Если бы вы еще совсем недавно спросили профессионала в области обеспечения безопасности о том, кто такие «плохие парни», то, скорее всего, услышали насыщенный техническими подробностями рассказ о разнообразных инструментах взлома и какие-нибудь обширные предположения относительно тактики и мотивов различных нападающих. Наше знакомство с хакерами было ограничено техническими приемами, которые применялись ими, без объяснения того, как эти приемы были использованы, кем конкретно и почему. Те, кто обеспечивает безопасность, могли бы подробно объяснить принцип действия последнего нападения путем переполнения буфера или методы, на которых основаны атаки через Web, но, скорее всего, затруднятся сказать, кто атаковал их системы, почему они были атакованы или что происходит после того, как система оказывается взломанной. Наша осведомленность была ограничена набором используемых приемов взлома и некоторыми теоретическими данными относительно действий врага.
Такое положение дел легко объяснить. Среди тех, кто занимается обеспечением безопасности, большинство - люди с математическим складом мышления. Сама работа требует наличия высокотехничных умений, с помощью которых можно понять, какие технологии используются, а затем внедрить их и разрешить проблемы, связанные с ними. И традиционно именно эту среду мы понимаем лучше всего, нам также проще понять потенциальные угрозы, изложенные с помощью технических терминов. Кроме того, нам приходится учиться на опыте, полученном после взлома систем, на технических приемах взломщика и учитывать тот ущерб, который причинили «плохие парни». Зачастую единственное, что могут установить профессионалы, - место нанесения удара и как это произошло. Иногда взломщики оставляют следы во взломанной системе, но чаще всего они их стирают или запутывают. Кроме того, при условии, что в сети, в системах и их приложениях постоянно что-то происходит, бывает труцно определить, какие действия относятся к нормальном)1 процессу, а какие являются подозрительными или злонамеренными.
В проекте Honeynet мы попытались изменить такое положение. Основная цель проекта - узнать как можно больше о сообществе взломщиков. Мы должны изучить не только их технические приемы, но и тактику, и мотивы действий. Мы хотим понять, какие инструменты используют «плохие парни» и почему они их применяют. Преимущество Honeynet заключается в том, что взломщики обучают нас своим техническим приемам, тактике и мотивам. Все, что мы узнаем, основывается на действиях врага, а не на теории.
