Passa al contenuto principale

Cos'è un honeypot?

Forse avete già sentito il termine "honeypot", ovvero "barattolo di miele", e vi siete chiesti cosa sia e come possa rendere più sicuro il vostro computer. In questo articolo vi diremo tutto quello che c'è da sapere sugli honeypot e sul posto che occupano nel panorama della cybersecurity.

Definizione di honeypot

Il loro nome si ricollega al mondo dello spionaggio, dove spesso una relazione romantica viene sfruttata per rubare segreti, come un "barattolo di miele" lasciato aperto a mo' di esca. Spesso, una spia nemica viene compromessa con una trappola di questo tipo e poi ricattata per ottenere tutte le informazioni che conosce.

In termini di sicurezza informatica, un honeypot virtuale funziona in modo simile, fungendo da esca per hacker. Nello specifico, si tratta di un computer sacrificale usato come trappola per attirare un attacco informatico. Si presenta come un bersaglio per gli hacker e sfrutta il loro tentativo di intrusione per ottenere informazioni sui cybercriminali e sul modo in cui operano, distraendoli inoltre da altri bersagli.

Come funzionano gli honeypot

L'honeypot sembra un normale computer, con dati e applicazioni, un classico obiettivo per i criminali informatici. Ad esempio, un "barattolo di miele" potrebbe presentarsi come un sistema di fatturazione aziendale, spesso bersaglio di attacchi da parte di criminali che cercano di scoprire i numeri delle carte di credito. Una volta fatti entrare gli hacker inizia a tracciarli, studiando il loro comportamento per ottenere indizi su come rendere più sicura la vera rete aziendale.

Gli honeypot vengono resi particolarmente appetibili costruendoci attorno vulnerabilità di sicurezza. Ad esempio, avranno porte che rispondono a una scansione, o una password debole. Le porte vulnerabili potrebbero venire lasciate aperte per attirare gli hacker nell'ambiente honeypot, invece che nella più sicura rete aziendale.

Un honeypot non viene creato per correggere un problema specifico, come un firewall o un antivirus. È piuttosto uno strumento che raccoglie informazioni utili a capire le minacce esistenti per un'azienda e a scoprire l'emergere di nuove minacce. Con le informazionì così ottenute è possibile dare le giuste priorità agli sforzi di sicurezza.

Tipi di honeypot e modalità di funzionamento

A ogni tipo di honeypot corrisponde una diversa minaccia. In base a questa, varierà dunque anche la sua definizione. Ogni "barattolo di miele" può contribuire a una precisa ed efficiente strategia di sicurezza.

Le trappole e-mail o trappole spam piantano un falso indirizzo e-mail in una posizione nascosta, dove solo un raccoglitore automatico di indirizzi (in gergo "harvester") possa trovarlo. Dato che l'indirizzo ha come unica funzione quella di fare da trappola spam, si è sicuri al 100% che qualsiasi mail riceva sia spam. Tutti i messaggi che contengono lo stesso contenuto di quelli inviati alla trappola saranno automaticamente bloccati e l'IP del mittente sarà aggiunto a una blacklist.

Un database esca può essere impostato per monitorare vulnerabilità software e individuare attacchi che si basino su architetture dei sistemi non sicure, iniezioni SQL, sfruttamento dei servizi SQL, o abuso delle autorizzazioni.

Un malware honeypot replica imitando le app software e API per attrarre attacchi malware. Le caratteristiche del malware potranno poi essere analizzate per sviluppare software antimalware o per eliminare vulnerabilità nelle API.

Uno spider honeypot è pensato per intrappolare i webcrawler (detti anche "spider", cioè ragni) creando delle pagine Web e dei link accessibili soltanto ad essi. Rilevando i crawler si può imparare come bloccare i bot dannosi e i crawler di reti pubblicitarie.

Monitorando il traffico in entrata nel sistema honeypot, è possibile stabilire:

  • da dove arrivano i cybercriminali
  • il livello della minaccia
  • quale modus operandi stanno sfruttando
  • a quali dati e applicazioni sono interessati
  • quanto sono efficaci le attuali misure di sicurezza contro i cyberattacchi

Un'altra distinzione va fatta fra honeypot ad alta o bassa interazione. Gli honeypot a bassa interazione usano meno risorse e raccolgono informazioni di base sul livello e tipo di minaccia, e sulla sua provenienza. Sono facili e rapidi da preparare, spesso con semplici simulazioni di protocolli e servizi di rete TCP e IP. Ma in questi "barattoli di miele" non c'è nulla che possa trattenere gli hacker molto a lungo e non si otterranno informazioni approfondite sulle loro abitudini o su minacce complesse.

Al contrario, gli honeypot ad alta interazione mirano a far trascorrere agli hacker più tempo possibile al loro interno, fornendo molte informazioni sulle loro intenzioni e sui loro obiettivi, oltre alle vulnerabilità che sfruttano e al loro modus operandi. Immaginatelo come un honeypot particolarmente "appiccicoso": database, sistemi e processi che possono trattenere un aggressore molto più a lungo. Questo permette ai ricercatori di stabilire dove gli hacker sono andati all'interno del sistema per trovare le informazioni sensibili, quali strumenti hanno usato per aumentare i privilegi o quali exploit hanno sfruttato per compromettere il sistema.

perché gli honeypot vengono sfruttati per la cybersecurity

Gli honeypot ad alta interazione, però, sono affamati di risorse. Crearli e monitorarli è più difficile e richiede più tempo. Possono anche rappresentare un rischio: se non sono protetti da un "muro", un hacker particolarmente determinato e astuto potrebbe sfruttare l'alta interazione dell'honeypot per attaccare altri host di Internet o per inviare spam da una macchina compromessa.

Entrambi i tipi di honeypot si situano all'interno della honeypot cybersecurity. Sfruttando un mix di entrambi, è possibile approfondire le informazioni di base sui tipi di minaccia ottenute grazie agli honeypot a bassa interazione, aggiungendo informazioni sulle intenzioni, comunicazioni ed exploit provenienti dagli honeypot ad alta interazione.

Usando gli honeypot virtuali per creare un quadro di threat intelligence, un'azienda può concentrare la sua sicurezza informatica su ciò che davvero conta e rinforzare i suoi punti deboli nel sistema di sicurezza.

I vantaggi degli honeypot

Gli honeypot sono molto utili per smascherare le vulnerabilità nei grandi sistemi. Ad esempio, si potrebbero usare per mostrare l'alto livello di minaccia posto da attacchi a dispositivi IdC. Ma possono anche suggerire modi per migliorare la sicurezza.

Usare un honeypot presenta molti vantaggi quando si cerca di individuare intrusioni in un sistema. Ad esempio, per definizione, un honeypot non dovrebbe ricevere alcun reale traffico in entrata, quindi qualsiasi attività registrata dev'essere un tentativo di esplorazione o intrusione.

In questo modo è molto più facile individuare schemi ripetuti, come indirizzi IP simili (o indirizzi IP tutti provenienti dallo stesso paese), sfruttati per mettere a segno un network sweep. Campanelli d'allarme di questo tipo, che preannunciano un attacco, sono facili da perdere fra il guazzabuglio di dati nell'alto traffico reale di una rete. Il grande vantaggio della honeypot security è che tutti questi indirizzi sono gli unici presenti e l'attacco diventa quindi facilmente identificabile.

Inoltre, gestendo volumi di traffico limitati, gli honeypot non richiedono molte risorse. A livello di hardware, serve ben poco: è possibile creare un honeypot con un vecchio computer che non si usa più. Per quanto riguarda il software, in alcuni archivi online si trovano honeypot già scritti, riducendo ancora di più lo sforzo richiesto per mettere in piedi un "barattolo di miele".

Gli honeypot hanno un basso tasso di falsi positivi. Questo è in netto contrasto con i tradizionali sistemi di rilevamento delle intrusioni (IDS), che presentano invece un alto livello di falsi allarmi. Ancora una volta, questo aiuta ad assegnare le giuste priorità e mantiene la richiesta di risorse dall'honeypot a un basso livello. Aggiungiamo che sfruttando i dati raccolti dagli honeypot e correlandoli con altri registri di sistema e del firewall, gli IDS possono venire configurati con allerte più rilevanti, per produrre un minor numero di falsi positivi. In questo modo, gli honeypot possono aiutare a rifinire e migliorare gli altri sistemi di sicurezza informatica.

pro e contro degli honeypot

Gli honeypot possono fornire utili informazioni sull'evoluzione delle minacce. Accumulano dai sui vettori d'attacco, sugli exploit e sui malware e, nel caso delle trappole via mail, su attacchi spam e phishing. Gli hacker perfezionano le loro tecniche di intrusione in continuazione, un honeypot virtuale aiuta a individuare le minacce emergenti. Questo è anche un ottimo metodo per eliminare i punti ciechi.

Gli honeypot possono essere un ottimo strumento di formazione per lo staff tecnico di sicurezza. Un ̀"barattolo di miele" è un ambiente sicuro e controllato dove mostrare come lavorano gli hacker ed esaminare i diversi tipi di minaccia. Con uno strumento simile, lo staff di sicurezza non sarà distratto dal traffico reale della rete; potrà concentrarsi al 100% sulle minacce.

Gli honeypot sono anche in grado di catturare minacce interne. La maggior parte delle organizzazioni rivolge tutte le proprie risorse alla difesa del perimetro, per assicurarsi che nessun intruso possa penetrarlo. Ma se si difende solo il perimetro, un hacker che dovesse riuscire a superare il firewall avrebbe carta bianca una volta all'interno.

I firewall a loro volta non aiutano contro una minaccia interna, come ad esempio un dipendente che voglia sottrarre dei file prima di licenziarsi. Un honeypot può fornire informazioni altrettanto buone sulle minacce interne e mostrare vulnerabilità in aree come le autorizzazioni, che possono permettere a un intruso lo sfruttamento del sistema.

Infine, la creazione di un honeypot è in realtà un gesto altruista, che aiuta gli altri utenti. Più tempo gli hacker passano a sprecare i loro sforzi nel vostro "barattolo", meno tempo avranno per infiltrarsi nei sistemi reali, causando danni a voi o agli altri.

I pericoli degli honeypot

Sebbene la cybersecurity dell'honeypot aiuterà a delineare l'ambiente della minaccia, l'unico attacco che potrà vedere è quello rivolto contro se stessa. Solo perché una minaccia non è stata rivolta contro l'honeypot, questo non significa che non esista. È comunque importante restare al passo con le novità nel campo della sicurezza informatica e del cybercrimine.

Un honeypot ben configurato trarrà gli hacker in inganno, facendo loro credere di aver ottenuto accesso a un sistema reale. Avrà gli stessi messaggi d'avviso all'accesso, gli stessi campi dei dati, perfino lo stesso aspetto e gli stessi loghi dei vostri sistemi. Tuttavia, se un hacker si accorge dell'inganno, potrà allora procedere ad attaccare gli altri vostri sistemi, lasciando perdere la trappola.

Una volta "toccato" l'honeypot, un aggressore potrà creare finti attacchi per distrarre l'attenzione da un vero exploit rivolto ai vostri sistemi di produzione. Inoltre, i criminali potrebbero inviare informazioni false all'honeypot.

Peggio ancora, un aggressore intelligente potrebbe sfruttare l'honeypot come modo per introdursi nel vostro sistema. Ecco perché queste esche non potranno mai sostituire adeguati controlli di sicurezza come firewall e altri sistemi di rilevamento. Potendo un honeypot servire da piattaforma di lancio per ulteriori intrusioni, bisogna far sì che tutti questi "barattoli" siano ben chiusi. Un "honeywall" può fornire una sicurezza di base all'honeypot e fermare attacchi che partendo dal barattolo possano raggiungere i vostri sistemi online.

Un honeypot dovrebbe darvi informazioni sulle priorità da assegnare ai vostri sforzi di sicurezza informatica, ma non può sostituire un'adeguata cybersecurity. Considerate quindi anche un pacchetto come Kaspersky Endpoint Security Cloud per proteggere le vostre attività commerciali. (Kaspersky sfrutta i propri honeypot per rilevare minacce su Internet, facendo il lavoro al posto vostro.)

In generale, i vantaggi dell'utilizzo di un honeypot superano di gran lunga i rischi. Gli hacker ci sembrano spesso una minaccia lontana e invisibile, ma usando un honeypot possiamo renderci esattamente conto di quello che stanno facendo, in tempo reale, e sfruttare quelle informazioni per impedir loro di raggiungere l'obiettivo.

Articoli correlati

IdC sotto attacco:Kaspersky rileva più di 100 milioni di attacchi su dispositivi smart nella prima metà del 2019

Come i malware penetrano nei computer e nei sistemi informatici

Cos'è il browser hijacking?

Cos'è un honeypot?

Cos'è un honeypot? Scopriamo cosa sono i cyber honeypot, come possono “intrappolare” i cyberattacchi e cosa si può fare per rendere più sicuro il computer.
Kaspersky logo