Securitate Web Cursul 11 Honeypot PDF
Document Details
Uploaded by FearlessSasquatch
Universitatea Tehnică Gheorghe Asachi din Iași
2024
Adrian Alexandrescu
Tags
Summary
This document details the structure and functionality of various honeypot types used in cybersecurity. It discusses how honeypots are designed to lure and track malicious actors intent on infiltrating a system.
Full Transcript
SECURITATE WEB CURSUL 11 HONEYPOT ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Honeypot II. Exercițiul de securitate CyDEx III. Exemplu de răspuns la un atac cibernetic Adrian Alexandrescu 2023...
SECURITATE WEB CURSUL 11 HONEYPOT ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Honeypot II. Exercițiul de securitate CyDEx III. Exemplu de răspuns la un atac cibernetic Adrian Alexandrescu 2023-2024 2 Honeypot I 1. Honeypot 2. Tipuri de honeypot 3. Limitări și riscuri ale honeypot 4. Honeypot web 5. Soluții honeypot 6. Honeynet 7. Canary trap 8. Google dork Adrian Alexandrescu 2023-2024 3 1. Honeypot I În lumea spionajului, anumite persoane folosesc o relație romantică ca o modalitate de a fura secrete Se creează un honey trap sau honeypot Spionii inamici pot fi compromiși printr-un honeypot și apoi forțați să dezvăluie anumite lucruri Referitor la calculatoare, un honeypot este o modalitate prin care se creează o capcană în care ar putea să fie prinși atacatorii/hacker-ii Adrian Alexandrescu 2023-2024 4 1. Honeypot I De obicei, este un sistem de calculatoare sacrificat și folosit ca momeală pentru a atrage atacuri cibernetice Imită o țintă pentru hackeri și folosește încercările lor de intruziune: Pentru a obține informații despre infractorii cibernetici, Pentru a studia modul în care aceștia operează în vederea securizării mai eficiente a sistemelor reale, Pentru a le distrage atenția de la alte ținte. Adrian Alexandrescu 2023-2024 5 1. Honeypot I Echipele de securitate pot folosi honeypot-uri Pentru a investiga breșe de securitate Pentru a determina modelele de comportament ale atacatorilor Pentru a determina ce informație sau ce aplicație vizează atacatorii Pentru a determina gradul de eficiență a metodelor de securitate în oprirea atacurilor Pentru a reduce riscul de fals-pozitive deoarece este puțin probabil să atragă activitate legitimă Adrian Alexandrescu 2023-2024 6 1. Honeypot Adrian Alexandrescu 2023-2024 https://www.techtarget.com/whatis/feature/How-to-build-ahoneypot-to-increase-network-security I 7 1. Honeypot Adrian Alexandrescu 2023-2024 I 8 I 1. Honeypot Adrian Alexandrescu 2023-2024 https://cyberhoot.com/cybrary/honeypot/ 9 2. Tipuri de honeypot I Capcane de e-mail sau capcane de spam Plasează o adresă de e-mail falsă într-o locație ascunsă, unde doar un colector automat de adrese o va putea găsi Deoarece adresa nu este folosită în alt scop decât ca o capcană pentru spam, este 100% sigur că orice e-mail care ajunge la ea este spam Toate mesajele care conțin același conținut ca cele trimise către capcana spam pot fi blocate automat IP-ul sursă al expeditorilor poate fi adăugat la o listă de refuz/blocare. Adrian Alexandrescu 2023-2024 10 2. Tipuri de honeypot I Bază de date momeală Pentru a monitoriza vulnerabilitățile software Pentru a identifica atacurile care exploatează arhitectura nesigură a sistemului Pentru a detecta injecția SQL, exploatarea serviciilor SQL sau abuzul de privilegii Adrian Alexandrescu 2023-2024 11 2. Tipuri de honeypot I Honeypot de malware Imită aplicațiile software și API-urile pentru a invita atacuri de malware Caracteristicile malware-ului pot fi apoi analizate pentru a dezvolta software anti-malware sau pentru a închide vulnerabilitățile din API. Adrian Alexandrescu 2023-2024 12 2. Tipuri de honeypot I Spider honeypot Are scopul de a capta web crawler-ele („păianjeni”) prin crearea de pagini web și linkuri accesibile numai crawlerelor Detectarea crawler-elor poate ajuta la a învăța cum să fie blocați roboții rău intenționați, precum și crawlerele din rețeaua publicitară. Adrian Alexandrescu 2023-2024 13 2. Tipuri de honeypot Honeypot de producție I Servește ca sisteme de momeală în interiorul rețelelor și serverelor de producție, adesea ca parte a unui sistem de detectare a intruziunilor (Intrusion Detection System - IDS) Abate atenția de la sistemul real, în timp ce analizează activitățile rău intenționate Honeypot de cercetare Utilizat în scop educațional și pentru îmbunătățirea securității De multe ori conține date care pot fi urmărite atunci când sunt furate în vederea analizării atacului Adrian Alexandrescu 2023-2024 14 2. Tipuri de honeypot I Honeypot cu interacțiune redusă Utilizează mai puține resurse și colectează informații de bază despre nivelul și tipul de amenințare și de unde provine Sunt ușor și rapid de configurat, de obicei cu doar câteva protocoale TCP și IP simulate de bază și servicii de rețea Nu există nimic în honeypot care să angajeze atacatorul pentru foarte mult timp Nu se pot obține informații aprofundate despre obiceiurile lor sau despre amenințările complexe Adrian Alexandrescu 2023-2024 15 2. Tipuri de honeypot I Honeypot cu interacțiune ridicată Urmăresc să-i determine pe atacatori să petreacă cât mai mult timp posibil în honeypot Oferă o mulțime de informații despre intențiile și țintele atacatorilor, despre vulnerabilitățile pe care le exploatează și modul lor de operare Conține baze de date, sisteme și procese care pot implica un atacator mult mai mult timp Acest lucru le permite cercetătorilor să urmărească unde merg atacatorii în sistem pentru a găsi informații sensibile ce instrumente folosesc pentru a escalada privilegiile ce exploit-uri folosesc pentru a compromite sistemul Adrian Alexandrescu 2023-2024 16 3. Limitări și riscuri ale honeypot I Nu detectează breșele de securitate în sistemele legitime Nu identifică întotdeauna atacatorul Există și riscul ca, după ce a exploatat cu succes honeypot, un atacator să se poată deplasa lateral pentru a se infiltra în rețeaua reală de producție Honeypot-ul ar trebui să fie izolat corespunzător Adrian Alexandrescu 2023-2024 17 4. Exemplu honeypot web I Crearea unui formular care are câmpuri ascunse pentru utilizator, dar vizibile pentru un bot Unii boți nu completează câmpurile care au display: none sau visibility: hidden și ar trebui o altă modalitate de a ascunde câmpurile opacity: 0; position: absolute; top: 0; left: 0; height: 0; width: 0; z-index: -1; tabindex: -1; autocomplete: false Are sens să avem două seturi de câmpuri: de forma nume (email, nume, telefon – pentru a atrage bot-ul) și numeHASH (câmpurile reale)? Ce se întâmplă cu câmpurile required? Ce se întâmplă la autocomplete sau dacă se folosește LastPass? Adrian Alexandrescu 2023-2024 18 5. Soluții honeypot Categorii de soluții software honeypot: I SSH HTTP Wordpress Baze de date Email IoT https://securitytrails.com/blog/top-honeypots Adrian Alexandrescu 2023-2024 19 6. Honeynet I Colecție de honeypot-uri cu interacțiune ridicată Hacker-ii se așteaptă să găsească mai mult de o mașină când intră în infrastructura unei companii S-ar putea aduna mai multe date referitoare la comportamentul hacker-ilor în rețea The Honeynet Project – https://www.honeynet.org/ Adrian Alexandrescu 2023-2024 20 6. Honeynet Adrian Alexandrescu https://www.lupovis.io/honeynets_vs_honeypots/ 2023-2024 I 21 7. Canary trap I Până la sfârșitul secolului al XX-lea, canarii erau folosiți de mineri pentru a detecta niveluri periculos de ridicate de gaze toxice, cum ar fi monoxidul de carbon, pentru a-i proteja de inhalarea de substanțe periculoase. Această tehnică este folosită în spionaj – sunt răspândite versiuni multiple de documente false pentru a ascunde un secret sau pentru a detecta scurgerile de informații Adrian Alexandrescu 2023-2024 22 7. Canary trap I Canary token Modalitate rapidă de a detecta un atac Este ca un sistem de monitorizare a amenințărilor Când un atacator deschide un fișier sau o resursă care conține un canary token, se oferă instantaneu detalii care pot fi utilizate pentru a preveni succesul următoarei mișcări din partea atacatorului https://docs.canarytokens.org/ Adrian Alexandrescu 2023-2024 23 8. Google dork I O interogare Google dork este un șir de căutare sau o interogare personalizată care utilizează operatori de căutare avansați pentru a găsi informații care nu sunt ușor disponibile pe un site web Google dorking / Google hacking Poate returna informații dificil de localizat prin interogări simple de căutare Includ informații care nu sunt destinate vizionării publice, dar care sunt protejate în mod inadecvat și, prin urmare, pot fi „dorked” de un hacker https://securitytrails.com/blog/google-hacking-techniques https://www.exploit-db.com/google-hacking-database Adrian Alexandrescu 2023-2024 24 Exercițiul de securitate CyDEx II Exercițiul de securitate cibernetică CyDEx 2022 Exemplu de raportare a unui incident de securitate Formular Notificare Incident de Securitate Cibernetică https://www.enisa.europa.eu/topics/incidentreporting Adrian Alexandrescu 2023-2024 25 Exemplu de răspuns la un atac cibernetic III Matthew Pozun Distinguished Information Security Engineer @ VERISIGN Adrian Alexandrescu 2023-2024 26 Bibliografie How to build a honeypot to increase network security https://www.techtarget.com/whatis/feature/How-to-build-a-honeypot-toincrease-network-security Top 20 Google Hacking Techniques https://securitytrails.com/blog/google-hacking-techniques Exploit Database https://www.exploit-db.com/ What is a Canary Trap? https://www.canarytrap.com/what-is-a-canary-trap/ What is a Canary in Cybersecurity? https://www.fortinet.com/resources/cyberglossary/what-is-canary-incybersecurity Adrian Alexandrescu 2023-2024 27 Bibliografie OWASP Honeypot-Project https://owasp.org/www-project-honeypot/ What is a honeypot? https://www.kaspersky.com/resource-center/threats/what-is-a-honeypot Honeypot https://www.imperva.com/learn/application-security/honeypot-honeynet/ Comprehensive Guide on Honeypots https://www.hackingarticles.in/comprehensive-guide-on-honeypots/ Honeypot https://cyberhoot.com/cybrary/honeypot/ Best Honeypots for Detecting Network Threats https://securitytrails.com/blog/top-honeypots Adrian Alexandrescu 2023-2024 28