Современные информационные технологии/Информационная безопасность

Петренко А.Б., Шмайденко М.С.

Національний авіаційний університет, Україна

НЕДОЛІКИ ЗАСОБІВ HONEYPOT

Вступ. Зі зростанням популярності Інтернету виникає небезпека розголошення персональних даних, важливих корпоративних ресурсів, державних таємниць та іншої секретної інформації. Щодня хакери піддають загрозі ці ресурси, намагаючись одержати до них доступ за допомогою спеціальних атак.

Актуальність. З кожним днем проблема захисту інформації у комп’ютерних мережах постає все більш гостро. Наявність вразливостей та зростання кількості загроз викликає необхідність створення засобів надійного  забезпечення  захисту інформації.

Постановка завдання. Кількість атак у комп’ютерних мережах постійно зростає. Для захисту інформації будуються системи захисту інформації. Honeypot розширює і доповнює архітектуру системи захисту.

Мета роботи. Провести аналіз переваг та недоліків засобів Honeypot.

Викладення матеріалу. Технологія Honeypot - ресурс безпеки, призначення якого полягає в тому, щоб стати дослідженим або зазнати нападу. Мета Honeypot - бути дослідженим, атакованим або використаним зловмисником. Будь-яка зовнішня взаємодія з ним розглядається як несанкціонована активність. Honeypot збирає невелику кількість інформації, після аналізування якої будується статистика методів, якими користуються злоумисники, а також розробляються методи боротьби  з ними.

Засоби Honeypot мають кілька недоліків. Саме через ці недоліки Honeypot не можуть  замінити інших засобів безпеки, вони тільки доповнюють або  розширюють повну архітектуру безпеки.

Головними проблемами Honeypot є:

–        обмежена область бачення;

–        можливість розкриття Honeypot;

–        ризик взлому Honeypot і атаки вузлів сторонніх організацій.

Обмежена область бачення. Найбільший недолік Honeypot - вузька область бачення. Honeypot здійснюють моніторинг діяльності, яка спрямована безпосередньо проти них. Якщо дії атакуючого спрямовані на різні підсистеми мережі, то Honeypot не буде виявляти дану активність. Якщо зловмисник ідентифікував Honeypot, то він може спробувати обійти його і проникнути у захищену мережу. Таким чином, дуже обмежена область бачення Honeypot може виключити події, які трапляються поза цієї області.

Можливість розкриття Honeypot. Інший недолік Honeypot - це можливість розкриття зловмисником. Тобто збір інформації, з використанням якої зловмисник може ідентифікувати Honeypot, через наявність певних очікуваних характеристик або особливостей поведінки. Наприклад, Honeypot може імітувати роботу Web-сервера. Кожен раз, коли зловмисник з'єднується з цим певним типом Honeypot, Web-сервер відповідає, посилаючи загальне повідомлення про помилки, використовуючи стандартний HTML, що є відповіддю, яку можна очікувати від будь-якого Web-сервера. Однак є орфографічна помилка в одній з команд HTML – це перевірка правопису слова - "legnht". Ця орфографічна помилка є особливістю для даного Honeypot, і будь-який зловмисник може швидко ідентифікувати даний Honeypot через її наявність.

Неправильно експлуатований Honeypot може також ідентифікувати себе. Наприклад, Honeypot може бути спроектований так, щоб емулювати IIS Web-сервер, при цьому маючи певні характеристики, які ідентифікують його як UNIX-сервер Solaris. Ці характеристики суперечать одна одній і можуть діяти як сигнатура для Honeypot. Існують різноманітні методи, щоб відрізнити справжню систему або сервіс від Honeypot.

Розкриття Honeypot може негативно вплинути і з наступного боку: зловмисник, ідентифікувавши Honeypot, починає з ним взаємодіяти і, таким чином, привертає увагу адміністраторів безпеки. Тим часом, зловмисник може зосередитися на реальних нападах. Можливість розкриття Honeypot зловмисником становить найбільший ризик для дослідницьких Honeypot,які використовуються лише для вивчення моделі поведінки порушника. Зловмисник може спеціально надати недостовірну, що може призвести до неправильних висновків.

Ризик злому і атаки на вузли сторонніх організацій. Третій недолік Honeypot – ризик злому. Honeypot, на який нападають, може використовуватися для нападу або пошкодження інших систем або мереж.

Різні Honeypot мають різні рівні ризику. Чим простіша конфігурація Honeypot, тим менший ризик. Наприклад, Honeypot, який імітує кілька серверів, складно скомпрометувати і використовувати для атак інших систем та мереж. Ризик змінюється залежно від побудови і розгортання Honeypot.

Література:

1.                   Lance Spitzner. Dynamic Honeypots.

2.     Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley.