2017.W37 - Honeypot (蜜罐) - 資安

2017.W37 - Honeypot (蜜罐)
> 人生好難 連颱風都來個大曲球

## 前言 ##
接下來幾篇文章 應該都會介紹如何 '防禦' 駭客入侵

防禦的意思不是完美的阻擋駭客入侵 而是任何有效的避免下一次入侵的方法



## 內容 ##
Honeypot (蜜罐) [0] 在資訊安全中算是一個有趣的分類

他的目的不在於避免、阻擋駭客入侵 而是捕捉駭客入侵的一種手段

捕捉入侵的意思包含著：

1- 前期攻擊的偵測行為
2- 實際攻擊的手法
3- 攻擊者資訊


為了有效捕捉 通常蜜罐會被設計成具有漏洞、高度價值的系統

像是低安全性的密碼、具有漏洞版本的軟體、網域或郵件伺服器等




就特性來分類 蜜罐可以分成：低互動 (Low-Interaction) 跟高互動 (High-Interaction) 兩種

兩種分別代表系統本身跟真實系統的相似程度

以一個 SSH Honeypot 為例

低互動代表著可以做 SSH Handshack 但無法真正登入、底層沒有相對應的檔案系統

高互動代表著跟一個正常的 SSH 服務一致 有檔案系統、(受限制的) 指令操作等

但是高互動也代表著讓攻擊者擁有相當能力做更多的事情

而高互動蜜罐到了極致 則是一個完整的系統 (但沒有有用的資料、跟實際系統隔離)

當攻擊者成功入侵之後 很有機會再拿來做惡意用途




一個低互動的蜜罐 容易遭到入侵者的懷疑而停止攻擊

高互動的蜜罐則需要思考如何完整紀錄整個攻擊手法

當入侵者進入到系統之後 則代表著擁有足夠的權限操作系統 (低權限的情況 攻擊者會試圖提權)

這也代表著入侵者完全可以抹除入侵的紀錄 [1]

在資安領域中 數位鑑識 (Forensics)[2] 跟匿蹤是相對的技術

在高互動的蜜罐就需要思考 如何保留數位足跡與數位指紋

[0]: https://zh.wikipedia.org/wiki/蜜罐_(電腦科學)
[1]: https://www.hackingloops.com/how-to-remove-traces-make-your-computer-untraceable/
[2]: https://zh.wikipedia.org/wiki/數位鑑識

--