Чтобы как можно лучше изучить сообщество взломщиков, наши honeypot представляют собой установленные с параметрами по умолчанию используемые системы. Мы ничего не делали для того, чтобы защитить их, но мы ничего не делали и для того, чтобы снизить степень защищенности. Наша цель заключалась в использовании систем, которые легко можно найти в Internet. Многие специалисты полагают, что их системы защищены от рисков, и мало что делают, чтобы их защитить. Мы надеялись доказать именно этим ребятам, что они не правы. Рассказав о технических приемах, тактике и мотивах сообщества взломщиков, мы надеялись не только научить и научиться, но и усилить бдительность. Многие организации также считают, что у них нет ничего особенно ценного, ради чего их системы можно взломать. Как вы вскоре узнаете, именно такие организации становятся целью многих взломщиков.
В качестве honeypot были использованы операционные системы Red Hat Linux, Windows 98, Windows NT server и Solaris server с установками по умолчанию. Мы устанавливали эти системы, выбирая параметры по умолчанию и сводя к минимуму настройку от пользователя, и ничего не делали для того, чтобы защитить их. Многие из тех, кто занимается обеспечением безопасности, сочтут эти системы незащищенными и будут правы. Большинство настроек операционной системы по умолчанию очень ненадежны, особенно если не предпринимается никаких мер для их усиления. К несчастью, огромное количество систем, подключенных к Internet, имеют установки по умолчанию. Многие организации не предпринимают никаких мер для защиты своих систем, полагая, что они защищены, или не осознавая, какому риску они подвергаются. Именно этим организациям старался подражать Honeynet Project. Полученные знания также пригодятся и тем организациям, которые защищают свои системы. Как вы скоро узнаете, независимо от того, кто вы и где находитесь, взломщики вас найдут. Требуется всего лишь одна ошибка или неизвестное уязвимое место, и система организации будет взломана.
Некоторые люди спрашивали, не является ли такая техника провокацией. Системы, намеренно созданные для взлома, можно рассматривать как попытку спровоцировать взломщиков на преступление. Однако мы глубоко уверены, что Honeynet не является какой-то формой провокации по следующим причинам:
• задача Honeynet состоит не в том, чтобы поймать «плохих парней»,
а в том, чтобы научиться у них. Действия в пределах Honeynet запи
сываются и анализируются, но не используются для возбуждения уго
ловных дел. В определенных случаях судебные органы извещались
о наших находках. Однако эта информация не используется для воз
буждения дел против конкретных лиц;
• системы в Honeynet не отличаются от многих других производственных
сред. Единственное отличие заключается в том, что входящие и исходя
щие из Honeynet данные изучаются более пристально. Если рассматри
вать Honeynet как вид провокации, тогда под это определение попадают
и многие производственные сети, находящиеся в Internet;
• участники проекта Honeynet ничего не делают для того, чтобы при
влечь внимание взломщиков к своим машинам. Мы не рекламируем
их существование и не заманиваем людей, чтобы они получили к ним
доступ. Взломщики активно находят и нападают на эти системы по
собственной инициативе. Вы будете поражены тем, насколько агрес
сивными могут быть хакеры.
У Honeynet также есть свои ограничения. Это прежде всего инструмент изучения, который используется для исследования и сбора данных. Honeynet - это не общее решение всех проблем обеспечения безопасности. Мы, команда Honeynet Project, настоятельно рекомендуем, чтобы сначала вы занялись защитой существующей среды, используя лучшие способы обеспечения безопасности, такие как применение патчей, удаление ненужных сервисов и просмотр системного журнала (system log). Именно эти повседневные, приземленные, но необычайно важные процедуры являются жизненно необходимой частью обеспечения безопасности организации. После того как наши требования будут выполнены и станут частью ежедневной практики, накопленный опыт использования Honeynet поможет увеличить эффективность вашей защиты. Тем временем мы надеемся продолжать свое исследование и делиться полученной информацией.
