Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Ханипот – это, несомненно, лучший способ поймать злоумышленника, который обошел другие защитные механизмы. Он тихонечко ждет любой внезапной попытки подключения. Я отслеживал многих хакеров и тестировщиков за десятилетия своей работы, и один правдивый факт заключается в том, что они ищут и перемещаются по сети, как только получили первоначальный доступ. Не многие хакеры знают, какие системы являются ханипотами, а какие нет, и когда они перемещаются и просто «касаются» их, считайте, вы их поймали.

Пример: одна из наиболее распространенных проблем, связанных с атаками, – это расширенные постоянные угрозы (APT), описанные в главе 14. Они легко и обычно без обнаружения двигаются в стороны и по горизонтали. Но разместите парочку ханипотов в качестве поддельных веб-серверов, серверов баз данных и серверов приложений, и вы обнаружите APT без труда.

Конечно, есть хакеры, которые просто перейдут от своего первого внутреннего вторжения к конкретному активу или набору активов, но это случается редко. Обычно даже после компрометации предполагаемой основной цели они будут оглядываться. И когда они осматриваются и «дотрагиваются» до ханипотов… вы их ловите! Или, по крайней мере, узнаете о них. Я большой поклонник размещения ханипотов низкого или среднего взаимодействия, чтобы получить раннее предупреждение о вторжении.

За эти годы я выстроил десятки систем ханипотов, но одна из моих любимых историй – это когда я разрабатывал их для подрядчика из министерства обороны. Он был обеспокоен внешним взломом, но наши ханипоты быстро обнаружили несанкционированную инсайдерскую атаку.

Мы отследили ее и пришли к сотруднице отдела заработной платы из России. Мы уже установили камеры в отделе, чтобы наблюдать за ее действиями. Она вставила несанкционированную беспроводную карту в свой компьютер, чтобы «соединить» две изолированные сети, и передавала большие объемы личных данных другому внешнему партнеру. После двух дней наблюдения и определения ее намерений (она определенно собирала данные для сверхсекретных проектов), мы со службой безопасности вошли в комнату, чтобы противостоять ей. Она сразу расплакалась и так талантливо играла свою роль невинной жертвы, что, если бы мы не следили за ней несколько дней, я бы ей поверил. Она была хакером, но сотрудники ее отдела думали, что она настолько не разбирается в компьютерах, что отправили на курсы, чтобы она научилась лучше печатать.

Она была лишь одним из многих российских сотрудников, нанятых по временному контракту. В конце концов выяснилось, что все они были шпионами.

Проект Honeynet Project (http://www.honeynet.org) – это лучший источник для изучения ханипотов. Honeywall CD-ROM (http://www.honeynet.org/project/HoneywallCDROM) – отличное бесплатное ПО с ханипотами для пользователей, которые не боятся конфигурации Linux.

Honeyd (http://www.honeyd.org) – гибкий бесплатный ханипот с открытым исходным кодом, но он требует твердых знаний Linux и сетевых навыков для установки и работы. Она выполняет отличную широкую эмуляцию более чем ста операционных систем и может быть легко связана с другими продуктами и скриптами. С другой стороны, она не обновлялась годами. Я думаю, что это хороший вариант для тех, кто хочет увидеть все, что только можно.

Мой любимый ханипот – Kfsensor (www.keyfocus.net). Это коммерческий продукт, который работает только на компьютерах с Windows, и он постоянно обновляется и улучшается. У Kfsensor есть свои недостатки, но у него также много различных функций и он довольно прост в настройке. У него есть сотни опций и настроек, а также он позволяет регистрировать и предупреждать различные базы данных и журналы. Доступны бесплатные пробные версии.

В мире существует множество (более ста) ханипотов. Каждый год в Интернете появляется несколько новых. Если вы заинтересованы в ханипотах, то опробуйте некоторые из них. Нет никаких сомнений в том, что каждый человек, заинтересованный в скорейшем предупреждении о возможно успешном хакере или проникновении вредоносных программ, должен запустить ханипот.

Глава 20 посвящена профилю Лэнса Спицнера, который, вероятно, сделал больше для исследования ханипотов, чем кто-либо другой.

В конце 1980-х я прочитал книгу Клиффорда Столла под названием The Cuckoo’s Egg. Это история о том, как ошибка в 0,75 доллара привела американского астронома к раскрытию международной шпионской группировки. Главным инструментом Столла в расследовании был ханипот. Эта книга действительно пробудила мой интерес к информационной безопасности и борьбе с хакерами.