Honeypot

Celowo wystawiona pułapka udająca prawdziwy system lub usługę, która ma zwabić atakujących i pozwolić obserwować ich metody bez ryzyka dla realnej infrastruktury.

Honeypot to celowo wystawiona przynęta: system, usługa albo plik, który udaje coś wartościowego, a w rzeczywistości istnieje tylko po to, żeby zwabić atakującego i pozwolić Ci go podejrzeć. Z założenia nikt z legalnych użytkowników nie ma powodu, żeby do niego zaglądać — więc każde połączenie z honeypotem jest podejrzane. To odwraca normalną logikę bezpieczeństwa: nie szukasz igły w stogu siana, tylko stawiasz dekorację, do której przychodzą wyłącznie igły.

Jak to działa i do czego służy

Honeypot nie trzyma prawdziwych danych ani nie obsługuje produkcyjnego ruchu. Dzięki temu, gdy ktoś go skanuje, loguje się brute-force’em albo wrzuca malware, masz pewność, że to nie przypadkowy pracownik, tylko ktoś, kto nie powinien tu być. Zbierasz wtedy Indicators of Compromise (IP, payloady, próbki złośliwego kodu), uczysz się technik atakujących i zyskujesz wczesne ostrzeżenie, zanim dobiorą się do realnych serwerów.

Rozróżnia się low-interaction (emuluje tylko fragment usługi, np. sam baner SSH — bezpieczny, ale łatwy do rozpoznania) i high-interaction (pełny, prawdziwy system, który daje bogate dane, ale sam może zostać przejęty i użyty do dalszych ataków). Pokrewny pomysł to honeytoken — fałszywy rekord w bazie albo plik passwords.xlsx, którego otwarcie odpala alarm.

Przykład z praktyki

Klasyk to Cowrie — honeypot SSH/Telnet. Wystawiasz na porcie 22 coś, co wygląda jak zaniedbany serwer, atakujący wbija się słownikowym hasłem, a Cowrie nagrywa całą jego sesję: wpisywane komendy, pobierane pliki, próby eskalacji. Uruchomienie jest banalnie proste:

  • git clone https://github.com/cowrie/cowrie
  • pip install --upgrade -r requirements.txt
  • bin/cowrie start

Logi wpadają do var/log/cowrie/ i po kilku godzinach zobaczysz dziesiątki botów próbujących root:123456. Większy zestaw to T-Pot (paczka wielu honeypotów z dashboardem), a historycznym pionierem był Honeyd.

Częste błędy i mity

Najgroźniejszy błąd: postawić honeypota w tej samej sieci co produkcja, bez izolacji. Jeśli ktoś przejmie high-interaction honeypota, masz przyczółek atakującego we własnej infrastrukturze — trzymaj go w osobnym VLAN-ie albo segmencie i ogranicz ruch wychodzący. Mit numer dwa: „honeypot mnie ochroni”. Nie ochroni — to narzędzie do wykrywania i nauki, nie firewall. I pamiętaj, że doświadczeni atakujący potrafią rozpoznać emulację (brak realnych procesów, dziwne odpowiedzi) i ją omijają.

Pojęcia powiązane: honeynet (sieć honeypotów), honeytoken, IDS/IPS, threat intelligence, deception technology, tarpit.