"Горшочек меда" как способ обмана кульных хацкеров
Xakep, номер #036, стр. 036-048-1
Леший из-за Лукоморья (lukomore@xakep.ru)
Прочтя подшивку журнала ][, ты начал говорить непонятными словами: "Флудить, сканить, DoSить, нючить, дро..." Ну и пошлый же ты! Я имел ввиду "дропить" пакеты соседей по домашней локалке :). Но однажды, вкручивая очередной нимфе, какой ты крутой, и демонстрируя, как запросто ты серфишь по Сети, "случайно" заходя на порносайты и подводя свою подругу к очевидному для тебя выводу, твой комп падает в голубой экран. Значит, кто-то добрался и до тебя. Перегрузив комп, ты с удивлением обнаруживаешь, что твоя коллекция потрясающих картинок, которую ты полгода собирал с разных платников, безвозвратно потеряна. Ты вне себя от ярости и желаешь "жестоко отомстить". Но для этого тебе надо попытаться отследить своего визави. Как это сделать?
Можно поставить какой-нибудь firewall или систему обнаружения атак (например, обе этих системы объединены в BlackICE Defender или описываемом ниже RealSecure Server Sensor). Но... есть одна тонкость. Если твой противник умен, а недооценивать его я бы не стал, то он заспуфит свой адрес (как это делается, читай в этом же номере Х). Особенно, если он флудит или как-то по-иному DoS-ит тебя. Итак, тебе надо, с одной стороны, привлечь противника какой-нибудь целью, чтобы он потратил время на проникновение, а с другой - эта цель не должна быть реальной, т.е. не стоит использовать в качестве мишени свой компьютер или компьютер своего соседа по локалке. Какой отсюда следует вывод? Нужна приманка, о которой мы сейчас и поговорим.
Это ты о чем?
Смысл приманки, она же decoy, она же deception system (обманная система), она же honeypot (горшочек меда), один - завлечь противника, чтобы он стал тратить свое время и ресурсы на хак несуществующих или не имеющих реальной ценности ресурсов. Тем самым ты получаешь время на отслеживание визави, а при необходимости и на сбор следов его противоправной деятельности. Хотя вряд ли ты захочешь связываться с правоохранительными органами. Толку никакого, а мороки выше крыши. Кроме того, обманные системы могут сбить с толку нападающих, привыкших к широко известным средствам сетевой безопасности (firewall, IDS и т.д.).
Методы
Существует три часто применяемых варианта использования обмана в благих целях:
1. Сокрытие. Ты когда-нибудь использовал firewall в своей сетке? Если да, то тебе наверняка знакомо понятие "трансляция адресов" (network address translation). Если нет, то это когда одни адреса заменяются на другие. Например, адреса машин в твоей локалке меняются на один адрес firewall. Это и есть яркий пример обмана хакеров. Не зная твоего реального адреса, тебя очень трудно атаковать. Но и хакеры используют эту технологию не менее эффективно. Прокси-сервер - это тоже обман, но уже с другой стороны.
2. Камуфляж. Этот механизм используется не так часто, но он тоже скрывает в себе большую мощь. Например, подключаясь к FTP-серверу, твоему взору демонстрируется заголовок:
Connected to ftp.server.ru
220 ftp.server.ru Microsoft FTP Service (Version 4.0),
говорящий о том, что перед тобой мелкософтовский FTP-сервер под NT. А на самом деле на удаленном узле установлен Unix'овый сервак. Ты будешь тратить свои энергию и бабло на то, чтобы найти хоть одну дыру в FTP, удивляясь, "как это на мелкософте и нет дыр", а на самом деле хитрый админ просто сменил заголовок (banner), который появляется при подключении к серверу.
