Le intrusioni nei nostri sistemi informatici sono spesso basate sull'inganno (dal phishing ai malware nascosti da "innocui" allegati). Allora perché non usare le stesse armi dei malintenzionati ingannandoli e inducendoli in errore? Il termine informatico per definire le contromisure volte ad ingannare il criminale e fargli perdere tempo mentre le nostre difese reagiscono è honeypot, barattolo di miele. Così come non c'è nessun principe nigeriano disposto a corrisponderci una corposa eredità e non saremo mai il milionesimo visitatore vincitore di un Iphone, gli honeypot sono occasioni troppo belle per essere vere. Pensate a un computer della rete sprovvisto di protezione, o un sito che sembra contenere informazioni preziose ma che in realtà è ben isolato e non ha contenuti di valore. Lo specchietto per le allodole è servito. Gli honeypot si definiscono in base alla modalità con cui l'hacker vi interagisce e possono essere di produzione o di ricerca. Tipicamente nella difesa aziendale si utilizzano honeypot di produzione, situati strategicamente sugli ipotetici percorsi degli attacchi. Mescolati ai server di produzione sono dei fantocci perfetti per guadagnare tempo mentre i sistemi di difesa attiva riconoscono e cominciano a respingere l'intrusione. Gli honeypot di ricerca invece sono più raffinati perché cercano di comprendere la strategia dell'attaccante, le minacce a cui si è esposti e quindi rinforzare il perimetro aziendale. Per la loro complessità sono utilizzati soprattutto in ambito militare e pubblico. La qualità dell'honeypot che il nostro sistema di difesa andrà a montare dipende dal grado di interazione che vogliamo ottenere con gli hacker: gli honeypot ad alta interazione sono veri e propri computer che eseguono applicativi o servizi, facendo credere agli intrusi di interagire con vere informazioni dell'azienda. In questo modo li si intrappola in una realtà virtuale costringendoli ad una ricerca che alla fine si rivelerà inutile e infruttuosa. Gli honeypot a bassa interazione invece emulano sistemi operativi o servizi, ma permettono ai difensori di raccogliere una quantità inferiore di informazioni sugli attacchi. Gli honeypot puri, infine, sono macchine fisiche destinate allo scopo di distrarre l'attaccante. Fantascienza? Non proprio. Si stanno creando vere e proprie "situazioni di guerra" che richiedono lo studio di strategie adatte per non rischiare perdite di dati che comprometterebbero per sempre il nostro business.
Gli honeypot per le aziende
Un utilizzo interessante dell'honeypot è la sua installazione all'interno del firewall aziendale per farlo funzionare "al contrario": invece di filtrare il traffico in ingresso, controllerà quello in uscita. In questo modo verificherà ad esempio un collegamento a un server C&C (command e control) usato per attivare un malware già presente nella nostra rete. Questo attiverebbe il cosiddetto indicatore di compromissione (in inglese IOC, indicator of compromise), per profilare l'attaccante per bloccarne le azioni. Ovviamente, come avviene per le sandbox (letteralmente "cassette di sabbia"), anche gli honeypot devono emulare quanto più perfettamente possibile un reale ambiente di produzione. L'esempio più classico è quello di una cartella civetta contenente file con le estensioni più appetibili per i ransomware messa sotto controllo con una sonda specifica. Questa rileverà qualsiasi eventuale cambiamento o interazione con i file contenuti. Dato che i file sono finti e sicuramente non utilizzati dagli utenti dell'azienda, qualsiasi interazione verrà mappata e segnalata come attacco malevolo. Questo basterà ad attivare le difese necessarie. In caso di reti complesse si crea l'honeynet, una rete di honeypot che simulano una rete reale e intrappolano gli attaccanti in un vero e proprio mondo simulato. Attenzione però! Questo rischia di infondere un senso eccessivo di sicurezza. È bene ricordare che gli honeypot possono vedere solo gli attacchi in cui sono coinvolti direttamente, ma non eventuali azioni sulla rete aziendale. Può accadere, infatti, che un hacker che si accorge di essere stato ingannato attacchi l'honeypot per distrarci mentre si inserisce all'interno della rete. Peggio ancora , potrebbe utilizzare un honeypot non configurato perfettamente come trampolino per entrare e uscire dalla nostra rete. Non dobbiamo quindi mai dimenticare gli altri sistemi difensivi, firewall e antivirus sempre aggiornati. Se non ti senti al sicuro riguardo la tua rete aziendale puoi contattarci. Uniontel è in grado di effettuare un'analisi per individuare i punti deboli del tuo sistema e intervenire in modo mirato, senza farti spendere di più.
