La ‘dolce’ trappola

Sicurezza

Honeypot è una parola inglese che indica un vasetto di miele e che viene spesso utilizzata in ambito informatico per definire una contromisura di sicurezza, che attira potenziali attaccanti in un finto sito web per monitorarli, studiarne le mosse e quindi rintracciarli. Ma è veramente tutto legale?

Un’esca irresistibile per attirare i malintenzionati in una trappola. In ambito informatico sono veri e propri siti Web, poco protetti e dai contenuti interessanti che simulano portali contenenti dati economico/finanziari, elenchi di personale oppure dati fiscali. Insomma, si tratta di quel tipo di informazioni che gli hacker cercano costantemente sulla Grande Rete e che gli possono consentire di ottenerne un ritorno economico utilizzandoli direttamente o ricattando la società alla quale appartengono. In realtà a seconda del tipo di attacco che si sospetta, gli honeypot possono essere anche costituiti da un computer, un particolare file o uno spazio Ip non utilizzato. Insomma, l’esca giusta per il tipo di hacker che si vuole attirare. Gli Honeypot possono essere costituiti da appositi programmi oppure da computer, server o intere reti configurate appositamente per distogliere l’attenzione dei malintenzionati verso quello che sembra un obiettivo più semplice e interessante, sul quale a loro insaputa sono installati sistemi trasparenti di Intrusion Detection. In dettaglio Fondamentalmente gli honeypot rientrano in due categorie: – di ricerca, vengono utilizzati prevalentemente per attività di ricerca di organizzazioni militari e governative – di produzione, utilizzate da società che hanno come scopo lo sviluppo della sicurezza delle reti Un particolare da non dimenticare qualsiasi sia il tipo e lo scopo dell’honeypot è che non si tratta di un vero e proprio meccanismo di difesa (a meno che non sia utilizzato per depistare da altri obiettivi). Fondamentalmente gli Honeypot non possono svolgere il compito di meccanismo preventivo, in quanto, la loro attività consiste nell’essere compromessa da intrusi, in modo tale da capire le modalità di attacco, le tipologie di strumenti usati, e le loro finalità. Tra gli aspetti positivi da ricondurre all’utilizzo degli Honeypot come strumento di Ids (Intrusion Detection System), sono il basso valore di falsi positivi e falsi negativi (in quanto chi accede a una honeypot, non lo fa per caso) e la semplicità di utilizzo degli stessi. Il livello di interazione determina la quantità di funzioni che un honeypot può fornire: più funzioni sono presenti, più informazioni si potranno ottenere da un attacco. Proporzionalmente però, aumentano anche i rischi derivanti da un ottenimento del controllo root della macchina da parte dell’intruso e il conseguente invio di attacchi dalla direzione dell’honeypot. Problemi legali? Poiché lo scopo fondamentale di un honeypot è quello di raccogliere informazioni, sebbene queste appartengano a soggetti poco raccomandabili, il primo legittimo dubbio sulla legalità di questi strumenti riguarda la legge per la protezione della privacy. E’ vero che le informazioni sull’aggressore sono raccolte mentre si sta subendo un attacco e quindi ci si potrebbe appellare al diritto di difesa. Vero è anche il fatto che a invitare l’attaccante siamo stati proprio noi. Forzando il paragone sarebbe quasi come lasciare aperta la porta della propria abitazione e legarsi al diritto di perquisire chiunque entri. Ma il cavillo legale che copre l’utilizzo degli honeypot è un altro, quasi impensabile ma tutto sommato plausibile. In tema di honeypot, i problemi legali sono in rapporto alla figura dell’agente provocatore. La questione è quella di determinare le possibili ed eventuali responsabilità penali di chi decide di predisporre tra gli strumenti per la sicurezza un honeypot in rapporto agli eventuali reati commessi dal soggetto attaccante. In definitiva quindi è possibile che la predisposizione di un sistema fragile destinato a essere compromesso possa essere visto come una sorta di complicità verso l’attaccante o comunque come una provocazione. Se poi il sistema Honeypot che viene violato permette l’esecuzione dell’attacco verso altre parti della rete aziendale o altri Pc, la responsabilità potrebbe essere (quasi) equamente distribuita tra l’attaccante e l’autore dell’installazione dell’honeypot. Per quanto riguarda la privacy invece, il problema non sembra porsi, poiché nonostante la grande confusione che regna sul tema, la legge punisce la raccolta e il trattamento illecito di dati personali. Quando parliamo di dati raccolti con un honeypot ci si riferisce a dati intercettati attraverso un “host bucato” e utilizzati non per fini commerciali o di altro tipo non espressamente indicati durante il trattamento o eventualmente di dati carpiti a ignari e innocenti internauti attraverso tecniche di sniffing, spyware e quant’altro. Si tratta di preziosi dati raccolti e utilizzati a fini, per così dire, “personali”: di prevenzione e studio dei fenomeni criminali allo scopo di migliorare la sicurezza del sistema che si vuole tutelare. Conclusioni La tecnica degli honeypot può rappresentare un ottimo strumento per analizzare i potenziali rischi ai quali si è esposti e le principali tecniche di attacco utilizzate dagli aggressori, per poter in seguito calibrare con maggior precisione le proprie difese. Lo strumento è potente ma deve essere utilizzato con cura potendo rivolgersi contro il proprio creatore sia a livello di sicurezza sia a livello legale. Predisporre un sistema virtualmente ‘indifeso’ ed esporlo agli attacchi potrebbe consentire agli aggressori di utilizzarlo come ponte per condurre altri attacchi oppure per accedere alla rete aziendale. Gli honeypot possono portare dei rischi aa una rete e devono essere maneggiati con cura. Se non sono ben protetti, un attacker potrebbe usarli per entrare in altri sistemi. In questi casi, il responsabile dell’installazione/amministrazione del sistema potrebbe addirittura essere accusato di favoreggiamento.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore