Sécurité

Pots de miel et filets de miel

Pots de miel et filets de miel
Une partie du travail des informaticiens en sécurité consiste à se renseigner sur les types d'attaques ou les techniques utilisées par les pirates en collectant également des informations pour une analyse ultérieure afin d'évaluer les caractéristiques des tentatives d'attaque. Parfois, cette collecte d'informations se fait au moyen d'un appât ou de leurres conçus pour enregistrer les activités suspectes d'attaquants potentiels qui agissent sans savoir que leur activité est surveillée. En sécurité informatique, ces appâts ou leurres sont appelés Honeypots.

Un pot de miel peut être une application simulant une cible qui est en réalité un enregistreur de l'activité des attaquants. Plusieurs Honeypots simulant plusieurs services, appareils et applications liés sont dénommés Honeynets.

Les Honeypots et Honeynets ne stockent pas d'informations sensibles mais stockent de fausses informations attrayantes pour les attaquants afin de les intéresser aux Honeypots, Honeynets, en d'autres termes nous parlons de pièges à pirates conçus pour apprendre leurs techniques d'attaque.

Les pots de miel nous rapportent deux types d'avantages : d'abord, ils nous aident à apprendre les attaques pour ensuite sécuriser correctement notre appareil de production ou notre réseau. Deuxièmement, en gardant les pots de miel simulant des vulnérabilités à côté des appareils de production ou du réseau, nous gardons l'attention des pirates hors des appareils sécurisés, car ils trouveront plus attrayants les pots de miel simulant des failles de sécurité qu'ils peuvent exploiter.

Il existe différents types de pots de miel :

Pots de miel de production :

Ce type de pots de miel est installé dans un réseau de production pour collecter des informations sur les techniques utilisées pour attaquer les systèmes au sein de l'infrastructure.  Ce type de pots de miel offre une grande variété de possibilités, de l'emplacement du pot de miel au sein d'un segment de réseau spécifique afin de détecter les tentatives internes d'utilisateurs légitimes du réseau d'accéder à des ressources non autorisées ou interdites à un clone d'un site Web ou d'un service, identique au original comme appât. Le plus gros problème de ce type de pots de miel est d'autoriser le trafic malveillant entre un pot légitime.

Pots de miel de développement :

Ce type de pots de miel est conçu pour collecter le plus d'informations possible sur les tendances de piratage, les cibles souhaitées par les attaquants et les origines des attaques. Ces informations sont ensuite analysées pour le processus de prise de décision sur la mise en œuvre des mesures de sécurité.

Le principal avantage de ce type de pots de miel est, contrairement aux pots de miel de production, les pots de miel de développement sont situés au sein d'un réseau indépendant, dédié à la recherche, ce système vulnérable est séparé de l'environnement de production empêchant une attaque du pot de miel lui-même. Son principal inconvénient est la quantité de ressources nécessaires à sa mise en œuvre.

Il existe une sous-catégorie 3 ou une classification différente des pots de miel définis par l'interaction qu'il a avec les attaquants.

Pots de miel à faible interaction :

Un Honeypot émule un service, une application ou un système vulnérable.  C'est très facile à configurer mais limité lors de la collecte d'informations, quelques exemples de ce type de pots de miel sont :

Piège à miel: il est conçu pour observer les attaques contre les services réseau, contrairement à d'autres pots de miel qui se concentrent sur la capture de malwares ce type de pots de miel est conçu pour capturer les exploits.

Néphète : émule les vulnérabilités connues afin de collecter des informations sur les attaques possibles, il est conçu pour émuler les vulnérabilités que les vers exploitent à propager, puis Nephentes capture leur code pour une analyse ultérieure.

MielC : identifie les serveurs Web malveillants au sein du réseau en émulant différents clients et en collectant les réponses du serveur lors de la réponse aux demandes.

MielD : est un démon qui crée des hôtes virtuels au sein d'un réseau qui peut être configuré pour exécuter des services arbitraires simulant l'exécution dans différents systèmes d'exploitation.

Glastopf : émule des milliers de vulnérabilités conçues pour collecter des informations sur les attaques contre les applications Web. Il est facile à configurer et une fois indexé par les moteurs de recherche, il devient une cible attrayante pour les pirates.

Pots de miel à interaction moyenne :

Ces types de pots de miel sont moins interactifs que les précédents sans permettre le niveau d'interaction que les pots de miel élevés permettent. Certains pots de miel de ce type sont :

Kippo : c'est un pot de miel ssh utilisé pour enregistrer les attaques par force brute contre les systèmes unix et enregistrer l'activité du pirate informatique si l'accès a été obtenu. Il a été abandonné et remplacé par Cowrie.

Cauris : un autre pot de miel ssh et telnet qui enregistre les attaques par force brute et les interactions entre les shells des pirates. Il émule un système d'exploitation Unix et fonctionne comme proxy pour enregistrer l'activité de l'attaquant.

Sticky_elephant : c'est un pot de miel PostgreSQL.

Frelon: Une version améliorée de honeypot-wasp avec de fausses informations d'identification conçues pour les sites Web avec une page de connexion d'accès public pour les administrateurs tels que /wp-admin pour les sites wordpress.

Pots de miel à haute interaction :

Dans ce scénario, les pots de miel ne sont pas conçus pour collecter uniquement des informations, c'est une application conçue pour interagir avec les attaquants tout en enregistrant de manière exhaustive l'activité d'interaction, elle simule une cible capable d'offrir toutes les réponses que l'attaquant peut attendre, certains pots de miel de ce type sont :

Sebek : fonctionne comme un HIDS (Host-based Intrusion Detection System) permettant de capturer des informations sur l'activité d'un système. Il s'agit d'un outil serveur-client capable de déployer des pots de miel sur Linux, Unix et Windows qui capturent et envoient les informations collectées au serveur.

HoneyBow : peut être intégré à des pots de miel à faible interaction pour augmenter la collecte d'informations.

HI-HAT (boîte à outils d'analyse de pot de miel à interaction élevée) : convertit les fichiers php en pots de miel à haute interaction avec une interface Web disponible pour surveiller les informations.

Capture-HPC : similaire à HoneyC, identifie les serveurs malveillants en interagissant avec eux en tant que clients à l'aide d'une machine virtuelle dédiée et en enregistrant les modifications non autorisées.

Si vous êtes intéressé par les Honeypots, les IDS (Intrusion Detection Systems) peuvent probablement vous intéresser, chez LinuxHint, nous avons quelques tutoriels intéressants à leur sujet :

J'espère que vous avez trouvé cet article sur les pots de miel et les filets de miel utile. Continuez à suivre LinuxHint pour plus de conseils et de mises à jour sur Linux et la sécurité.

Jeux Comment télécharger et jouer à Civilization VI de Sid Meier sur Linux
Comment télécharger et jouer à Civilization VI de Sid Meier sur Linux
Présentation du jeu Civilization 6 est une version moderne du concept classique introduit dans la série de jeux Age of Empires. L'idée était assez sim...
Jeux Comment installer et jouer à Doom sur Linux
Comment installer et jouer à Doom sur Linux
Introduction à Doom La série Doom est née dans les années 90 après la sortie du Doom original. Ce fut un succès instantané et à partir de ce moment-là...
Jeux Vulkan pour les utilisateurs Linux
Vulkan pour les utilisateurs Linux
Avec chaque nouvelle génération de cartes graphiques, nous voyons les développeurs de jeux repousser les limites de la fidélité graphique et se rappro...