Honeypot

Érdekes új bejegyzés tűnt fel nemrégiben az amerikai szabványügyi hivatal honlapjain. Az IBM által birtokolt szabadalom címe egy vezeték nélküli "honeypot"-ról, azaz mézes bödönről szól.

Létezik azonban egy módszer, amellyel némileg csökkenthetők a betörők lépéselőnyei.

Az internet számtalan lehetőséget nyújt adatlopásra, betörésekre. Bár rengeteg biztonsági rendszer működik, a crackerek mindig lépéselőnyben lehetnek, mivel nagyobb a szabadságuk, mint a rendszergazdáknak és a szakembereknek. Ugyanis a hálón nem létezik bűnmegelőzés, csak - elvétve - bűnüldözés, a próbálkozás ugyanis nem feltétlen büntetendő és legtöbbször nem is könnyű észrevenni. A tűzfalak jellemzően a gyanús portszkenneléseket, csomagokat képesek jelezni, de ezekből nem lehet következtetést levonni arra vonatkozóan, hogy várható-e betörési kísérlet, és ha igen, milyen módon.

Létezik azonban egy módszer, amellyel némileg csökkenthetők a betörők lépéselőnyei. Ez az úgynevezett honeypot, magyarul mézesbödön, amely mint a méz a méheket, vonzza a crackereket. A honeypot egy olyan rendszer (vagy egyedi számítógép), amelyet arra találtak ki, hogy a betörők rajta próbálkozzanak, kísérletezzenek. Ennek a rendszernek tipikusan nincs más funkciója, tehát nem birtokol semmiféle kritikus, értékes adatot, programot. A saját konfigurációs fájloknak sem szabad elérhetőknek lenniük, hogy a betörő ne jöjjön rá: próbálkozásának tárgya valójában nem több, mint egy álrendszer. Megfelelő működés esetén a cracker elsősorban a honeypot feltörésére koncentrál és nem foglalkozik a hálózat többi összetevőjével.

Jelenleg azonban a honeypot-rendszerek közel sem aknázzák ki az összes, a technológiában rejlő lehetőséget. Az internet, mint közvetítő elem a crackerek és a hálózatra kötött számítógépek között, egyrészt biztonságérzetet ad a betörőnek (az anonimitás látszata miatt), másrészt azonban a naplózások miatt felhasználható a nyomozás során.

IBM-módra

A szabadalom alapvető célja, hogy a honeypotok felé érkező támadási kísérletekből megismerhetők legyenek a betörők módszerei, ezáltal a rendszergazdák és a biztonsági szakértők már azelőtt reagálhassanak, illetve javíthassák a biztonsági réseket, mielőtt a támadások kritikus rendszereket érinthetnének. A leírás főként a vezeték nélküli hálózatokban alkalmazandó honeypotokat tárgyalja, hiszen ezek biztonsága - a "könnyen, gyorsan telepíthető" eszközök miatt - legtöbbször sok kívánnivalót hagy maga után, emiatt a crackerek többször próbálkoznak ilyen hálózatokon. Elég egy könnyebb laptoppal körbejárni például Budapestet: rengeteg olyan hálózatra lehet csatlakozni, amelynek üzemeltetője a legkevésbé szeretne nyilvános hozzáférést nyújtani. (A szerző néhány napig internet-hozzáférés nélkül maradt, és egy sürgős e-mail elküldéséhez bekapcsolt laptoppal és egy monitorozó szoftverrel elindult az utcán, és ötven méter gyaloglás után már működött is egy kapcsolat.)

Tárva-nyitva: a betörők készakarva sétálnak a könnyű prédának tűnő csapdába.

A szabadalom lényegében egy olyan rendszert ír le, amely egyrészt megfelel a honeypotok fentebb részletezett tulajdonságainak, de túl is mutat azokon. A vezeték nélküli hálózat hozzáférési pontjai ugyanis előre meghatározott szabályok szerint, dinamikusan újrakonfigurálhatók. A rendszer figyeli a hálózatban történő eseményeket, és azok elemzése után esetlegesen változtat a konfiguráción - SSID, IP-k, kódolások, kulcsok, bármi megváltoztatható.

A konfigurálhatóság jelentősége abban áll, hogy a betörők felé a hálózat esetlegesen feltörhető arcát kell mutatni. A hálózati betörések szokásos menete, hogy a cracker olyan kéréseket küld a szerver felé, amelyekből következtetni tud annak konfigurációjára, operációs rendszerére. Ezekből az úgynevezett "ujjlenyomatokból" állapítja meg, hogy a rendszer feltörhető-e vagy sem.

A rendszergazda időnként lekapcsolja a honeypotot, átvizsgálja a betörési kísérleteket, megnézi, melyik "virtuális konfiguráció" ragadta meg leginkább a crackerek figyelmét, és a következő beállítást, illetve a konfigurációra vonatkozó szabályrendszert úgy alakíthatja, hogy még inkább vonzó célpont legyen. Mindezek mellett a rendszer részletesen naplózza az összes próbálkozást. Így olyan kódrészletek, módszerek kerülhetnek napvilágra, amelyek a szakértőknek is újak lehetnek, és amelyek birtokában még a támadások előtt javíthatják, illetve felkészíthetik a kritikus rendszereket.

Kérdés, mennyire terjednek majd el ezek a megoldások, hiszen a rendszergazdáktól mindenképpen az átlagosnál nagyobb hozzáértést vár el. Kisméretű, olcsó hálózatoknál persze az sem valószínű, hogy a szükséges hardverre és szoftverre meglenne az anyagi keret.

Varga Máté