2017.W37 - Honeypot (蜜罐)
> 人生好難 連颱風都來個大曲球
## 前言 ##
接下來幾篇文章 應該都會介紹如何 '防禦' 駭客入侵
防禦的意思不是完美的阻擋駭客入侵 而是任何有效的避免下一次入侵的方法
## 內容 ##
Honeypot (蜜罐) [0] 在資訊安全中算是一個有趣的分類
他的目的不在於避免、阻擋駭客入侵 而是捕捉駭客入侵的一種手段
捕捉入侵的意思包含著:
1- 前期攻擊的偵測行為
2- 實際攻擊的手法
3- 攻擊者資訊
為了有效捕捉 通常蜜罐會被設計成具有漏洞、高度價值的系統
像是低安全性的密碼、具有漏洞版本的軟體、網域或郵件伺服器等
就特性來分類 蜜罐可以分成:低互動 (Low-Interaction) 跟高互動 (High-Interaction) 兩種
兩種分別代表系統本身跟真實系統的相似程度
以一個 SSH Honeypot 為例
低互動代表著可以做 SSH Handshack 但無法真正登入、底層沒有相對應的檔案系統
高互動代表著跟一個正常的 SSH 服務一致 有檔案系統、(受限制的) 指令操作等
但是高互動也代表著讓攻擊者擁有相當能力做更多的事情
而高互動蜜罐到了極致 則是一個完整的系統 (但沒有有用的資料、跟實際系統隔離)
當攻擊者成功入侵之後 很有機會再拿來做惡意用途
一個低互動的蜜罐 容易遭到入侵者的懷疑而停止攻擊
高互動的蜜罐則需要思考如何完整紀錄整個攻擊手法
當入侵者進入到系統之後 則代表著擁有足夠的權限操作系統 (低權限的情況 攻擊者會試圖提權)
這也代表著入侵者完全可以抹除入侵的紀錄 [1]
在資安領域中 數位鑑識 (Forensics)[2] 跟匿蹤是相對的技術
在高互動的蜜罐就需要思考 如何保留數位足跡與數位指紋
[0]: https://zh.wikipedia.org/wiki/蜜罐_(電腦科學)
[1]: https://www.hackingloops.com/how-to-remove-traces-make-your-computer-untraceable/
[2]: https://zh.wikipedia.org/wiki/數位鑑識