Przejdź do menu Przejdź do treści

Honeypot

(honey pot) – informatyczne narzędzie mające na celu zapewnienie bezpieczeństwa. Jego zadaniem jest identyfikowanie, katalogowanie, a nawet likwidowanie zagrożeń. Na ogół jest to program lub strona internetowa wyglądająca na prawdziwą, a w rzeczywistości będąca odseparowaną częścią stanowiącą swego rodazju przynętę.

Jako honeypot w zależności od celu można wykorzystać:

  • dedykowany serwer;
  • symulowany system lub urządzenie jako toolkits (zestaw różnych narzędzi systemowych) lub KFSsensor (oprogramowanie, np. dla środowiska Windows, zaprojektowane do przyciągania i wykrywania hakerów i robaków poprzez symulowanie podatnych usług systemowych i trojanów);
  • usługa na wybranym hoście, takim jak Tiny Honeypot, który „nasłuchuje” portów używanych nielegalnie;
  • serwer wirtualny, taki jak oryginalny honeynet i większość innych honeypotów;
  • pojedynczy plik ze specjalnymi atrybutami, czasami nazywany honeytokenem.

Honeypots możemy podzielić ze względu na sposób działania na:

  • aktywne (production honeypot),
  • uczące się (research honeypots).

Pierwszy rodzaj jest umieszczany wewnątrz sieci i jego zadaniem jest wyłapywanie oraz unieszkodliwianie zagrożeń. Drugi ma na celu tworzenie środowiska, które jest potencjalnie interesujące dla hakerów i intruzów. Przy użyciu research honeypots zbierane są informacje o sposobie działania i metodach stosowanych przez te grupy. Zgromadzone informacje wykorzystywane są potem do konstruowania nowych narzędzi. Research honeypots są szczególnie atrakcyjne dla służb wywiadowczych czy armii. Na ich potrzeby tworzone są specjalne konta w mediach społecznościowych lub strony internetowe zawierające określone treści, np. odnoszące się do radykalnych ideologii politycznych lub pornografię dziecięcą. Następnie obserwuje się, kto z nich korzysta i w jaki sposób. Umożliwia to zdobywanie wiedzy, którą można dalej wykorzystać do przeciwdziałania niepożądanej działalności.

Takie narzędzie było używane przez Centralną Agencję Wywiadu USA (CIA) i jej odpowiednik z Arabii Saudyjskiej, które konstruowały nieprawdziwe konta w mediach społecznościowych (zwłaszcza na Twitterze) i śledziły udostępnianie pochodzących z nich treści. Wreszcie utworzono specjalne forum internetowe, na którym można było publikować informacje, w tym zdjęcia. Pozwalało to na śledzenie dżihadystów (głównie z Arabii Saudyjskiej). Mimo że akcja przynosiła wymierne efekty, została zarzucona na prośbę armii USA. Generał R. Odierno, ówczesny głównodowodzący wojsk USA w Iraku, zażądał zamknięcia strony. Uważał, że jest ona zagrożeniem dla jego żołnierzy, gdyż pomaga w rekrutacji dżihadystów, a ponadto za jej pomocą publikowane są dane operacyjne wykorzystywane przeciwko wojskom USA. Sprzeciwiał się mu gen. K.B. Alexander, kierujący Narodową Agencją Bezpieczeństwa USA, który uważał, że obniży to zdolności wywiadowcze Amerykanów. Ostatecznie bez zgody Arabii Saudyjskiej strona została zlikwidowana przez Joint Functional Component Command for Network Warfare w ramach akcji „Countering Adversary Use of the Internet”. Co ciekawe, operacja zakłóciła pracę niemal 300 serwerów zlokalizowanych na terenie od USA po Bliski Wschód. Mimo że utracone treści dość szybko odzyskano, utrudniło to dalszą działalność wywiadowczą. Dżihadyści zaczęli tworzyć własne, lepiej zabezpieczone narzędzia.

Innym ciekawym wykorzystaniem honeypots jest przeciwdziałanie spamowi. Przykładem może być Project Honey Pot firmy Unspam Technologies. Program instaluje spreparowane adresy e-mailowe, które są sczytywane przez programy spamujące, oraz rejestruje czas i adres IP osoby odwiedzającej witrynę. Jeśli jeden z tych adresów zaczyna odbierać wiadomości e-mail, zostaje on zdefiniowany jako spamer. Firma prowadzi też statystyki. Według zebranych danych (stan na 15 marca 2019 r.) 3,42% użytkowników honeypotówto intruzi. Najwięcej adresów e-mail gromadzą mieszkańcy Chin (27,9%), na drugim miejscu – Stanów Zjednoczonych (23,1%), na trzecim – Hiszpania (już tylko 4%). Najwięcej spamu wysyłają Chiny (9,8%), Brazylia (8,5%) i Stany Zjednoczone (6,9%). W atakach słownikowych (czyli próbach złamania hasła) przodują Indie (10,6%), Chiny (9,2%) oraz Brazylia (8,0%). Tak zwany comment spamming (umieszczanie spamu na forach dyskusyjnych): Chiny (30,0%), Stany Zjednoczone (16,1%), Rosja (10,3%).

Przemysław Mazur

S. Bodmer, M. Kilger, G. Carpenter, Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Education, New York 2012; P. Mazur, O. Wasiuta, S. Wasiuta, Państwo Islamskie ISIS. Nowa twarz ekstremizmu, Wydawnictwo Difin, Warszawa 2018; E. Nakashima, Dismantling of Saudi-CIA Web Site Illustrates Need for Clearer Cyberwar Policies, „Washington Post” 19.03.2010; ProjectHoneyPot.org (dostęp 15.03.2019), L. Spitzner, Honeypots Tracking Hackers, Addison-Wesley, Boston 2002.