Esquer (informàtica)

Per a altres significats, vegeu «Esquer».
Funcionament d'un esquer

Esquer és el recurs informàtic monitoritzat utilitzat per provar, que sigui atacat o que es vegi compromès per atacs informàtics. És una eina de la seguretat informàtica disposada en una red o sistema informàtic per ser el objectiu d'un possible atac informàtic, i així poder detectar-lo i obtindré informació del mateix i del atacant.[1][2]

L'ús principal que se li dona a aquest esquer de network és el de distreure a possibles atacants d'informació i màquines més importants de la network real, aprendre sobre les formes d'atac que poden patir i examinar els mateixos atacs durant i després de l'explotació d'un 'esquer.[1][2]

Donat l'increment d'atacs, és rellevant tindre una manera per veure les vulnerabilitats que pot tindre un sistema concret de network. És a dir, s'utilitza un esquer per a poder protegir una network de presents o futurs atacs.[1][2]

Tipus

Trobem dos tipus principals d'esquers, aquests són els físics i els virtuals.[1][2]

  • Físic: es tracta d'una màquina real amb la seva pròpia adreça IP, aquesta màquina simula comportaments modelats per el sistema. Moltes vegades no s'utilitza tant aquesta modalitat degut al preu elevat d'adquirir noves màquines, el seu manteniment i a la complicació afegida de configurar hardwares especialitzats.
  • Virtual: l'ús d'aquest tipus d'esquer permet instal·lar i simular hostes en la network procedents de sistemes operatius diferents, per a fer això es necessita simular el TCP/IP del sistema operatiu objectiu. Aquesta modalitat és més freqüent.

També es poden diferenciar els esquers segons si la seva finalitat és la d'investigar o la de produir.

  1. La tècnica d'investigació es dirigeix a ajuntar tota la informació possible dels blackhat hackers a partir de donar-los accés als sistemes de seguretat d'una companyia per a que s'infiltrin.
  2. La tècnica de producció, en canvi, va dirigida a protegir les companyies que preparen els esuqers, millorant els seus sistemes de seguretat.

Segons els criteris de disseny, els esquers es poden classificar en: [3]

  • Esquers purs: sistemes de producció complets. Les activitats de l'atacant es controlen mitjançant un bug tap que s'ha instal·lat a l'enllaç de l'esquer a la xarxa. No cal instal·lar cap altre programari. Encara que un esquer pur és útil, el sigil dels mecanismes de defensa es pot garantir mitjançant un mecanisme més controlat.
  • Esquers d'alta interacció: imiten les activitats dels sistemes de producció que allotgen una varietat de serveis i, per tant, un atacant pot tenir molts serveis per perdre el temps. En utilitzar màquines virtuals, es poden allotjar múltiples esquers en una sola màquina física. Per tant, encara que l'esquer es vegi compromès, es pot restaurar més ràpidament. En general, els esquers d'alta interacció brinden més seguretat perquè són difícils de detectar, però el seu manteniment és costós. Si les màquines virtuals no estan disponibles, cal mantenir un ordinador física per a cada 'esquer, cosa que pot ser exorbitantment costós. Exemple: Honeynet.
  • Honeypots de baixa interacció: simulen només els serveis sol·licitats amb freqüència pels atacants.[4] Atès que consumeixen relativament pocs recursos, diverses màquines virtuals es poden allotjar fàcilment en un sistema físic, els sistemes virtuals tenen un temps de resposta curt i es requereix menys codi, cosa que redueix la complexitat de la seguretat del sistema virtual. Exemple: Honey.

La sugarcane (canya de sucre) és un tipus d'esquer que es fa passar per un proxy obert.[5] Sovint pot adoptar la forma d'un servidor dissenyat per assemblar-se a un servidor intermediari HTTP mal configurat.[6] Probablement el proxy obert més famós va ser la configuració predeterminada de sendmail (abans de la versió 8.9.0 el 1998) que reenviava correus electrònics cap i des de qualsevol destinació.[7]

Tecnologia de l'engany

Recentment, ha sorgit un nou segment de mercat anomenat tecnologia enganyosa que utilitza tecnologia trampa bàsica amb l'addició d'automatització avançada per escalar. La tecnologia d'engany aborda la implementació automatitzada de recursos trampa a una gran empresa comercial o institució governamental.[8]

Malware

Els esquers de codi maliciós s'utilitzen per detectar codi maliciós mitjançant l'explotació dels vectors de replicació i atac coneguts de codi maliciós. Els vectors de replicació, com les unitats flash USB, es poden verificar fàcilment a la recerca d'evidència de modificacions, ja sigui mitjançant mitjans manuals o utilitzant honeypots especials que emulen les unitats.

Detecció

Així com els esquers són armes contra els spammers, els sistemes de detecció de esquers són armes contra les que empren els spammers. Atès que els sistemes de detecció probablement farien servir característiques úniques de trampes trampa específiques per identificar-les, com els parells propietat-valor de la configuració predeterminada d'esquer,[9] molts esquers en ús utilitzen un conjunt de característiques úniques més grans i més aclaparadores per a aquells que busquen detectar i així identificar-los. Aquesta és una circumstància inusual al programari; una situació en què la “versionitis” (un gran nombre de versions del mateix programari, totes lleugerament diferents entre si) pot ser beneficiosa. També hi ha un avantatge a tenir alguns honeypots fàcils de detectar desplegats. Fred Cohen, l'inventor de Deception Toolkit, argumenta que cada sistema que executa el seu 'esquer ha de tenir un port d'engany que els adversaris puguin fer servir per detectar l'esquer.[10] Cohen creu que això podria dissuadir els adversaris.

Honey nets

Dos o més esquers en una xarxa formen una honey net (xarxa trampa). En general, una xarxa trampa s'usa per monitorar una xarxa més gran i/o més diversa on un esquer pot no ser suficient. Les Honey Nets i els Honeypots s'implementen generalment com a part de sistemes de detecció d'intrusos de xarxa més grans. Una granja de mel és una col·lecció centralitzada de esquers i eines d'anàlisi.[11]

Referències

  1. 1,0 1,1 1,2 1,3 «Usenix Security Symposium». IEEE Software, 28, 3, 5-2011, pàg. 6–6. DOI: 10.1109/ms.2011.67. ISSN: 0740-7459.
  2. 2,0 2,1 2,2 2,3 Mairh, Abhishek; Barik, Debabrat; Verma, Kanchan; Jena, Debasish «Honeypot in network security: a survey». «Honeypot in network security: a survey». Association for Computing Machinery [New York, NY, USA], 12-02-2011, pàg. 600–605. DOI: 10.1145/1947940.1948065.
  3. Mokube, Iyatiti; Adams, Michele «Honeypots: concepts, approaches, and challenges» (en anglès). «Honeypots: concepts, approaches, and challenges». ACM [Winston-Salem North Carolina], 23-03-2007, pàg. 321–326. DOI: 10.1145/1233341.1233399.
  4. Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem «Rethinking the Honeypot for Cyber-Physical Systems». IEEE Internet Computing, 20, 5, 9-2016, pàg. 9–17. DOI: 10.1109/MIC.2016.103. ISSN: 1089-7801.
  5. Talukder, Asoke K. Architecting secure software systems. Boca Raton: CRC Press/Taylor & Francis Group, 2008. ISBN 978-1-4200-8785-7. 
  6. «Exposing the Underground: Adventures of an Open Proxy Server» (en anglès). [Consulta: 29 abril 2023].
  7. «Capturing web attacks with open proxy honeypots [LWN.net]». [Consulta: 29 abril 2023].
  8. says, Chris. «Deception related technology - its not just a "nice to have", its a new strategy of defense» (en anglès), 28-09-2016. [Consulta: 29 abril 2023].
  9. 6th Annual Conference on Computational Science and Computational Intelligence : CSCI 2019 : proceedings : 5-7 December 2019, Las Vegas, Nevada, USA., 2019. ISBN 9781728155845. 
  10. «Deception ToolKit». [Consulta: 29 abril 2023].
  11. «1-800-564-1194 Cisco Technical Support, Customer Services», 16-01-2017. Arxivat de l'original el 2017-01-16. [Consulta: 29 abril 2023].

Enllaços externs