Банка с медом

Никита Кислицин

Хакер, номер #073, стр. 073-064-1

(nikitoz@real.xakep.ru)

Установка, использование и обнаружение honeypot

«О, смотри, еще один. Вот дебил, ну куда это годится? – сказал Серега своему коллеге Михаилу и открыл банку Red Devil. – Нет, у него определенно что-то не в порядке с головой. Ты смотри что творит: поломал сервер РосАвиаКосмоса и хочет установить туда BNC. Ладно, чего с ним делаем?». «Да что там, вязать его надо, придурка. Поехали!» – процедил сквозь зубы здоровяк и передал клиента группе захвата.

Для тебя не секрет, что многие хакеры выбирают жертв для своих атак совершенно огульным образом, сканируя большие диапазоны адресов в поисках конкретных сервисов, для которых у них есть отмычки. Такой подход и в самом деле оказывается довольно эффективным, однако здесь есть несколько серьезных проблем. Люди, занимающиеся безопасностью компьютерных систем, в силу специфики своей работы должны постоянно следить за появлением новых технологий осуществления атак, выходом свежих эксплойтов для популярных сервисов и т.д. Само собой, что на открытых источниках ничего свежего не найти, на ленты багтрака попадают лишь уязвимости, о которых профессиональным взломщикам известно уже давно.

В свое время была разработана концепция системы, получившая название honeypot – «бочка с медом» по-английски. Как сказал один компетентный человек, honeypot – это система, в которой сделано все, чтобы ее захотелось сломать. Пожалуй, это самое полное определение. Ханипот занимается тем, что эмулирует сервер с кучей серьезных ошибок, которые должны приманивать сетевых взломщиков, чтобы те хакали эту виртуальную машину.

Для чего это нужно? Ну например, чтобы отлавливать придурков, взламывающих серверы серьезных организаций и устанавливающих туда BNC :). Но это лишь одно направление применения honeypot-систем, которое используют недальновидные федералы. Люди поумнее юзают honeypot, чтобы изучать поведение и приемы хакеров, отслеживая все действия сетевых негодяев с самого начала атаки до ее завершения. Наблюдая за работой профессионального взломщика, можно многому научиться и многое понять. Можно без проблем получить доступ к приватному шелл-коду, которым хакер завалил неуязвимый ранее сервис, можно освоить новые приемы атак и разработать методы противодействия. Да много чего можно.

И самое главное заключается в том, что взломщик со всей искренностью и остервенением будет ломать несуществующую машину, даже не догадываясь о том, что занимается полной фигней и открывает свои профессиональные секреты :).

Сегодня я расскажу тебе, каким образом можно установить и настроить в Сети свой собственный honeypot, что полезного с этого можно поднять, а также каким образом можно удаленно распознавать чужие ханипоты, чтобы не попасться на уловку, а наоборот, постебаться над хозяином фейковой машины. Занимайте места согласно билетам, мы начинаем!

What the fuck?

Как я уже отмечал выше, honeypot-системы создавались для обеспечения безопасности и по существу служат лишь для одного: для сбора аналитической информации о методах проведения сетевых атак. Другой вопрос – как эту информацию использовать.