Comments 10
Спасибо, познавательно.
Интересная статья, не знал, что так ловят хакеров.
А ответные атаки она может производить?
Не совсем понятно, что имеется в виду под ответными атаками. В deception можно встроить модули реагирования на инциденты, которые могут в принципе делать все, что вам нравится. Конкретно в нашем решении такой модуль есть, но "ответной атакой" я бы это не назвал. Полноценное реагирование мы решили оставить для других инструментов, которые на этом специализируются.
Атака на ваш сервер — не объявление кибервойны.
Хотя, можно оставить ловушки. Например, zip-бомбу или, может, злоумышленник, в спешке, случайно нажмёт «разрешить макро» :)
У меня сомнения по поводу этой статьи.
Во-первых, по стилю (Deception, кстати - странное название для технологии. Звучит как "Я изобрёл новую технологию, я назвал её 'Враньё' ", но не суть) звучит так, как будто материал для неё вы собирали по маркетингу инструментов. Вообще, в этом нет ничего плохого, но...
Во-вторых, если Honeypot (далее - HP) сложно обнаружить, то зачем он вообще? Его как раз просто обнаружить - он должен как-либо о себе заявлять (ну или хотя бы иметь адрес, который скорее всего просканируют, например, 192.168.1.2).
В третьих, по Honeypot-ам я с вами не согласен, HP - не технология, а, скорее, принцип. HP можно назвать, как отдельный компьютер, так и целую сеть. Даже можно разместить HP на реальном сервере, который уже что-то делает. Зависит от того, кого и как будем ловить. Например, если вы хотите поймать вообще любых хакеров, то вы светитесь в темноте, вполне возможно, создадите целую сеть, эмулирующую предприятие или что-то вроде того.
А примером последнего типа является (уже, скорее, технология) SSH Jail. Принцип прост. Вы переносите SSH сервер на нестандартный порт, отключаете логин через root и используете не слишком очевидный логин аккаунта (т.е. что либо кроме admin, administrator, toor и т.п.). (Хотя, это вы должны были и так сделать в любом случае)
Далее - учитываем один факт. В спецификации SSH, есть такая вещь, как произвольный текст, выводимый построчно, сразу при подключении, перед логином. Однако, длинна текста, а так же скорость отправки вообще не ограничены, а пока весь не отправиться - логин невозможен. Так, мы берём софт, который притворяется SSH, но при подключении - бесконечно выводит текст, скажем, по строке в 450ms.
Такой способ отлично подойдёт против массовых атак по словарю (когда \*хакер\* забивает целый набор блоков IP в скрипт и пытается найти что угодно, что вообще получиться взломать) - многие сканеры просто зависнут на вашем сервере, ожидая, когда бесконечный текст закончиться, ведь всё происходит в соответствии с протоколом. А открытый SSH на 22 порту - точно найдут. Способ, конечно, подойдёт только для причинения раздражения тем, кто загружает вашу домашнюю сеть попытками взломать вашу малину, но как забавный пример - самое то.
Благодарю за проявленный интерес и содержательный комментарий!
Спорить с вашими тезисами не буду, но отвечу выборочно.
Название "Deception" изобретено не нами - инструменты, которые себя причисляют к этому классу, появились давно, и они также позиционируют себя как системы, более "умные" по сравнению с классическими ханипотами. Как наиболее распространенный пример рекомендую посмотреть TrapX, который существует с 2014 года. А кроме него существует еще по меньшей мере десяток подобных систем, которые называются Deception.
Во-вторых, если Honeypot (далее - HP) сложно обнаружить, то зачем он вообще? Его как раз просто обнаружить - он должен как-либо о себе заявлять (ну или хотя бы иметь адрес, который скорее всего просканируют, например, 192.168.1.2).
Да, разумеется. Но ханипоты сами по себе статичны и не предпринимают никаких активных действий, не раскидывают по сети приманок, etc. Deception как правило это умеет.
HP - не технология, а, скорее, принцип. HP можно назвать, как отдельный компьютер, так и целую сеть.
Не спорю, вопрос терминологии. Любая Deception система работает по принципу ханипота, конечно же. Ничего принципиально нового мы не изобрели. Но, как я упомянул выше, есть +- общепринятый термин "Deception", которым называют систему, подобную нашей - работает по принципу ханипота с рядом улучшений и автоматизации поверх.
SSH Jail тоже звучит как что-то, работающее по принципам ханипота. Такую ловушку можно внедрить и в Deception-систему, а можно и использовать отдельно, не вижу никаких противоречий.
Про название — это был просто off-hand комментарий, не претензия к статье, просто 'deception' для меня прозвучало странно и я это упомянул
Про ханипоты — комментарий как раз был про то, что любое решение deception — есть система управления ханипотами, а статья звучит так, будто ханипот — какая-то отдельная, устаревшая технология, в то время, как 'ханипот' описывает любую подобную ловушку. И да, ничего не останавливает вас от того, чтобы настроить скрипт для взаимодействия ханипота с чем-либо ещё, либо для какого-то ответа на действия злоумышленника, так что нет, ханипот может предпринимать активные действия. Ну и ловушки тоже можно раскинуть вручную/в полуавтоматическом режиме
SSH jail — да, это ханипот. Я его привёл просто как пример ханипота, который не является отдельным хостом
Я, кстати, не уверен, но читая сейчас статью, вы всё же, похоже поправили часть с ханипотами, либо же я плохо помню, но по-моему старое определение не включало SSH jail, как ханипот.
Ну и в конце скажу — да, как раз моё было замечание по терминологии, и по представлению ханипота. Статья до сих пор говорит о том, что
На смену этой технологии постепенно пришла другая, более продвинутая и умная, — Deception.
Что имплецирует:
- Honeypot — технология, а не принцип
- Deception — не ханипот и не состоит в управлении ханипотами
(Последнее — так же имплецируеться заявлениями в пассивности ханипотов)
Всё это — не правда
Интересно было бы узнать, что изменилось за два года. Новые решения, подходы?
Технология обмана. Что такое Deception и как теперь обманывают хакеров