II
raccolta di dati agli attacchi e` stata realizzata una Honeypot a bassa interazione con
l’utilizzo di Honeyd.
• Analisi dei log raccolti. Utilizzando tecniche e metodologie della Network Forensic
sono stati analizzati i log raccolti grazie allaa Honeypot implementata. Dalle analisi
effettuate dei log raccolti sono emersi dati relativi alle connessioni ricevute dalla
Honeypot che mostrano i vantaggi connessi all’implementazione di una Honeypot
sia di ricerca che di produzione.
Il valore di ricerca delle Honeypot e` molto elevato, in quanto permette di studiare ed
analizzare, come si e` mostrato in questo caso di studio, gli attacchi automatizzati, le
vulnerabilita` piu` colpite nella rete ed il comportamento degli intrusi in rete. Si dimostra
che il valore di produzione delle Honeypot e` strettamente correlato al concetto di “difesa
attiva”, volto a proteggere il patrimonio informativo aziendale.
La tesi e` organizzata come segue:
• nel Capitolo 1 vengono definiti i concetti generali di Honeypot e Honeynet e si
analizzano i vantaggi e gli svantaggi correlati. In merito alle Honeynet, si esaminano
i principi di funzionamento, le specifiche e i rischi;
• nel Capitolo 2 si classificano le Honeypot in base al loro livello di interazione, si
introduce il concetto di generazioni di Honeynet e si analizzano le architetture ed
i principi i funzionamento delle stesse, evidenziando le loro peculiarita` in base ai
requisiti fondamentali di una Honeynet introdotti nel Capitolo 1. Si descrive, infine,
l’innovativo concetto di Honeytoken;
• nel Capitolo 3 si descrivono e si approfondiscono, mediante esempi e test sul campo,
sei tipologie specifiche Honeypot, ognuna delle quali presenta un differente livello di
interazione;
• nel Capitolo 4 si analizzano i requisiti che i log devono garantire per essere utilizzati
nell’ambito di analisi di Network Forensic;
• nel Capitolo 5 viene mostrata l’implementazione di una Honeypot a bassa interazione
con l’utilizzo di Honeyd e si effettua l’analisi dei log raccolti.
• Il Capitolo 6 e` il capitolo conclusivo nel quale si espongono anche i possibili sviluppi
futuri di questa tesi.
Capitolo 1
Introduzione
1.1 Premessa
In questo capitolo verranno introdotti i concetti di Honeypot e Honeynet e descritte le
architetture di base.
Relativamente alle Honeypot, si descrivera` la loro storia, verra` fornita una definizione
dettagliata e si analizzeranno i vantaggi e gli svantaggi correlati. In merito alle Honeynet,
verranno descritte e verranno analizzati i principi di funzionamento, le specifiche e i rischi
ad esse correlate. Molti degli aspetti trattati qui verranno ripresi nei successivi capitoli ed
utilizzati per una comprensione piu` approfondita dei concetti di Honeynet e Honeypot e
del loro utilizzo nella network forensic.
1.2 Honeypot
1.2.1 Storia
In questo paragrafo verra` proposto un breve viaggio nella storia delle Honeypot per meglio
comprendere la loro nascita e la loro attuale funzione.
Gli eventi chiave della storia delle Honeypot possono essere cos`ı riassunti:
• Nel 1990 venne pubblicato il primo documento che tratta dei concetti base delle
Honeypot redatto da Cliff Stoll[Stol90]. Nel suo libro, “The Cuckoo’s Egg”, Stoll
discute una serie di eventi reali accaduti tra il 1986 e il 1987, quando riscontro`
un’intrusione nel suo sistema e decise di lasciare l’intruso all’interno del suo sistema,
osservando il suo comportamento.
• Nel 1991 venne pubblicata la relazione di Bill Cheswick [Ches91]. In “An evening
with Berfed in Which a Cracked is Lured, Endured, and Studied” si analizza la crea-
zione di un sistema con delle vulnerabilita` note, chiamato “Jail”(il termine Honeypot
non e` utilizzato), per lo studio dell’attivita` minacciosa presente sulla rete; si tratta
della prima vera Honeypot realizzata.
• Nel 1997 Fred Cohen rilascia la versione 0.1 di Deception Toolkit
(http://www.all.net/dtk/dtk.html), la prima soluzione di Honeypot disponibile che
permette di emulare un sistema Unix corredato di vulnerabilita`.
• Nel 1998 viene rilasciata la versione di CyberCop Sting (http://www.netsecure-
eg.com/cybercopsting.htm), una delle prime Honeypot commerciali. Questo soft-
1
2 Capitolo 1. Introduzione
ware introduce il concetto di sistemi molteplici e virtuali presenti su una singola
Honeypot e permette di emulare un’intera rete.
• Nel 1998 Marty Roesch1 e l’GTE Internetworking (http://www.verizon.com/)
iniziano lo sviluppo di una nuova soluzione Honeypot, NetFacade
(http://www22.verizon.com/fns/netsec/fns netsecurity netfacade.html) che per-
metteva di emulare contemporaneamente fino a sette differenti tipologie di sistemi
operativi con una grande varieta` di servizi.
• Sempre nel 1998 viene rilasciato BackOfficer Friendly
(http://www.nfr.com/resource/backOfficer.php), una Honeypot sviluppata per
piattaforme Windows (questo strumento verra` analizzato nel Capitolo 3).
• Il 2000 vede la nascita dell’Honeynet Project (http://www.honeynet.org), organiz-
zazione di ricerca senza scopo di lucro dei professionisti della sicurezza informatica,
il cui principale obiettivo e` quello di conoscere gli strumenti, le tattiche ed i motivi
della blackhat community.
• Tra il 2000 e il 2002 si assiste all’utilizzo di Honeypot per catturare e studiare
l’attivita` dei worm.
• Nel novembre 2003 si assiste alla nascita di IRItaly Honeynet Pro-
ject (http://www.honeynet.it), membro della Honeynet Research Alliance
(http://www.honeynet.org/alliance/), presso il Polo Didattico e di Ricerca di
Crema.
1.2.2 Definizione
Il concetto alla base di una Honeypot e` la possibilita` di avere un sistema designato per
essere compromesso da un intruso. In questa trattazione verra` utilizzata come definizione
di Honeypot la stessa data da Spitzner, ossia “una Honeypot e` una risorsa il cui valore
consiste nell’essere attaccata e compromessa”2.
Dalla definizione appena fornita di Honeypot si deduce che in qualsiasi modo ven-
ga implementata una Honeypot, le aspettative e i risultati devono essere comuni. Le
caratteristiche principali che contraddistinguono una Honeypot sono:
• le aspettative, ossia avere un sistema, costantemente controllato, che possa venire
scoperto, attaccato e potenzialmente compromesso;
• il risultato, ossia la possibilita` di monitorare le attivita` di un intruso, di apprendere
la tipologia di comportamento e di comprenderne le motivazioni.
Le Honeypot, una volta compromesse, possono essere utilizzate dall’intruso per una grande
varieta` di scopi, tra i quali si possono annoverare l’utilizzo del sistema come testa di ponte
per altri attacchi, l’uso come server per file sharing ed anche la ricerca di informazioni
sensibili. Ad esempio in Figura 1.1 si mostra l’utilizzo di un sistema Windows 2000 Server
per lo sharing di file, in particolare di film, da parte di un intruso tedesco. Una Honeypot
puo` essere costituita da un sistema che emula un altro sistema (le varie tipologie di sistemi
Honeypot verranno analizzate nel capitolo 3) oppure puo` essere un sistema standard:
1creatore di Snort (http://www.snort.org)
2“A Honeypot is an information system resource whose value lies in unauthorized or illicit use of that
resource” [SpiH03]
Capitolo 1. Introduzione 3
Figura 1.1: Esempio di Windows 2000 Server compromesso
l’importanza intrinseca di una Honeypot risiede nel fatto di essere compromessa.Ogni
qual volta che si osserva una connessione ad una Honeypot significa che e` in atto una
scansione, una prova oppure un attacco: questo e` il valore e il vantaggio principale di una
Honeypot.
Le Honeypot possono essere suddivise in due macro categorie, questa definizione si
deve a Marty Roesch3. Queste sono:
• produzione: le Honeypot di produzione hanno come scopo quello di fornire un
aiuto alla riduzione dei rischi informatici in un’azienda: l’Honeypot, in questo caso,
aggiunge valore alla sicurezza aziendale.
• ricerca: le Honeypot di ricerca hanno come obiettivo la raccolta di informazioni sulla
comunita` blackhat ; esse non aggiungono valore direttamente all’organizzazione nella
quale vengono create, ma sono usate per scoprire nuovi pericoli e per comprendere
al meglio le modalita` di protezione da essi.
1.2.3 Vantaggi e Svantaggi
Le Honeypot, come qualsiasi sistema, presentano vantaggi e svantaggi. In questo paragrafo
verra` fornita una loro descrizione sintetica.
I vantaggi delle Honeypot possono essere cos`ı schematizzati:
3creatore di Snort (http://www.snort.org)
4 Capitolo 1. Introduzione
• raccolta dati : i dati generalmente raccolti da una Honeypot sono di grande valore,
in quanto essi mostrano le azioni di un intruso effettuate per introdursi in un siste-
ma, dopo la sua compromissione e non l’intera attivita` di una rete. Le Honeypot
forniscono informazioni precise in un formato facile da comprendere. Cio` fa s`ı che le
analisi siano piu` semplici e che il tempo di risposta sia breve.
• risorse: esse sono tutte dedicate alla registrazione degli eventi di una intrusione in
atto, cio` fa s`ı che la possibilita` di perdita di pacchetti o di malfunzionamento sia
molto ridotta. Le Honeypot registrano solamente le attivita` ad esse dirette, cos`ı che
il sistema non sia oberato dal traffico. Un’altro beneficio legato alle risorse limitate
richieste da una Honeypot e` direttamente legato alle spese per l’hardware.
• semplicita`: e` uno dei vantaggi piu` importanti di una Honeypot; non e` necessario svi-
luppare algoritmi specifici, ne´ mantenere complessi data base, e` sufficiente prendere
una Honeypot, inserirla nella struttura aziendale e stare in attesa.
• ROI. Il ritorno dell’investimento di una Honeypot puo` essere dimostrato facilmen-
te: quando una Honeypot viene attaccata, il traffico generato dall’intruso viene
efficacemente catturato.
Gli svantaggi possono essere cos`ı schematizzati:
• singolo punto di controllo. Uno dei principali svantaggi delle Honeypot e` legato al
fatto che esse possono tenere sotto controllo solamente il traffico rivolto verso di loro.
Se ad esempio un intruso si introducesse nella rete di un’organizzazione attaccando
gli altri sistemi, esclusa la Honeypot, essa perderebbe il suo valore di controllo e non
registrerebbe nessun dato utile.
• rischio: le Honeypot apportano un rischio all’interno della rete nella quale sono inse-
rite; il rischio da loro introdotto e` funzione del livello di interazione della Honeypot
stessa (i livelli di interazione delle Honeypot verranno analizzati nel capitolo 2).
Le Honeypot non possono sostituire nessuno strumento di sicurezza, esse possono
solamente aggiungere valore lavorando con gli esistenti meccanismi di sicurezza.
1.2.4 Principi di Funzionamento
In questo paragrafo si descriveranno brevemente i concetti di funzionamento di una Ho-
neypot, per esempi piu` specifici si rimanda al Capitolo 3.
Le Honeypot sono risorse che non hanno valore produttivo, nessuna persona e nessu-
na risorsa dovrebbe comunicare con loro e, come gia` accennato in precedenza, qualsiasi
attivita` rilevata da una Honeypot e` sospetta.Per meglio comprendere la definizione ed il
concetto di Honeypot, viene riportato un esempio. Tradizionalmente le Honeypot erano
costituite da un sistema singolo connesso ad un’esistente rete in produzione utilizzato per
adescare gli intrusi. La figura 1.2 mostra un singolo sistema posto in una rete interna, esso
puo` essere in grado di emulare differenti sistemi e vulnerabilita`. La Honeypot in figura
potrebbe essere creata principalmente in due differenti modi:
• software in grado di emulare differenti servizi o sistemi operativi (nel capitolo 3 verra`
effettuata un’analisi dei principali software a disposizione);
• un sistema operativo reale, con servizi reali e arricchito di funzionalita` atte a moni-
torare gli eventi .
Capitolo 1. Introduzione 5
Figura 1.2: Esempio di Honeypot
1.2.5 Valore delle Honeypot
In questo paragrafo si analizzera` brevemente il valore delle Honeypot all’interno di un’or-
ganizzazione. In questa trattazione verranno separate le Honeypot di produzione e quelle
di ricerca.
Produzione
Una Honeypot di produzione e` utilizzata all’interno di una rete aziendale per ridurre i
rischi derivanti da possibili attacchi. Si analizzera` ora l’apporto delle Honeypot nelle tre
aree della sicurezza, ossia prevenzione, rilevamento e reazione.
• Prevenzione.
In linea generale una Honeypot non e` uno strumento che apporta molto valore in
campo preventivo. Una Honeypot e` un sistema che ha come scopo principale quello
di essere compromesso e non quello di prevenire gli attacchi dei malicious attacker,
una buona prevenzione puo` essere iniziata monitorando le risorse della rete, disa-
bilitando i servizi non utilizzati, aggiornando i sistemi e utilizzando meccanismi di
strong authentication. Il valore preventivo delle Honeypot puo` essere in parte ri-
scontrato nella possibilita` di utilizzarle come deterrenti verso gli attacchi ai sistemi
di produzione: l’intruso potrebbe sprecare tempo e risorse ad attaccare una Ho-
neynet all’interno della rete aziendale lasciando illesi i sistemi di produzione. Le
Honeypot, in quest’ottica, possono contribuire alla prevenzione all’interno di una
6 Capitolo 1. Introduzione
organizzazione, ma il loro tempo di set up e di monitoring potrebbe essere meglio
speso dall’azienda rendendo piu` sicuri i propri sistemi.
• Rilevazione.
Le Honeypot sono strumenti che apportano un grande valore nel campo della ri-
levazione. Per la maggior parte delle aziende la rilevazione di un attacco e` molto
complicata, in quanto esse si trovano a dover potenzialmente analizzare parecchi
Giga byte di log dei sistemi. Anche se gli Intrusion Detection System (IDS) sono
soluzioni finalizzate alla rilevazione di attacchi, essi generano parecchi Giga byte di
log e soprattutto dei false positive,4 la ricezione di troppi alert puo` pregiudicare la
qualita` dell’analisi degli stessi. Un’altro rischio legato agli IDS e` riferito ai false
negative.5 Le Honeypot generano anch’esse false positive, ma in maniera minore
rispetto ad un IDS e trattano i false negative in maniera efficiente, basandosi sulle
attivita` del sistema compromesso. Le Honeypot semplificano il processo di rilevazio-
ne in quanto, come gia` accennato in precedenza, tutto il traffico da e verso di essa e`
sospetto.
• Reazione.
Le Honeypot possono aggiungere valore alla risposta agli incidenti quando si verifi-
cano due casi:
– il primo caso e` relativo al lasso di tempo che intercorre tra la compromissione
di un sistema all’interno dell’organizzazione e la sua scoperta; questo intervallo
non e` sempre breve e l’attivita` produttiva continua fino alla scoperta dell’evento.
In questa fase si assiste ad un inquinamento delle digital evidence riguardanti
l’intrusione. Il team che si occupa dell’Incident Response si trova in difficolta`
nell’analisi dei sistemi compromessi, in quanto le attivita` svolte dagli utenti
dopo la compromissione del sistema si aggiungono alle informazioni relative
all’attacco.
– il secondo caso riguarda la non possibilita` di mettere off-line i sistemi compro-
messi. In queste situazioni bisogna effettuare una live analisys dei sistemi che
comporta differenti problemi.
Le Honeypot possono essere di aiuto in entrambe le situazioni: esse offrono la pos-
sibilia` di analizzare un sistema che presenta dei dati chiari e che puo` essere posto
off-line.
Ricerca
Le Honeypot aggiungono un grande valore alla ricerca offrendo delle piattaforme per stu-
diare i pericoli esistenti e per conoscere i metodi degli intrusi. Uno dei migliori modi per
conoscere il nemico e` quello di osservarlo all’opera, spiarlo e registrare le sue azioni.
Le Honeypot hanno come caratteristica peculiare quella di essere strumenti di ricerca,
esse non solo permettono di studiare i comportamenti degli intrusi, ma sono adatte a
catturare ed analizzare attacchi automatizzati, come ad esempio worm. Le Honeypot
di ricerca non riducono i rischi presenti nell’organizzazione, ma offrono la possibilita` di
aumentare la sicurezza, grazie all’esperienza (learn by doing).
4Si definisce “false positive” la generazione da parte dell’IDS di erronei allarmi relativi ad attacchi.
5
si definisce “false negative” la mancanza di rilevamento di un attacco da parte dell’IDS
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
