Cosa sono gli honeypot e perché gli hacker li odiano

Per dirlo in modo molto semplice, un honeypot consiste in un sistema software o hardware caratterizzato da vulnerabilità progettate appositamente per renderlo appetibile per gli hacker. Si tratta però di un sistema isolato, cioè non collegato con la rete a cui sono associati gli altri dispositivi, e sottoposto a un controllo costante. Quando un hacker prova a sfruttare le vulnerabilità per eseguire i suoi attacchi, quindi, non potrà avere accesso a informazioni importanti, e verrà immediatamente rilevato e identificato dal sistema di controllo.

Gli honeypot possono scoprire diverse informazioni su un hacker, come ad esempio:

• Il suo indirizzo IP e la sua posizione. Se l’hacker non sta utilizzando una VPN o un’altra forma di protezione, è possibile risalire alla sua esatta posizione, per identificarlo in modo chiaro e univoco.
• La password utilizzata per l’accesso. Grazie a questa informazione, si può risalire a un furto di credenziali avvenuto in precedenza, di cui magari non si era ancora a conoscenza.
• Le tecniche utilizzate per l’accesso. In questo modo, si possono ottenere informazioni su come proteggersi ancora meglio contro determinati tipi di attacchi.

Gli honeypot possono essere classificati in vari modi. Si possono distinguere in honeypot di produzione e di ricerca, ad esempio, oppure si possono classificare in base al loro livello di interazione. Per capire come funzionano, quindi, è necessario prima di tutto capire le differenze nella loro implementazione.

Gli honeypot di ricerca sono utilizzati soprattutto da istituzioni governative e da centri di ricerca. Si tratta di sistemi molto complessi che hanno come scopo principale quello di analizzare gli attacchi subiti per poter perfezionare le tecniche di protezione esistenti.

Gli honeypot di produzione, invece, sono utilizzati generalmente dalle aziende. Sono solitamente implementati all’interno di un più ampio sistema di difesa attiva (Intrusion Detection System o IDS), vale a dire un sistema che permette di identificare in anticipo gli attacchi per attivare le contromisure adeguate.

Intrusion Detection System

Un IDS è un sistema di difesa molto sofisticato di cui gli honeypot sono soltanto una parte. Gli IDS sono infatti generalmente composti da diversi elementi:

• un’ esca, come un honeypot, che attira l’attenzione degli hacker;
• un sensore, che riceve le informazioni inviate dai computer collegati alla rete;
• una console, che monitora costantemente lo stato della rete e dei dispositivi a essa collegati;
• un motore, che analizza i dati intercettati dalla console e che, appoggiandosi a un database contenente informazioni relative agli attacchi informatici, individua le falle di sicurezza ed eventuali soluzioni.

Come già accennato, un honeypot non è altro che un’esca per gli hacker: il suo obiettivo è quello di convincere un malintenzionato ad eseguire un attacco informatico innocuo in modo da poterlo riconoscere. Per fare ciò, è necessario che l’hacker venga impegnato il più a lungo possibile dall’attacco, per dare il tempo ai sistemi di difesa di raccogliere un maggior numero di informazioni. Più un honeypot è sofisticato, quindi, più sarà difficile per un hacker riconoscere l’inganno e abbandonare l’operazione.

In quest’ottica, si riconoscono due tipi di honeypot:

• Honeypot a bassa interazione. Emula soltanto alcune parti del sistema che vuole proteggere, solitamente le più ambite. Per questo motivo, richiede un impiego di risorse ridotto rispetto agli honeypot ad alta interazione, ed è anche più semplice da gestire. Tuttavia, è più facilmente riconoscibile da parte degli hacker, quindi potrebbe non essere in grado di ottenere molte informazioni sulla loro identità. Generalmente si tratta di una buona soluzione per individuare attacchi automatici e di basso livello, come quelli eseguiti da bot e worm, ma meno efficace contro attacchi più sofisticati.
• Honeypot ad alta interazione. Imita in tutto e per tutto il sistema che vuole proteggere e può contenere alcuni dati e informazioni reali per essere più convincente. Richiede molte risorse per essere gestito e, per questo, solitamente viene implementato su macchine virtuali, che permettono di isolare meglio gli honeypot dal sistema reale. Questo tipo di honeypot è più difficile da riconoscere, quindi è molto efficace anche contro attacchi da parte di hacker più abili, ma è anche quello che presenta più rischi. Se non adeguatamente isolato, infatti, un honeypot ad alta interazione potrebbe fare da gateway per l’accesso all’effettivo sistema che si vuole proteggere.

• Honeyd: è una soluzione software che permette di creare diversi host virtuali che emulano parte del sistema e offrono un basso livello di interazione. Si tratta di un software rilasciato con licenza open source GPL e quindi molto diffuso, anche se ormai non più aggiornato.
• HoneyC: si tratta di una soluzione software a bassa interazione che permette di simulare un client e, collegandosi a un server, di riconoscere se si tratta di un server potenzialmente pericoloso.
• Monkey-Spider: è in realtà un crawler, cioè un programma che esegue ricerche automatiche sul Web, ma che può anche essere utilizzato come honeypot. Permette infatti di analizzare le pagine Web ottenute in risposta a una ricerca per individuare eventuali minacce contenute al loro interno.
• PhoneyC: permette di emulare vari browser per riconoscere contenuti dannosi delle pagine Web. È in grado di analizzare anche vari script che possono essere presenti nei siti e che spesso nascondono malware.
• Sebek: si tratta di un sofisticato sistema ad alta interazione che permette di raccogliere i dati sulle attività svolte dagli hacker e trasmetterli a un altro server per la loro analisi e la memorizzazione.
• Argos: è un sistema che permette di emulare interi sistemi hardware, ed è quindi un honeypot ad alta interazione. Una volta che Argos subisce un attacco, il traffico viene automaticamente identificato come dannoso e viene controllato.
• mapWOC: si tratta di una soluzione software open source che viene eseguita su una macchina virtuale, in cui il traffico viene costantemente monitorato grazie all’implementazione di altri software appositi.

Ricapitolando, gli honeypot possono essere molto utili per “deviare” gli attacchi di un hacker su un obiettivo innocuo, in modo da proteggere i dati più importanti. Sono particolarmente efficaci quando implementati all’interno di sistemi di difesa più ampi e complessi, che prevedono non soltanto l’uso di honeypot ma anche di altre soluzioni, come firewall e crittografia.

Non bisogna però fare l’errore di pensare che si tratti di sistemi infallibili. Gli honeypot sono infatti caratterizzati a loro volta da limiti e vulnerabilità. Ad esempio:

• Sono in grado di raccogliere informazioni sugli hacker solo in caso di attacco. Se non sono inseriti in un sistema di difesa attiva, quindi, non sono in grado di offrire prevenzione.
• Alcuni tipi di honeypot sono più riconoscibili rispetto ad altri. Gli hacker utilizzano delle tecniche particolari per riuscire a riconoscere questi honeypot meno sofisticati, rendendo vano il loro utilizzo.
• Se non configurati correttamente, potrebbero addirittura facilitare un attacco informatico. Ad esempio, se non perfettamente isolati dal resto del sistema, potrebbero essere sfruttati dagli hacker per avere accesso a tutti gli altri dispositivi collegati alla stessa rete locale.
• Le tecniche utilizzate dagli hacker sono in costante evoluzione, quindi un honeypot non aggiornato potrebbe semplicemente non essere in grado di riconoscere un attacco.

Infine, bisogna anche accennare a un uso degli honeypot ritenuto controverso, che non mira a individuare criminali informatici veri e propri ma semplici utenti che commettono qualche illecito. A volte, quando le forze dell’ordine eseguono il sequestro di siti che offrono servizi illegali, decidono poi di sfruttare questi stessi siti come honeypot, per raggiungere gli utenti che ne fanno uso. Se un utente inconsapevole dovesse visitare uno di questi siti senza mascherare il proprio indirizzo IP, quindi, potrebbe ritrovarsi coinvolto in un’indagine.