За эти годы я выстроил десятки систем ханипотов, но одна из моих любимых историй – это когда я разрабатывал их для подрядчика из министерства обороны. Он был обеспокоен внешним взломом, но наши ханипоты быстро обнаружили несанкционированную инсайдерскую атаку.
Мы отследили ее и пришли к сотруднице отдела заработной платы из России. Мы уже установили камеры в отделе, чтобы наблюдать за ее действиями. Она вставила несанкционированную беспроводную карту в свой компьютер, чтобы «соединить» две изолированные сети, и передавала большие объемы личных данных другому внешнему партнеру. После двух дней наблюдения и определения ее намерений (она определенно собирала данные для сверхсекретных проектов), мы со службой безопасности вошли в комнату, чтобы противостоять ей. Она сразу расплакалась и так талантливо играла свою роль невинной жертвы, что, если бы мы не следили за ней несколько дней, я бы ей поверил. Она была хакером, но сотрудники ее отдела думали, что она настолько не разбирается в компьютерах, что отправили на курсы, чтобы она научилась лучше печатать.
Она была лишь одним из многих российских сотрудников, нанятых по временному контракту. В конце концов выяснилось, что все они были шпионами.
Проект Honeynet Project (http://www.honeynet.org) – это лучший источник для изучения ханипотов. Honeywall CD-ROM (http://www.honeynet.org/project/HoneywallCDROM) – отличное бесплатное ПО с ханипотами для пользователей, которые не боятся конфигурации Linux.
Honeyd (http://www.honeyd.org) – гибкий бесплатный ханипот с открытым исходным кодом, но он требует твердых знаний Linux и сетевых навыков для установки и работы. Она выполняет отличную широкую эмуляцию более чем ста операционных систем и может быть легко связана с другими продуктами и скриптами. С другой стороны, она не обновлялась годами. Я думаю, что это хороший вариант для тех, кто хочет увидеть все, что только можно.
Мой любимый ханипот – Kfsensor (www.keyfocus.net). Это коммерческий продукт, который работает только на компьютерах с Windows, и он постоянно обновляется и улучшается. У Kfsensor есть свои недостатки, но у него также много различных функций и он довольно прост в настройке. У него есть сотни опций и настроек, а также он позволяет регистрировать и предупреждать различные базы данных и журналы. Доступны бесплатные пробные версии.
В мире существует множество (более ста) ханипотов. Каждый год в Интернете появляется несколько новых. Если вы заинтересованы в ханипотах, то опробуйте некоторые из них. Нет никаких сомнений в том, что каждый человек, заинтересованный в скорейшем предупреждении о возможно успешном хакере или проникновении вредоносных программ, должен запустить ханипот.
Глава 20 посвящена профилю Лэнса Спицнера, который, вероятно, сделал больше для исследования ханипотов, чем кто-либо другой.
Ничто не расстраивает меня больше, чем то, когда сотрудник безопасности говорит мне: «Вы не можете исправить глупость», – Лэнс Спицнер
В конце 1980-х я прочитал книгу Клиффорда Столла под названием The Cuckoo’s Egg. Это история о том, как ошибка в 0,75 доллара привела американского астронома к раскрытию международной шпионской группировки. Главным инструментом Столла в расследовании был ханипот. Эта книга действительно пробудила мой интерес к информационной безопасности и борьбе с хакерами.
Прошло десять лет, прежде чем я встретился с другим великим человеком, Лэнсом Спицнером. Сегодня большинство людей считают его отцом современных компьютерных ханипотов. Он написал и опубликовал так много информации о них в начале 2000-х годов, включая книгу Honeypots: Tracking Hackers (https://www.amazon.com/Honeypots-TrackingHackers-Lance-Spitzner/dp/0321108957), что даже сегодня, спустя десятилетие, никто не написал больше, чем он. Благодаря свежему взгляду Спицнера на ханипоты я тоже заинтересовался ими и даже написал книгу на эту тему (https://www.amazon.com/Honeypots-Windows-Books-Professionals/dp/1590593359).
Спицнер заставил людей по-другому взглянуть на ханипоты, способствуя тем самым развитию киберразведки. Его основной интерес состоял в том, чтобы узнать, как и почему хакеры компрометировали организации; он называл это «Знай своего врага». Он также создал определения для описания различных стилей и классов ханипотов и помог выяснить, что в них работало, а что нет, фактически вывернув их наизнанку.
Также Спицнер – хороший пример того, как человек, не будучи компьютерным специалистом, смог сделать хорошую карьеру в области ИБ. В колледже Лэнс изучал историю. Затем он присоединился к Корпусу подготовки офицеров запаса, чтобы заплатить за свое обучение, и после окончания стал танкистом в армии, где прослужил четыре года.
Спицнер глубоко убежден, что для создания карьеры в области ИБ не обязательно быть компьютерным специалистом. Он сказал: «Вам не обязательно с самого начала изучать компьютеры, чтобы построить успешную карьеру в ИБ. 20–30 лет назад было легче, потому что не было стандартного карьерного пути, как сейчас. Теперь я обеспокоен тем, что поле информационной безопасности переполнено завышенными требованиями. Нам нужно больше специалистов с «гибкими навыками», а не только людей, которые понимают биты и байты. Многие из самых больших проблем безопасности нельзя решить исключительно техническим способом».
Должен быть кто-то и из танкистов в информационной безопасности, потому что я знаю многих из них, кто отлично справляется со своей работой. Я спросил об этом Спицнера. «В армии вас постоянно учат узнавать своего врага. Я учился не только управлению танком, но и действию танков противника, и тому, как они будут атаковать нашу технику. Я был удивлен, что в мире ИБ люди так мало знали о своих врагах. Тогда, в конце 90-х, никто не заботился об информационной безопасности».
Я попросил его рассказать, как он попал в сферу ИБ. Лэнс ответил: «Когда я учился на программе МВА в аспирантуре после армии, меня буквально засосало в этот мир. Я начал стажироваться в консалтинговой компании Unix. Нам прислали несколько брандмауэров, и, так как я был новичком, их свалили на меня. Мне понравилось. Я узнал о брандмауэрах, изучил их и научился останавливать злоумышленников. Было здорово. После этого я четыре года работал в отделе безопасности Sun Microsystems, защищая клиентов по всему миру».
Я спросил его, как он перешел с брандмауэров на ханипоты. Лэнс ответил: «Я прочитал три труда о ханипотах. Во-первых, статью доктора Фреда Коэна, который считается отцом защиты от компьютерных вирусов (https://en.wikipedia.org/wiki/Fred_Cohen). Во-вторых, книгу The Cuckoo’s Egg Клиффорда Столла. И в-третьих, доклад Билла Чесвика [An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied (http://www.cheswick.com/ches/papers/berferd.pdf)]. Билл Чесвик [речь о котором шла в главе 18] был одним из первых компьютерных ученых, специализировавшихся на брандмауэрах, и также одним из первых стал использовать ханипоты. Клиффорд Столл начал опыты с ханипотами в 1986 году. Билл Чесвик – в 1991-м. Долгое время эти два источника были всем, что большинство из нас знало о ханипотах.
Долгое время не было качественных ханипотов. Я не владел достаточно хорошими навыками программирования, поэтому не мог их создавать. Тогда я решил использовать их на реальных компьютерах. Я просто поставил брандмауэр, в котором хорошо разбирался, перед реальными системами. А все остальное взял из уроков, которые извлек из этого опыта».
Самая продуктивная работа Спицнера над ханипотами проводилась, когда он работал полный день над проектом Honeynet (2004–2009 гг.) (http://www.honeynet.org). Проект спонсировался Национальным разведывательным советом США (https://www.dni.gov/index.php/about/organization/national-intelligence-council-who-we-are) и был создан в 1979 году в качестве центра стратегического анализа. Он сформировал команду из лучших умов академических кругов, правительства и частных хакеров. Совет уже давно предоставляет экспертные услуги и сотрудничает по вопросам разведки, а также возглавляет ряд важных проектов.
Все, кто интересовался ханипотами, знают, что большинство самой последней и актуальной информации и инструментов было размещено на сайте Национального разведывательного совета и до сих пор там находится. Совет работает и по сей день. Кроме того, можно заглянуть на веб-сайт проекта Honeynet. Именно во время работы над этим проектом Спицнер написал бо́льшую часть своих трудов о ханипотах и помог всем, кто ими интересовался (включая меня).
К сожалению, Спицнер в конце концов покинул Honeynet и больше не занимается ханипотами. Я спросил его, почему так произошло, и он ответил: «Благодаря работе над проектом я очень хорошо узнал врага. Поскольку мы стали настолько эффективно использовать одни технологии для защиты других, я видел, как кибератакующие быстро адаптируются и нацеливаются на человеческий фактор. Сегодня хакеры часто используют социальную инженерию. Когда вы в последний раз видели большого червя, вроде Conficker [Conficker был очень популярен в 2009 году]? Есть причина, по которой мы больше их не встречаем. Технология по умолчанию стала намного лучше, и теперь атакующие преследуют самое слабое звено – человека. Я заметил эту тенденцию и сформировал собственную компанию по вопросам безопасности. Институт SANS (http://www.sans.org) в конце концов приобрел ее в 2010 году, и теперь она известна как SANS Securing the Human (https://securingthehuman.sans.org/). У нас более 1000 клиентов, которым мы помогаем создавать эффективные программы повышения осведомленности о состоянии безопасности. Теперь я работаю с ними, а также веду курсы и посещаю конференции».
В заключение я спросил Спицнера о том, что его больше всего беспокоит в сфере ИБ сегодня. Он ответил: «Это связано с человеческой составляющей. По-прежнему слишком много внимания уделяется технологии и отсутствует внимание к человеку. Вот почему я работаю над этим. Я люблю то, чем занимаюсь, и верю в это. Плохие парни стали настолько хороши в своем деле, что стало нечего обнаруживать: нет зараженного вложения, вредоносных программ, руткита. Они просто идентифицируют цель с кредитной задолженностью с помощью фишингового электронного письма или поддельного счета и таким образом взламывают жертву. Затем они используют законные средства, такие как PowerShell, чтобы перемещаться по сети и делать плохие вещи. Антивирус и другие технологии не собираются его обнаруживать. По иронии судьбы, безопасность человека часто ставится под угрозу из-за других специалистов по ИБ. Многие из них по-прежнему считают, что вопрос безопасности можно решить только с помощью битов и байтов. Ничто не расстраивает меня больше, чем когда сотрудник безопасности говорит: “Вы не можете исправить глупость”, что означает “Вы не можете исправить человека”. В результате мало что делается для его защиты, и все же мы обвиняем людей в том, что они – самое слабое звено. Это просто глупо».