Honeypot (informatique)

Un article de Wikipédia, l'encyclopédie libre
Aller à la navigation Aller à la recherche

Dans la terminologie informatique, un pot de miel est un mécanisme de sécurité informatique mis en place pour détecter, détourner ou, d'une certaine manière, contrecarrer les tentatives d'utilisation non autorisée des systèmes d'information . Généralement, un pot de miel se compose de données (par exemple, dans un site réseau) qui semblent être une partie légitime du site et contiennent des informations ou des ressources précieuses pour les attaquants. Il est en fait isolé, surveillé et capable de bloquer ou d'analyser les attaquants. Ceci est similaire aux opérations d'infiltration de la police , familièrement appelées «appâter» un suspect. [1]

Schéma d'un pot de miel d'un système d'information

Genre

Les pots de miel peuvent être classés en fonction de leur déploiement (utilisation/action) et en fonction de leur niveau d'implication. Sur la base du déploiement, les pots de miel peuvent être classés comme : [2]

  • pots de miel de production
  • pots de miel de recherche

Les pots de miel de production sont faciles à utiliser, ne capturent que des informations limitées et sont principalement utilisés par les entreprises. Les pots de miel de production sont placés à l'intérieur du réseau de production avec d'autres serveurs de production par une organisation pour améliorer leur état de sécurité global. Normalement, les pots de miel de production sont des pots de miel à faible interaction, plus faciles à déployer. Ils donnent moins d'informations sur les attaques ou les attaquants que les pots de miel de recherche. [2]

Des pots de miel de recherche sont exécutés pour recueillir des informations sur les motivations et les tactiques de la communauté black hat ciblant différents réseaux. Ces pots de miel n'ajoutent pas de valeur directe à une organisation spécifique ; au lieu de cela, ils sont utilisés pour rechercher les menaces auxquelles les organisations sont confrontées et pour apprendre comment mieux se protéger contre ces menaces. [3] Les pots de miel de recherche sont complexes à déployer et à entretenir, capturent de nombreuses informations et sont principalement utilisés par des organisations de recherche, militaires ou gouvernementales. [4]

Sur la base des critères de conception, les pots de miel peuvent être classés comme : [2]

  • pots de miel purs
  • pots de miel à haute interaction
  • pots de miel à faible interaction

Les pots de miel purs sont des systèmes de production à part entière. Les activités de l'attaquant sont surveillées à l'aide d'un bug tap qui a été installé sur le lien du pot de miel vers le réseau. Aucun autre logiciel ne doit être installé. Même si un pot de miel pur est utile, la furtivité des mécanismes de défense peut être assurée par un mécanisme plus contrôlé.

Les pots de miel à haute interaction imitent les activités des systèmes de production qui hébergent une variété de services et, par conséquent, un attaquant peut être autorisé à perdre son temps à de nombreux services. En utilisant des machines virtuelles , plusieurs pots de miel peuvent être hébergés sur une seule machine physique. Par conséquent, même si le pot de miel est compromis, il peut être restauré plus rapidement. En général, les pots de miel à interaction élevée offrent plus de sécurité en étant difficiles à détecter, mais leur maintenance est coûteuse. Si les machines virtuelles ne sont pas disponibles, un ordinateur physique doit être maintenu pour chaque pot de miel, ce qui peut être extrêmement coûteux. Exemple : Honeynet .

Les pots de miel à faible interaction ne simulent que les services fréquemment demandés par les attaquants. Puisqu'ils consomment relativement peu de ressources, plusieurs machines virtuelles peuvent facilement être hébergées sur un système physique, les systèmes virtuels ont un temps de réponse court et moins de code est requis, ce qui réduit la complexité de la sécurité du système virtuel. Exemple : Mielleux .

La canne à sucre est un type de pot de miel qui se fait passer pour un proxy ouvert. [5] Il peut souvent prendre la forme d'un serveur conçu pour ressembler à un proxy HTTP mal configuré. [6] Le proxy ouvert le plus célèbre était probablement la configuration par défaut de sendmail (avant la version 8.9.0 en 1998) qui transférait les e-mails vers et depuis n'importe quelle destination. [7]

Technologie de déception

Récemment, un nouveau segment de marché appelé technologie de tromperie a émergé en utilisant la technologie de base du pot de miel avec l'ajout d'une automatisation avancée pour l'échelle. La technologie de déception concerne le déploiement automatisé de ressources de pot de miel sur une grande entreprise commerciale ou une institution gouvernementale. [8]

Honeypots de logiciels malveillants

Les pots de miel de logiciels malveillants sont utilisés pour détecter les logiciels malveillants en exploitant les vecteurs de réplication et d'attaque connus des logiciels malveillants. Les vecteurs de réplication tels que les lecteurs flash USB peuvent facilement être vérifiés pour détecter les modifications, soit par des moyens manuels, soit en utilisant des pots de miel à usage spécial qui émulent les lecteurs.

Versions de spam

Les spammeurs abusent des ressources vulnérables telles que les relais de messagerie ouverts et les proxys ouverts . Ce sont des serveurs qui acceptent les e-mails de n'importe qui sur Internet, y compris les spammeurs, et les envoient à leur destination. Certains administrateurs système ont créé des programmes de pots de miel qui se font passer pour ces ressources abusives afin de découvrir l'activité des spammeurs.

Ces pots de miel offrent plusieurs fonctionnalités à ces administrateurs, et l'existence de ces faux systèmes abusifs rend les abus plus difficiles ou risqués. Les pots de miel peuvent être une contre-mesure puissante contre les abus de la part de ceux qui comptent sur un volume d'abus très élevé (par exemple, les spammeurs).

Ces pots de miel peuvent révéler l' adresse IP de l'agresseur et fournir une capture de spam en masse (ce qui permet aux opérateurs de déterminer les URL et les mécanismes de réponse des spammeurs). Comme décrit par M. Edwards à ITPRo Today :

En règle générale, les spammeurs testent un serveur de messagerie pour le relais ouvert en s'envoyant simplement un message électronique. Si le spammeur reçoit le message électronique, le serveur de messagerie autorise évidemment le relais ouvert. Les opérateurs de pots de miel, cependant, peuvent utiliser le test de relais pour contrecarrer les spammeurs. Le pot de miel intercepte l'e-mail de test de relais, renvoie l'e-mail de test et bloque ensuite tous les autres e-mails de ce spammeur. Les spammeurs continuent d'utiliser le pot de miel antispam pour envoyer des spams, mais le spam n'est jamais distribué. Pendant ce temps, l'opérateur du pot de miel peut notifier les FAI des spammeurs et faire annuler leurs comptes Internet. Si les opérateurs de pots de miel détectent des spammeurs qui utilisent des serveurs proxy ouverts, ils peuvent également demander à l'opérateur du serveur proxy de verrouiller le serveur pour éviter toute utilisation abusive. [9]

La source apparente peut être un autre système abusé. Les spammeurs et autres abuseurs peuvent utiliser une chaîne de ces systèmes abusés pour rendre difficile la détection du point de départ initial du trafic abusif.

Cela en soi est révélateur de la puissance des pots de miel en tant qu'outils anti-spam . Au début des pots de miel anti-spam, les spammeurs, peu soucieux de cacher leur emplacement, se sentaient en sécurité en testant les vulnérabilités et en envoyant du spam directement depuis leurs propres systèmes. Les pots de miel ont rendu l'abus plus risqué et plus difficile.

Les pourriels circulent toujours à travers des relais ouverts, mais le volume est beaucoup plus faible qu'en 2001-02. Alors que la plupart des spams proviennent des États-Unis, [10] les spammeurs sautent par des relais ouverts au-delà des frontières politiques pour masquer leur origine. Les opérateurs de pots de miel peuvent utiliser des tests de relais interceptés pour reconnaître et contrecarrer les tentatives de relais de spam via leurs pots de miel. « Contrecarrer » peut signifier « accepter le relais de spam mais refuser de le distribuer ». Les opérateurs de pots de miel peuvent découvrir d'autres détails concernant le spam et le spammeur en examinant les spams capturés.

Les pots de miel à relais ouverts incluent Jackpot, écrit en Java par Jack Cleaver ; smtpot.py , écrit en Python par Karl A. Krueger ; [11] et spamhole , écrit en C . [12] Le Bubblegum Proxypot est un pot de miel open source (ou "proxypot"). [13]

Piège à e-mail

Une adresse e-mail qui n'est pas utilisée à d'autres fins que la réception de spam peut également être considérée comme un pot de miel de spam. Comparé au terme « spamtrap », le terme « honeypot » pourrait être plus adapté aux systèmes et techniques qui sont utilisés pour détecter ou contre-attaquer les sondes. Avec un spamtrap, le spam arrive à sa destination "légitimement", exactement comme un e-mail non-spam arriverait.

Un amalgame de ces techniques est Project Honey Pot , un projet open source distribué qui utilise des pages de pot de miel installées sur des sites Web du monde entier. Ces pages de pot de miel diffusent des adresses e-mail de spamtrap étiquetées de manière unique et les spammeurs peuvent ensuite être suivis - le spam correspondant est ensuite envoyé à ces adresses e-mail de spamtrap.

Pot de miel de la base de données

Les bases de données sont souvent attaquées par des intrus utilisant l'injection SQL . Comme ces activités ne sont pas reconnues par les pare-feu de base, les entreprises utilisent souvent des pare-feu de base de données pour se protéger. Certains des pare-feux de base de données SQL disponibles fournissent/supportent des architectures de pot de miel afin que l'intrus s'exécute sur une base de données d'interruptions pendant que l'application Web reste fonctionnelle. [14]

Détection de

Tout comme les pots de miel sont des armes contre les spammeurs, les systèmes de détection de pots de miel sont des contre-armes utilisées par les spammeurs. Comme les systèmes de détection utiliseraient probablement des caractéristiques uniques de pots de miel spécifiques pour les identifier, telles que les paires propriété-valeur de la configuration de pot de miel par défaut, [15] de nombreux pots de miel en cours d'utilisation utilisent un ensemble de caractéristiques uniques plus grandes et plus intimidantes pour ceux qui cherchent à détecter et ainsi les identifier. Il s'agit d'une circonstance inhabituelle dans les logiciels ; une situation dans laquelle la "versionite" (un grand nombre de versions d'un même logiciel, toutes légèrement différentes les unes des autres) peut être bénéfique. Il y a aussi un avantage à déployer des pots de miel faciles à détecter. Fred Cohen , l'inventeur du Deception Toolkit, soutient que chaque système exécutant son pot de miel devrait avoir un port de déception que les adversaires peuvent utiliser pour détecter le pot de miel. [16] Cohen pense que cela pourrait dissuader les adversaires.

Risques

L'objectif des pots de miel est d'attirer et d'engager les attaquants pendant une période suffisamment longue pour obtenir des indicateurs de compromission (IoC) de haut niveau tels que des outils d'attaque et des tactiques, techniques et procédures (TTP). Ainsi, un pot de miel doit émuler les services essentiels dans le réseau de production et accorder à l'attaquant la liberté d'effectuer des activités contradictoires pour augmenter son attrait pour l'attaquant. Bien que le pot de miel soit un environnement contrôlé et puisse être surveillé à l'aide d'outils tels que honeywall, [17] les attaquants peuvent toujours être en mesure d'utiliser certains pots de miel comme nœuds pivots pour pénétrer les systèmes de production. [18] Ce compromis entre l'attractivité du pot de miel et le risque de pénétration a été étudié à la fois qualitativement[19] et quantitativement. [20]

Le deuxième risque des pots de miel est qu'ils peuvent attirer des utilisateurs légitimes en raison d'un manque de communication dans les réseaux d'entreprise à grande échelle. Par exemple, l'équipe de sécurité qui applique et surveille le pot de miel peut ne pas divulguer l'emplacement du pot de miel à tous les utilisateurs à temps en raison du manque de communication ou de la prévention des menaces internes. [21] [22] Un modèle de théorie des jeux [23] a été proposé pour inciter simultanément les utilisateurs contradictoires et décourager les utilisateurs légitimes pour l'accès au pot de miel en exploitant la différence d'utilité entre deux types d'utilisateurs.

Filets à miel

"Un 'honey net' est un réseau de pots de miel à haute interaction qui simule un réseau de production et configuré de manière à ce que toute activité soit surveillée, enregistrée et, dans une certaine mesure, discrètement réglementée."

-Lance Spitzner,
Projet Honeynet

Deux pots de miel ou plus sur un réseau forment un réseau de miel . En règle générale, un filet de miel est utilisé pour surveiller un réseau plus vaste et/ou plus diversifié dans lequel un pot de miel peut ne pas être suffisant. Les filets de miel et les pots de miel sont généralement mis en œuvre dans le cadre de systèmes de détection d'intrusion réseau plus vastes . Une miellerie est un ensemble centralisé de pots de miel et d'outils d'analyse. [24]

Le concept du filet à miel a commencé en 1999 lorsque Lance Spitzner, fondateur du Honeynet Project , a publié l'article "To Build a Honeypot". [25]

Historique

Les premières techniques de pot de miel sont décrites dans le livre de 1989 de Clifford Stoll , The Cuckoo's Egg .

L'un des premiers cas documentés d'utilisation d'un pot de miel pour la cybersécurité a commencé en janvier 1991. Le 7 janvier 1991, alors qu'il travaillait chez AT&T Bell Laboratories, Cheswick a observé un pirate informatique criminel, connu sous le nom de cracker , tentant d'obtenir une copie d'un fichier de mot de passe. . Cheswick a écrit que lui et ses collègues avaient construit un "chroot" Jail "(ou" roach motel ")" qui leur permettait d'observer leur agresseur sur une période de plusieurs mois. [26]

En 2017, la police néerlandaise a utilisé des techniques de pot de miel pour traquer les utilisateurs du marché darknet Hansa .

La métaphore d'un ours attiré et volant du miel est courante dans de nombreuses traditions, notamment germaniques, celtiques et slaves. Un mot slave commun pour l'ours est medved "mangeur de miel". La tradition des ours volant du miel s'est transmise à travers les histoires et le folklore, en particulier le célèbre Winnie l'Ourson . [27] [28]

Voir aussi

Références et notes

  1. ^ Cole, Éric; Northcutt, Stephen. "Honeypots : Guide du gestionnaire de sécurité sur les Honeypots" .
  2. ^ un bc Mokube , Iyatiti; Adams, Michele (mars 2007). « Les pots de miel : concepts, approches et défis » . Actes de la 45e Conférence régionale annuelle du Sud-Est : 321–326. doi : 10.1145/1233341.1233399 . S2CID 15382890 . 
  3. ^ Lance Spitzner (2002). Les pots de miel traquent les pirates . Addison-Wesley . p. 68–70. ISBN 0-321-10895-7.
  4. ^ Katakoğlu, Onur (2017-04-03). "Paysage des attaques dans le côté obscur du Web" (PDF) . acm.org . Récupéré le 09/08/2017 .
  5. ^ Talukder, Asoke K.; Chaitanya, Manish (17 décembre 2008). Conception de systèmes logiciels sécurisés Page 25 – CRC Press, Taylor & Francis Group . ISBN 9781420087857.
  6. ^ "Exposer le métro : les aventures d'un serveur proxy ouvert" . 21 mars 2011.
  7. ^ "Capturer les attaques Web avec des pots de miel de proxy ouverts" . 3 juillet 2007.
  8. ^ "La technologie liée à la tromperie - ce n'est pas seulement un" bon à avoir ", c'est une nouvelle stratégie de défense - Lawrence Pingree" . 28 septembre 2016.
  9. ^ Edwards, M. "Les pots de miel antispam donnent des maux de tête aux spammeurs" . Professionnel de l'informatique Windows. Archivé de l'original le 1er juillet 2017 . Récupéré le 11 mars 2015 .
  10. ^ "Sophos révèle les derniers pays relais de spam" . Aide Net Security . Aide Net Security. 24 juillet 2006 . Récupéré le 14 juin 2013 .
  11. ^ "Logiciel Honeypot, produits Honeypot, logiciel de tromperie" . Détection des intrusions, pots de miel et ressources de gestion des incidents . Honeypots.net. 2013. Archivé de l'original le 8 octobre 2003 . Récupéré le 14 juin 2013 .
  12. ^ Dustintrammell (27 février 2013). "spamhole - La fausse version bêta du relais SMTP ouvert" . SourceForge . Dice Holdings, Inc . Récupéré le 14 juin 2013 .
  13. ^ Ec-Conseil (5 juillet 2009). Hacker éthique certifié : sécurisation de l'infrastructure réseau dans le cadre d'un piratage éthique certifié . Cengage Apprentissage. p. 3–. ISBN 978-1-4354-8365-1. Récupéré le 14 juin 2013 .
  14. ^ "Sécurisez votre base de données en utilisant l'architecture Honeypot" . dbcoretech.com. 13 août 2010. Archivé de l'original le 8 mars 2012.
  15. ^ Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019). "Examen et analyse des artefacts cauris et leur potentiel à être utilisés de manière trompeuse". Actes de la conférence internationale 2019 sur la science computationnelle et l'intelligence computationnelle . IEEE. pp. 166–171. doi : 10.1109/CSCI49370.2019.00035 .
  16. ^ "Boîte à outils de tromperie" . Tout.net . Tout.net. 2013 . Récupéré le 14 juin 2013 .
  17. ^ "CDROM Honeywall - Le projet Honeynet" . Récupéré le 07/08/2020 .
  18. ^ Spitzner, Lance (2002). Les pirates de suivi des pots de miel . Addison-Wesley Professionnel. OCLC 1153022947 . 
  19. Pouget, Fabien ; Dacier, Marc; Debar, Hervé (2003-09-14). Livre blanc : honeypot, honeynet, honeytoken : enjeux terminologiques . EURECOM. OCLC 902971559 . 
  20. ^ Huang, Linan; Zhu, Quanyan (2019), "Adaptive Honeypot Engagement Through Reinforcement Learning of Semi-Markov Decision Processes", Notes de cours en informatique , Cham: Springer International Publishing, pp. 196–216, arXiv : 1906.12182 , doi : 10.1007/978- 3-030-32430-8_13 , ISBN 978-3-030-32429-2, S2CID  195750533
  21. ^ Qassrawi, Mahmoud T.; Hongli Zhang (mai 2010). « Pots de miel clients : approches et défis » . 4e Conférence internationale sur les nouvelles tendances des sciences de l'information et des services : 19–25.
  22. ^ "Réseaux illusoires : pourquoi les Honeypots sont bloqués dans le passé | NEA | New Enterprise Associates" . www.nea.com . Récupéré le 07/08/2020 .
  23. ^ L. Huang et Q. Zhu, "Jeux de duplicité pour la conception de tromperie avec une application à l'atténuation des menaces internes", dans IEEE Transactions on Information Forensics and Security, doi: 10.1109 / TIFS.2021.3118886.
  24. ^ "Soutien à la clientèle du routeur Cisco" . Clarkconnect.com. Archivé de l'original le 16/01/2017 . Récupéré le 31/07/2015 .
  25. ^ "Connais ton ennemi: GenII Honey Nets Plus facile à déployer, plus difficile à détecter, plus sûr à entretenir" . Projet Honeynet . Projet Honeynet. 12 mai 2005. Archivé de l'original le 25 janvier 2009 . Récupéré le 14 juin 2013 .
  26. ^ "Une soirée avec BerferdDans laquelle un cracker est attiré, enduré et étudié" (PDF) . cheswick.com . Récupéré le 3 février 2021 .
  27. ^ "Le mot pour" ours "" . Pitt.edu . Récupéré le 12 septembre 2014 .
  28. ^ Shepard, EH, Milne, AA (1994). Les contes complets de Winnie-the-Pooh. Royaume-Uni : Dutton Children's Books.

Lectures complémentaires

Liens externes