Soluţii - PC Magazine Romania, Decembrie 2003

"Momeala"

Florin Iliescu

Dacă aveţi de gând să instalaţi sau folosiţi deja un sistem de detectare a intruziunilor în reţeaua dumneavoastră conectată la Internet, probabil ca vă confruntaţi cu un număr mare de mesaje de avertizare despre posibile atacuri. Cum se face totuşi că, deşi numărul de atacuri este aşa mare, nu a fost semnalat nici un incident de securitate? Se pune deci întrebarea, câte din incidentele de securitate raportate de sistemele de detectare a intruziunilor sunt de fapt ameninţări reale. Această problemă este cunoscută drept răspuns pozitiv fals, când un sistem de detectare a intruziunilor raportează un ca incident de securitate o acţiune legitimă. Desigur că scenariul opus, al unui răspuns negativ fals, când o acţiune ilicită nu este raportată, este mult mai periculos, dar o neînţelegere corectă a expunerii unui sistem poate duce la costuri suplimentare nejustificate pentru a implementarea unor controale care nu aduc nici un beneficiu. De asemenea, răspunsurile pozitive false, pot distrage atenţia de la adevăratele vulnerabilităţi ale sistemului.

O metodă eficientă pentru a detecta posibila activitate ilicită, reducând foarte mult, şi chiar eliminând răspunsurile pozitive false este folosirea unei momeli. Momeala, referită în literatura de specialitate ca "honeypot" este o resursă a unui sistem informatic a cărei valoare este dată de utilizarea ilicită sau neautorizată. Resursa nu are nici o valoare pentru organizaţie şi nu este autorizată nici o activitate pentru ea orice interacţiune cu aceasta fiind foarte probabil să fie rău intenţionată.

Conceptul, de parte de a fi nou, poate avea diverse implementări în tehnologia informaţiei, având avantajul flexibilităţii şi simplicităţii. Momeala poate avea diverse forme, un fişier, o înregistrare într-o bază de date, un e-mail, acest lucru fiind limitat doar de imaginaţie. Deşi nu rezolvă probleme specifice, ea poate identifica foarte eficient autorul. De exemplu, un document pe reţea, care pare a conţine informaţii confidenţiale, la care accesul ar trebui foarte bine controlat, este citit sau copiat de un angajat, ce nu este îndreptăţit să facă acest lucru. Monitorizarea accesului la acest fişier, va indica imediat o posibilă problemă de securitate şi autorul.

Implementarea conceptului de momeală în securitatea informaţiei poate avea o formă slab interactivă sau puternic interactivă, în funcţie de numărul de acţiuni pe care o persoana neautorizată le poate exercita asupra unui sistem momeală.

Sistemele slab interactive emulează servicii si sisteme de operare, sunt în general uşor de implementat şi prezintă un risc minim, dar şi informaţia pe care o colectează este limitată. Sistemele puternic interactive constau în sisteme de operare şi servicii reale, fără nici un fel de emulare, implementarea lor este mai complexa si prezintă un risc mai ridicat, dar si informaţia colectata este mult mai detaliata.

Dacă nu doriţi încă să investiţi într-o astfel de momeală informatică, dar vă pasionează tema cu pricina, puteţi jongla cu soluţii gratuite precum:

• BackOfficer Friendly www.nfr.com/resource/backOfficer.php
• Deception Toolkit www.all.net/dtk/dtk.html
• LaBrea Tarpit labrea.sourceforge.net

Symantec Decoy Server creează o reţea fictiva cât de poate de reală, care este utilizată drept ţinta pentru atacuri, protejând astfel zonele critice ale reţelei. Tehnologia utilizata pentru întinderea capcanelor permite detectarea timpurie şi devierea atacurilor. enterprisesecurity.symantec.com

KFSensor este un sistem de detectare a intruziunilor de tip gazdă, care se comportă ca o momeala care atrage si detectează accesele neautorizate prin simularea unor servicii vulnerabile si a cailor troieni. Sistemul este foarte configurabil, oferind un jurnal detaliat, analiza atacurilor si alarme. Această abordare completează celelalte forme de asigurare a securităţii. www.keyfocus.net/kfsensor

NetBait incorporează tehnologiile sistemelor de detectare a intruziunilor, firewall si de tip momeala, rezultatul fiind o reţea sau mai multe reţele virtuale care comunica cu serverul principal pentru detectarea atacurilor si redirectarea traficului după un set de reguli configurabile. NetBait derutează atacatorii creând o arhitectura dinamica cu rute de comunicaţie nedefinite. www.netbaitinc.com

Specter momeşte atacatorii cu servicii Internet precum SMTP, FTP, POP3, HTTP si TELNET. Specter rulează pe un calculator dedicat conectat într-o zona a reţelei unde sunt aşteptate atacuri, cum ar fi in zona demilitarizata accesibila din Internet. Specter poate instalat si in reţeaua interna pentru a determina activităţile suspecte din interiorul organizaţiei. www.specter.com

Florin Iliescu este Senior Consultant la Ernst & Young şi poate fi contactat la adresa [email protected]