Honeypots: inganno o realtà?

Transcript

1 Honeypots: inganno o realtà? Difesa Stefano Bendandi Grado di difficoltà Un honeypot è una particolare risorsa allestita in modo da apparire come un sistema vulnerabile, suscettibile di essere attaccato e violato.generalmente questi sistemi soddisfano due requisiti: rappresentare un target potenziale per gli aggressori, distraendoli così dalle risorse reali, ed acquisire quante più informazioni possibili sulle tecniche di attacco utilizzate. La sfida non facile che gli honeypot raccolgono è proprio quella di mantenere concentrati su sè stessi le attenzioni di eventuali aggressori, preservando contestualmente l'integrità di altri sistemi più importanti. Dunque si tratta di strumenti di sicurezza proattiva che possono trovare impiego in tutti quei casi nei quali è necessario ricorrere ad un approccio difensivo di tipo strutturato (defense in depth). A differenza dei firewall e dei sistemi per la scoperta delle intrusioni gli honeypot sono progettati per essere attaccati e compromessi. Per questo motivo essi non hanno, in genere, alcun valore intrinseco per chi li allestisce, non contengono dati ed altre informazioni rilevanti ed i servizi di rete che espongono sono destinati a rimanere anonimi e, perciò, non fruibili dagli utenti di un tipico ambiente di produzione. Date queste caratteristiche, dunque, l'intero traffico di rete che fluisce da o verso un honeypot può considerarsi implicitamente sospetto ed, in quanto tale, meritevole di essere analizzato nel dettaglio senza che vi sia la necessità di isolare gli eventuali falsi positivi come, invece, può accadere per gli IDS. Classificazione funzionale Tradizionalmente gli honeypot vengono classificati in due distinte categorie funzionali: produzione e ricerca. L'efficacia dei primi consiste nel proteggere una o più risorse specifiche di una organizzazione, mentre quella dei secondi si concentra, soprattutto, sull'acquisizione di conoscenza circa il modus operandi, le tecniche e gli strumenti di attacco impiegati. Gli honeypot di produzione possono essere ulteriormente diversificati tenendo conto del loro ruolo primario. Dall'articolo imparerai... Cosa sono e come funzionano degli honeypots, Aspetti critici da considerare in una implementazione, Allestimento di honeypots virtuali mediante Honeyd, Tecniche per rilevare la presenza di un honeypot. Cosa dovresti sapere... Concetti di networking e TCP/IP, Modello ISO/OSI, Concetti relativi all'analisi del traffico di rete. 2 hakin9 Nº 7/2007

2 A tale riguardo si parla di prevenzione quando l'obiettivo principale del sistema è quello di sviare i potenziali aggressori, inducendoli in confusione oppure rallentando le loro attività; di identificazione quando l'obiettivo è quello della scoperta di attacchi ed altre attività non autorizzate; infine, di reazione quando l'obiettivo è quello di migliorare la capacità di risposta e gestione degli incidenti informatici tramite lo sviluppo di specifiche competenze. Ognuna di queste soluzioni presenta, ovviamente, dei vantaggi e degli svantaggi ma si distingue per la presenza di caratteristiche peculiari (ad es. gli honeypot di produzione utilizzati con finalità di reazione sono normalmente in grado di catturare una gran quantità di dati). Persino per gli honeypot di ricerca, anche se in modo meno marcato, possiamo tracciare delle aree di specializzazione a seconda della finalità verso la quale è diretta l'acquisizione di conoscenza: identificazione di nuove vulnerabilità per lo sviluppo di signatures per IDS, sviluppo di competenze in materia di analisi forense o semplice studio delle tecniche di attacco. Livelli di interazione Questo fattore, oltre a caratterizzare le modalità con le quali un aggressore può interagire con il sistema, influenza direttamente il livello di complessità e di rischio insiti nella sua installazione, configurazione e manutenzione. In generale ad una maggiore capacità di interazione corrisponde una maggiore probabilità che l'honeypot venga compromesso e, per effetto di ciò, utilizzato come trampolino per sferrare attacchi nei confronti di altri sistemi. D'altra parte, però, soltanto i sistemi caratterizzati da un elevato grado di interazione garantiscono la possibilità di raccogliere un gran numero di informazioni sull'attacco portato a compimento e permettono, dunque, di condurre a posteriori una analisi qualitativamente migliore. Ciò detto possiamo pertanto distinguere tra: honeypot a basso rischio: si tratta di sistemi semplici da installare e Honeypot Produzione 1 Fig. 1: Esempio di dislocazione di honeypot di produzione Fig. 2: Ping sweep Fig. 3: Scansione nmap LAN Web Server Mail Server DMZ configurare, caratterizzati da un livello di interazione nullo o Ftp Server Honeypot Produzione 2 Internet hakin9 Nº 7/2007 3

3 alquanto limitato. Gli honeypot di questo tipo sono in grado di registrare i vari tentativi di attacco e di scansione senza generare tuttavia traffico in uscita; honeypot ad alto rischio: si tratta di soluzioni complesse da installare e configurare basate su sistemi operativi ed applicazioni reali. In questi casi non vi è alcuna emulazione per cui l'aggressore conserva la capacità di interagire con il sistema in modo illimitato. Il principale vantaggio di questi sistemi è rappresentato dalle eccellenti capacità di logging che li rende adatti soprattutto ad un utilizzo per finalità di ricerca. Tra gli svantaggi, invece, va citato proprio l'elevato grado di interazione che può condurre alla scoperta dei meccanismi e della reale natura del sistema, oltre che consentire ovviamente la possibilità di causare danni ben più gravi di quelli normalmente possibili con sistemi a basso impatto. Tra le due categorie citate se ne pone peraltro anche una terza in cui vanno collocati quei sistemi dotati di caratteristiche e di un grado di difficoltà di installazione e configurazione a metà strada tra i sistemi a basso e ad alto impatto. Dislocazione degli honeypot L'efficacia di un honeypot dipende in stretta misura anche dal suo posizionamento all'interno di una rete. Gli honeypot di produzione, impiegati con un ruolo di prevenzione o scoperta delle intrusioni, assicurano la loro miglior efficacia se collocati dietro le difese perimetrali, nelle reti ad alto rischio come le DMZ oppure in quelle interne (Fig. 1). Questa collocazione garantisce i migliori benefici poiché i sistemi sono in grado di esplicare tutta la loro efficacia nei confronti di quegli aggressori che siano riusciti a penetrare le difese perimetrali. Viceversa il posizionamento al di fuori di questo perimetro rischierebbe di compromettere l'utilità dell'honeypot essendo quest'ultimo probabilmente soggetto ad un numero talmente elevato di attacchi da rendere non soltanto arduo, ma anche superfluo, il successivo lavoro di analisi dei dati catturati. Analoghe considerazioni possono essere espresse anche per gli honeypot impiegati con un ruolo di reazione che, avendo lo scopo di riprodurre le funzionalità e l'apparenza di interi sistemi di produzione, trovano una naturale collocazione nelle DMZ dove, di regola, vengono allestiti alcuni tipici servizi pubblici (http server, ftp server, ecc...). Per gli honeypot di ricerca, invece, la dislocazione ideale potrebbe essere nelle reti interne oppure al di fuori del perimetro di sicurezza in relazione al fatto che l'obiettivo della cattura delle informazioni sia relativo ad attacchi interni od esterni. L'importante in questi ultimi due casi, viste le caratteristiche in gioco, è l'adozione di meccanismi ed accorgimenti di controllo tali da impedire che tali sistemi, una volta compromessi, siano sfruttati per finalità illecite. Aspetti critici da considerare Gli honeypot possono contribuire a migliorare il livello di sicurezza di una rete ma solo a condizione che siano allestiti correttamente perché, in caso contrario, essi non solo diventano Fig. 4: Differenza nei valori di TTL inutili ma finiscono per introdurre dei rischi assolutamente inaccettabili. Uno dei principali inconvenienti, imputabili ad una erronea progettazione e/o configurazione, è quello relativo alla scoperta: tale evenienza rischia di vanificare l'utilità del sistema che finisce per essere evitato oppure alimentato con informazioni erronee producendo dei risultati fuorvianti. Il primo accorgimento da adottare è dunque quello di rispettare un certo grado di realismo nell'allestimento e nella configurazione, specie se si ha a che fare con honeypot virtuali che permettono di emulare servizi e sistemi differenti da quelli tipici dell'ambiente in cui sono ospitati. Infatti, anche se i servizi emulati possono apparire verosimili a prima vista, un aggressore che utilizza tecniche di fingerprinting può rendersi conto delle discrepanze in modo semplice. Analogamente il realismo suggerisce che gli honeypot si adattino perfettamente alle infrastrutture di rete da proteggere, così da risultare del tutto naturali in un determinato contesto. Infine, e questo vale soprattutto per le soluzioni di tipo commerciale, devono essere evitate le configurazioni predefinite ed adottato, invece, un approccio orientato alla personalizzazione. Così facendo si riduce il rischio che il nucleo delle funzionalità di base diventi una caratteristica distintiva del 4 hakin9 Nº 7/2007

4 sistema per un aggressore che abbia avuto la possibilità di analizzare e studiare la soluzione in uso. Altra questione da non sottovalutare è quella della riduzione complessiva dei rischi insiti in una installazione che richiede per la sua soluzione: la determinazione degli opportuni livelli di interazione; il compimento di azioni finalizzate al contenimento dei rischi; l'adozione di opportune metodologie di test. La preventiva individuazione dei livelli di interazioni minimi, tali da garantire l'efficacia del sistema in relazione ai suoi obiettivi, già comporta, di per sè, una riduzione della complessità e, quindi, del livello di rischio in gioco. In relazione al secondo punto, invece, le azioni da intraprendere possono essere differenziate: di produzione da utilizzare principalmente con un ruolo di scoperta degli attacchi e delle attività non autorizzate. Dal punto di vista architetturale si tratta di una soluzione a basso livello di interazione dotata di funzionalità di logging e di emulazione di servizi di rete mediante script esterni; sono inoltre supportate ulteriori caratteristiche innovative come: la capacità di impersonificare qualsiasi indirizzo IP non utilizzato all'interno di uno o più segmenti di rete; la capacità di identificare i tentativi di connessione diretti verso qualsiasi porta TCP/UDP, anche se non associata ad alcun servizio; la capacità di simulare il comportamento tipico dello stack TCP/IP di svariati sistemi operativi ed apparati di rete rendendo le risposte dell'honeypot verosimili a fronte di scansioni e tentativi di fingerprinting (a tal fine sono utilizzati gli stessi database impiegati in alcuni noti strumenti come nmap e xprobe2); l'utilizzo di meccanismi di tarpit per bloccare il flusso delle comunicazioni; la capacità di mimare topologie di routing e caratteristiche quali latenza, perdite di connettività ed ampiezza di banda; la possibilità di configurare dei template dinamici in grado di condizionare il comportamento degli honeypot al verificarsi di determinati presupposti. Il principio di funzionamento è molto semplice e si basa sul presupposto di ritenere potenzialmente ostile qualsiasi tentativo di connessione diretto verso uno o più indirizzi di rete inutilizzati. per gli honeypot ad elevata interazione il contenimento presuppone, innanzitutto, l'adozione di opportuni meccanismi di controllo e blocco del flusso dei dati per evitare che i sistemi, una volta compromessi, possano essere utilizzati per portare a compimento attacchi nei confronti di altre risorse; per gli honeypot a bassa interazione potrebbe essere opportuno prevedere, piuttosto, una fase di hardening del sistema operativo per impedire che eventuali vulnerabilità o configurazioni erronee possano riflettersi negativamente sulla stabilità e sull'efficienza dell'intero meccanismo. Per le medesime ragioni si può valutare se l'ambiente di esecuzione debba essere chrooted o comunque vincolato all'interno di una sandbox. Infine, e questo vale soprattutto per gli honeypot virtuali, è necessario assicurarsi che gli aggressori non possano interagire direttamente con il sistema di emulazione. Honeyd Honeyd è un progetto open source per la creazione di honeypot virtuali Listato 1. I l file di configurazione di esempio di Honeyd create template set template personality "Microsoft Windows XP Professional SP1" set template default tcp action reset set template default udp action reset set template default icmp action open add template tcp port 135 open add template tcp port 139 open add template tcp port 445 open add template udp port 135 open add template udp port 137 open add template udp port 138 open add template udp port 445 open create w2k2000sp3 set w2k2000sp3 ethernet "3com" set w2k2000sp3 personality "Microsoft Windows 2000 Server SP3" set w2k2000sp3 default tcp action reset set w2k2000sp3 default udp action reset add w2k2000sp3 tcp port 21 tarpit "sh scripts/win2k/msftp.sh" add w2k2000sp3 tcp port 25 "sh scripts/win2k/exchange-smtp.sh" add w2k2000sp3 tcp port 80 block add w2k2000sp3 tcp port 135 open add w2k2000sp3 tcp port 139 open add w2k2000sp3 tcp port 445 open add w2k2000sp3 tcp port 1025 open add w2k2000sp3 tcp port 1027 open add w2k2000sp3 tcp port 1029 open add w2k2000sp3 udp port 135 open add w2k2000sp3 udp port 137 open add w2k2000sp3 udp port 138 open add w2k2000sp3 udp port 445 open add w2k2000sp3 udp port 500 open bind w2k2000sp3 bind template bind template bind template hakin9 Nº 7/2007 5

5 In questi casi Honeyd assume l'identità del target, acquisendone l'indirizzo IP, e si innescano due reazioni differenti a seconda della configurazione corrente: se alla porta di destinazione non è associato alcun demone il tentativo di connessione viene registrato nei log ed il software comunica che la porta è chiusa oppure non risponde per nulla (anche questo dipende dalla configurazione); se alla porta risulta associato un servizio il software avvia l'esecuzione dello script di emulazione del demone e comincia ad interagire con l'aggressore catturando i dettagli dell'attività in corso. Per sfruttare in modo adeguato le capacità di binding con gli indirizzi di rete inattivi tuttavia occorre adottare dei meccanismi per il reindirizzamento del traffico (arp spoofing, configurazione dei router, bridging, ecc...). Configurazione Honeyd può essere scaricato dall'indirizzo release.php ed è configurabile tramite un semplice file di testo in cui vanno memorizzati i parametri di funzionamento e quelli relativi alle eventuali topologie di rete (vedi Listato 1). Il file di esempio contiene due modelli differenti: il primo emula la presenza di un tipico host Windows XP Professional (SP1) ed è associato a tre diversi indirizzi IP mentre il secondo emula la presenza di un Microsoft Windows 2000 Server (SP3) e risulta associato all'indirizzo restante. Scendendo più nel dettaglio ci possiamo soffermare un attimo sulle particolarità di quest'ultimo template: le porte 21 e 25 risultano associate rispettivamente ad un demone FTP ed SMTP emulati tramite script di shell; sulla porta 21 è impostato un meccanismo di tarpit per bloccare il flusso di comunicazione una volta che la connessione sia stata stabilita (vedremo meglio nel seguito in che cosa consiste questo meccanismo); la porta 80 è impostata in modo da risultare filtrata; Listato 2: Un frammento di cattura del traffico di rete viene emulata la presenza di una determinata scheda di rete in termini di indirizzo MAC TCP [TCP ZeroWindow] ftp > [ACK] Seq=49 Ack=6 Win=0 Len=0 Frame 101 (60 bytes on wire, 60 bytes captured) Arrival Time: Mar 24, :07: Time delta from previous packet: seconds Time since reference or first frame: seconds Frame Number: 101 Packet Length: 60 bytes Capture Length: 60 bytes Protocols in frame: eth:ip:tcp Ethernet II, Src: 3com_82:5c:67 (00:50:da:82:5c:67), Dst: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Destination: ToplinkC_03:8b:db (00:06:7b:03:8b:db) Source: 3com_82:5c:67 (00:50:da:82:5c:67) Type: IP (0x0800) Trailer: Internet Protocol, Src: ( ), Dst: ( ) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) = Differentiated Services Codepoint: Default (0x00) = ECN-Capable Transport (ECT): = ECN-CE: 0 Total Length: 40 Identification: 0x16d1 (5841) Flags: 0x = Reserved bit: Not set.0.. = Don't fragment: Not set..0. = More fragments: Not set Fragment offset: 0 Time to live: 64 Protocol: TCP (0x06) Header checksum: 0xdf20 [correct] Source: ( ) Destination: ( ) Transmission Control Protocol, Src Port: ftp (21), Dst Port: (32787), Seq: 49, Ack: 6, Len: 0 Source port: ftp (21) Destination port: (32787) Sequence number: 49 (relative sequence number) Acknowledgement number: 6 (relative ack number) Header length: 20 bytes Flags: 0x0010 (ACK) = Congestion Window Reduced (CWR): Not set = ECN-Echo: Not set = Urgent: Not set = Acknowledgment: Set = Push: Not set = Reset: Not set = Syn: Not set = Fin: Not set ===> Window size: 0 <=== dimensione della finestra (tarpit) Checksum: 0x266f [correct] SEQ/ACK analysis This is an ACK to the segment in frame: 100 The RTT to ACK the segment was: seconds TCP Analysis Flags This is a ZeroWindow segment 6 hakin9 Nº 7/2007

6 Analisi dei risultati Per intercettare le richieste di risoluzione ARP eseguiamo il demone arpd (scaricabile da tools) mediante il comando: arpd -i eth /30 e subito dopo eseguiamo il demone honeyd tramite il comando: honeyd -f my.config \ -p nmap.prints \ -a nmap.assoc \ -0 pf.os \ -x xprobe2.conf /30 Una volta avviata l'esecuzione eseguiamo un piccolo test per accertare la correttezza e la rispondenza della configurazione prescelta. Possiamo subito notare la risposta ad un ping sweep eseguito sulla sottorete /30 (Fig. 2) ed i risultati di una scansione half open diretta all'indirizzo (Fig. 3). Quest'ultima mostra già, oltre all'emulazione del sistema operativo, l'emulazione dei servizi, dello stato delle porte (la 80 risulta filtrata) e della scheda di rete. Tecniche per la scoperta degli honeypot Per eseguire con successo il fingerprinting di un honeypot un aggressore deve essere in grado di identificare la presenza di meccanismi ad esso relativi (indirizzi, processi, moduli del kernel, strumenti per la cattura dei dati, ecc...) oppure ricostruire le eventuali incongruenze riconducibili ad una parziale o non del tutto veritiera rappresentazione del sistema reale compiuta dall'honeypot. Perché ciò sia possibile occorre una interazione, remota o locale, tra l'aggressore ed il sistema: mentre le interazioni del primo tipo interessano principalmente lo strato di rete ed, in particolare, i livelli 2, 3, 4 e 7 della pila ISO/OSI, quelle locali presuppongono un accesso effettivo al sistema. Livello di data link Il ricorso ad eventuali meccanismi di ridirezione del traffico (ad. es. arp spoofing) con lo scopo di facilitare la simulazione di più host all'interno di una determinata sottorete può dare vita a scenari di risoluzione ARP caratterizzati da una associazione uno a molti tra l'indirizzo MAC del sistema sul quale è in ascolto il demone di emulazione ed i differenti indirizzi IP emulati; ciò può contribuire ad alimentare gli eventuali sospetti di un aggressore che può rendersi conto di questa situazione attraverso un esame della propria cache arp locale oppure utilizzando un semplice sniffer. Un problema analogo può presentarsi anche con gli honeypot ad elevata interazione, soprattutto quando la loro implementazione viene demandata ad apposito software di virtualizzazione (UML, VMWare, ecc...). In tali casi il rischio è dato dal fatto che l'indirizzo MAC può diventare un tratto distintivo inequivocabile in quanto rientrante in un range di indirizzi assegnati ad entità note in base agli standard IEEE. Le contromisure nei confronti di tali potenziali discrepanze sono rappresentate, ove possibile, da una personalizzazione del software oppure dall'adozione di stratagemmi di reindirizzamento del traffico trasparenti (ad es. bridging). Livello di rete In alcune situazioni i pacchetti provenienti da un honeypot in risposta alle varie sollecitazioni possono rivelare delle stranezze, soprattutto nei valori dei campi Time-To-Live (TTL) ed identificativo del datagramma (IPID). Il TTL svolge un ruolo fondamentale sotto un duplice punto di vista di: coerenza con i valori predefiniti attesi per un determinato stack TCP/IP (ad es. 128 per i sistemi Windows, 64 per quelli Linux, ecc...); coerenza delle topologie di rete eventualmente simulate (ad es. decremento dei valori in concomitanza con il transito dei pacchetti attraverso dispositivi di routing). Qualsiasi deviazione rispetto a questi comportamenti tipici può dunque essere vista con sospetto (Fig. 4). La Figura mostra la differenza in termini di valori di Time-To-Live scaturita da due scansioni dello stesso sistema eseguite con tecniche e strumenti differenti. Cambiamenti repentini dei valori dell IPID dei pacchetti possono invece derivare dalla interposizione di dispositivi di ridirezione del traffico come accade nel caso degli honeypot cd. bait and switch. Si tratta di dispositivi installati con lo scopo di dirottare ogni forma di traffico ostile verso un honeypot liberando così i sistemi reali: ciò che accade in questi casi è che, a partire da un determinato momento, l'aggressore comincia ad interagire con un honeypot configurato per replicare le funzionalità di un tipico sistema di produzione. Peraltro, anche se la commutazione avviene in modo trasparente, questo passaggio può causare dei vistosi mutamenti nei valori citati. Infine anche l'analisi statistica dello stato di congestione dei collegamenti di rete, condotta tramite l'ispezione dei valori della proprietà Round-Trip Time (RTT), può avere una sua valenza per finalità di fingerprinting. L'osservazione di sensibili peggioramenti nei valori di tale proprietà, soprattutto in dipendenza dell'esecuzione di alcune attività, potrebbe essere sintomo dell'intervento di particolari meccanismi di cattura dei dati. Un esempio a tale proposito può essere rinvenuto in Sebek, un modulo client-server progettato come kernel rootkit, in grado di intercettare le chiamate di sistema read() e catturare una gran mole di dati, permettendo un analisi molto dettagliata delle azioni compiute da un aggressore. Sebek presenta delle caratteristiche avanzate che lo rendono difficilmente visibile: ad esempio le informazioni catturate dalla componente client vengono inviate, tramite protocollo UDP, ad una componente server in maniera nascosta (il kernel si preoccupa di occultare i pacchetti in uscita modificando anche le strutture dati ed i contatori delle statistiche di rete). hakin9 Nº 7/2007 7

7 Tuttavia, poiché il meccanismo prevede che a fronte della lettura di un singolo byte diverse decine di byte debbano essere trasferiti via rete, una semplice operazione di lettura ripetuta per centinaia di volte può facilmente provocare situazioni di congestione deducibili da un confronto tra i tempi di risposta ottenuti a seguito di scansioni effettuate in momenti temporali differenti. Livello di trasporto Spostandoci a livello di trasporto nella pila ISO/OSI possiamo soffermarci sul dato costituito dal valore della Window Size la cui osservazione può rivelare la presenza di meccanismi di tarpit diretti a mantenere aperti i socket associati ad una connessione impedendo, però, qualsiasi forma di flusso comunicativo. Diversi software, tra i quali Honeyd e Labrea, possiedono questa caratteristica che viene implementata proprio tramite una riduzione a zero della Window Size immediatamente dopo la fase iniziale di instaurazione della connessione. In questo modo nessun dato può essere più ulteriormente trasferito attraverso il canale e, dunque, non risulta possibile neppure chiudere la connessione che rimane aperta ed inattiva consumando inutilmente le risorse del client (Listato 2). Il listato visualizza l'estratto di una sessione di cattura del traffico di rete: il frame visualizzato mostra come il server ftp con indirizzo , emulato da Honeyd, imposta la Window Size del pacchetto a zero, impedendo di fatto ogni ulteriore scambio di dati con il client Ulteriori meccanismi possono addirittura comportare la modifica del contenuto dei datagrammi di rete: a questo proposito un caso tipico è dato dall'utilizzo di Snort-Inline per impedire che un honeypot compromesso possa essere utilizzato per sferrare attacchi nei confronti di altri sistemi. Attraverso tecniche di analisi del traffico di rete ed apposite regole iptables Snort-Inline è anche in grado di alterare il payload dei pacchetti aventi un contenuto particolarmente Cenni sull'autore Stefano Bendandi è laureato in giurisprudenza ed ha conseguito il titolo di avvocato, è certificato CompTIA in materia di sicurezza ed esercita da quasi un decennio la propria attività professionale nel settore IT, dove ha maturato esperienze nell'ambito della progettazione ed implementazione di sistemi informativi, della sicurezza dei database, delle applicazioni e delle infrastrutture di comunicazione. È stato coautore di un libro sugli aspetti tecnologici della tutela della riservatezza nelle biblioteche e, recentemente, ha concluso la preparazione di un altro volume sull'utilizzo del servizio di posta elettronica e di P.E.C. Si occupa di formazione, ricerca e consulenza in materia di problematiche tecniche, legali ed organizzative inerenti la sicurezza informatica, la tutela della privacy e la security governance. È socio ANIP, Associazione Nazionale Informatici Professionisti, ed AIPSI, Associazione Italiana dei Professionisti di Sicurezza Informatica (ISSA Italian Chapter). Può essere contattato all'indirizzo contatti@stefanobendandi.com ostile (ad es. una shellcode) al fine di renderli del tutto inoffensivi. Ovviamente questa contromisura, anche se non facilmente riscontrabile, può tuttavia essere rilevabile attraverso un confronto tra il contenuto dei pacchetti in uscita dall'honeypot e quello dei pacchetti che giungono a destinazione nel caso in cui l'aggressore abbia acquisito il pieno controllo del sistema target. Livello di applicazione A questo livello le considerazioni da fare riguardano soprattutto gli honeypot a bassa interazione. La limitata capacità di emulare il set completo delle funzionalità di servizi di rete spesso molto complessi può infatti rappresentare un segno della reale natura del sistema, soprattutto quando l'aggressore pone in essere azioni non prevedibili, tentando di esasperare l'uso di determinati protocolli applicativi ed analizzando le risposte alle varie sollecitazioni. Interazioni a livello di sistema Queste diventano possibili in presenza di honeypot ad elevata interazione e purché vi sia la disponibilità di una qualche forma di accesso, come una shell ottenuta a seguito di compromissione. In questi casi una prima analisi del sistema ed un monitoraggio a basso livello del traffico di rete potrebbero già rivelare alcune illogicità come: In Rete Progetto Honeynet Progetto Honeyd - Sebek - Labrea la scarso livello di attività in un sistema comunque caratterizzato da centinaia di account utente e documenti, e da una moltitudine di servizi attivi; l'assenza di eventi tipicamente riconducibili ad un uso effettivo (login, variazioni nei livelli di utilizzo di cpu e memoria, I/O, file creati e/o modificati in date recenti, ecc ); le probabili ed evidenti limitazioni relativamente all'apertura di connessioni di rete in uscita; la presenza di ulteriori segni distintivi, come quelli riconducibili all'utilizzo di software di virtualizzazione, rinvenibili attraverso la ricerca di pattern noti (versioni di Bios, porte di I/O particolari, stringhe di identificazione delle periferiche, incoerenze varie nella configurazione delle risorse, ecc...); l'operatività di meccanismi di cattura dati e di logging anche ridondandi. Conclusioni Gli honeypot sono strumenti di sicurezza proattiva molto affascinanti sia 8 hakin9 Nº 7/2007

8 per le molteplici applicazioni pratiche che consentono sia per gli interessanti risultati che permettono di raggiungere, soprattutto in un ambito di ricerca puro. Il loro utilizzo può contribuire al mantenimento dei livelli di sicurezza di una rete a condizione che essi siano correttamente installati, configurati e manutenuti e che siano adottati gli adeguati stratagemmi per evitare che, una volta compromessi, possano essere utilizzati per colpire altre risorse. hakin9 Nº 7/2007 9