicuri nel testare le vulnerabilità e inviare spam direttamente dai loro sistemi. Le honeypots hanno reso l’abuso più rischioso e più difficile.
Lo spam scorre ancora attraverso i relay aperti, ma il volume è molto più piccolo che nel 2001-02. Mentre la maggior parte dello spam ha origine negli Stati Uniti, gli spammer saltano attraverso i relay aperti attraverso i confini politici per mascherare la loro origine. Gli operatori di Honeypot possono usare test di relay intercettati per riconoscere e contrastare i tentativi di inoltrare lo spam attraverso le loro honeypots. “Ostacolare” può significare “accettare lo spam relay ma rifiutare di consegnarlo”. Gli operatori delle honeypot possono scoprire altri dettagli riguardanti lo spam e lo spammer esaminando i messaggi di spam catturati.
Le honeypots aperte includono Jackpot, scritto in Java da Jack Cleaver; smtpot.py, scritto in Python da Karl A. Krueger; e spamhole, scritto in C. Il Bubblegum Proxypot è un honeypot (o “proxypot”) open source.
Email trapEdit
Un indirizzo email che non è usato per nessun altro scopo che ricevere spam può anche essere considerato un honeypot di spam. Rispetto al termine “spamtrap”, il termine “honeypot” potrebbe essere più adatto a sistemi e tecniche che vengono utilizzati per rilevare o contrattaccare le sonde. Con una spamtrap, lo spam arriva a destinazione “legittimamente” – esattamente come arriverebbe un’email non spam.
Un amalgama di queste tecniche è Project Honey Pot, un progetto distribuito e open source che utilizza pagine honeypot installate su siti web in tutto il mondo. Queste pagine honeypot diffondono indirizzi e-mail spamtrap etichettati in modo univoco e gli spammer possono quindi essere rintracciati – la posta spam corrispondente viene successivamente inviata a questi indirizzi e-mail spamtrap.
Database honeypotEdit
I database vengono spesso attaccati da intrusi utilizzando l’iniezione SQL. Poiché tali attività non sono riconosciute dai firewall di base, le aziende spesso usano firewall di database per la protezione. Alcuni dei firewall di database SQL disponibili forniscono/supportano architetture honeypot, in modo che l’intruso si trovi contro un database trappola, mentre l’applicazione web rimane funzionale.