Esquer és el recurs informàtic monitoritzat utilitzat per provar, que sigui atacat o que es vegi compromès per atacs informàtics. És una eina de la seguretat informàtica disposada en una red o sistema informàtic per ser el objectiu d'un possible atac informàtic, i així poder detectar-lo i obtindré informació del mateix i del atacant.[1][2]
L'ús principal que se li dona a aquest esquer de network és el de distreure a possibles atacants d'informació i màquines més importants de la network real, aprendre sobre les formes d'atac que poden patir i examinar els mateixos atacs durant i després de l'explotació d'un 'esquer.[1][2]
Donat l'increment d'atacs, és rellevant tindre una manera per veure les vulnerabilitats que pot tindre un sistema concret de network. És a dir, s'utilitza un esquer per a poder protegir una network de presents o futurs atacs.[1][2]
Tipus
Trobem dos tipus principals d'esquers, aquests són els físics i els virtuals.[1][2]
Físic: es tracta d'una màquina real amb la seva pròpia adreça IP, aquesta màquina simula comportaments modelats per el sistema. Moltes vegades no s'utilitza tant aquesta modalitat degut al preu elevat d'adquirir noves màquines, el seu manteniment i a la complicació afegida de configurar hardwares especialitzats.
Virtual: l'ús d'aquest tipus d'esquer permet instal·lar i simular hostes en la network procedents de sistemes operatius diferents, per a fer això es necessita simular el TCP/IP del sistema operatiu objectiu. Aquesta modalitat és més freqüent.
També es poden diferenciar els esquers segons si la seva finalitat és la d'investigar o la de produir.
La tècnica d'investigació es dirigeix a ajuntar tota la informació possible dels blackhat hackers a partir de donar-los accés als sistemes de seguretat d'una companyia per a que s'infiltrin.
La tècnica de producció, en canvi, va dirigida a protegir les companyies que preparen els esuqers, millorant els seus sistemes de seguretat.
Segons els criteris de disseny, els esquers es poden classificar en: [3]
Esquers purs: sistemes de producció complets. Les activitats de l'atacant es controlen mitjançant un bug tap que s'ha instal·lat a l'enllaç de l'esquer a la xarxa. No cal instal·lar cap altre programari. Encara que un esquer pur és útil, el sigil dels mecanismes de defensa es pot garantir mitjançant un mecanisme més controlat.
Esquers d'alta interacció: imiten les activitats dels sistemes de producció que allotgen una varietat de serveis i, per tant, un atacant pot tenir molts serveis per perdre el temps. En utilitzar màquines virtuals, es poden allotjar múltiples esquers en una sola màquina física. Per tant, encara que l'esquer es vegi compromès, es pot restaurar més ràpidament. En general, els esquers d'alta interacció brinden més seguretat perquè són difícils de detectar, però el seu manteniment és costós. Si les màquines virtuals no estan disponibles, cal mantenir un ordinador física per a cada 'esquer, cosa que pot ser exorbitantment costós. Exemple: Honeynet.
Honeypots de baixa interacció: simulen només els serveis sol·licitats amb freqüència pels atacants.[4] Atès que consumeixen relativament pocs recursos, diverses màquines virtuals es poden allotjar fàcilment en un sistema físic, els sistemes virtuals tenen un temps de resposta curt i es requereix menys codi, cosa que redueix la complexitat de la seguretat del sistema virtual. Exemple: Honey.
La sugarcane (canya de sucre) és un tipus d'esquer que es fa passar per un proxy obert.[5] Sovint pot adoptar la forma d'un servidor dissenyat per assemblar-se a un servidor intermediari HTTP mal configurat.[6] Probablement el proxy obert més famós va ser la configuració predeterminada de sendmail (abans de la versió 8.9.0 el 1998) que reenviava correus electrònics cap i des de qualsevol destinació.[7]
Tecnologia de l'engany
Recentment, ha sorgit un nou segment de mercat anomenat tecnologia enganyosa que utilitza tecnologia trampa bàsica amb l'addició d'automatització avançada per escalar. La tecnologia d'engany aborda la implementació automatitzada de recursos trampa a una gran empresa comercial o institució governamental.[8]
Malware
Els esquers de codi maliciós s'utilitzen per detectar codi maliciós mitjançant l'explotació dels vectors de replicació i atac coneguts de codi maliciós. Els vectors de replicació, com les unitats flash USB, es poden verificar fàcilment a la recerca d'evidència de modificacions, ja sigui mitjançant mitjans manuals o utilitzant honeypots especials que emulen les unitats.
Detecció
Així com els esquers són armes contra els spammers, els sistemes de detecció de esquers són armes contra les que empren els spammers. Atès que els sistemes de detecció probablement farien servir característiques úniques de trampes trampa específiques per identificar-les, com els parells propietat-valor de la configuració predeterminada d'esquer,[9] molts esquers en ús utilitzen un conjunt de característiques úniques més grans i més aclaparadores per a aquells que busquen detectar i així identificar-los. Aquesta és una circumstància inusual al programari; una situació en què la “versionitis” (un gran nombre de versions del mateix programari, totes lleugerament diferents entre si) pot ser beneficiosa. També hi ha un avantatge a tenir alguns honeypots fàcils de detectar desplegats. Fred Cohen, l'inventor de Deception Toolkit, argumenta que cada sistema que executa el seu 'esquer ha de tenir un port d'engany que els adversaris puguin fer servir per detectar l'esquer.[10] Cohen creu que això podria dissuadir els adversaris.
Honey nets
Dos o més esquers en una xarxa formen una honey net (xarxa trampa). En general, una xarxa trampa s'usa per monitorar una xarxa més gran i/o més diversa on un esquer pot no ser suficient. Les Honey Nets i els Honeypots s'implementen generalment com a part de sistemes de detecció d'intrusos de xarxa més grans. Una granja de mel és una col·lecció centralitzada de esquers i eines d'anàlisi.[11]