الهوني بوت قدر العسل في أمن المعلومات
ماهو الهوني بوت - قدر العسل
هوني بوت ( Honeypot) يعني قدر العسل أو مصائد الهكر وهي عبارة عن فخ لتقصي المحاولات غير المصرحة للولوج إلى نظام الكمبيوتر يتم وضعها في عدة أماكن داخل الشبكة لكي تتم معرفة كيف يقوم الهكر أصحاب القبعات السوداء بالتجسس و إستغلال الثغرات في نظم الحاسب.- يتكون الهوني بوت بشكل عام من جهاز حاسوب ومعلومات وموقع شبكة والذي يظهر ليكون جزء من الشبكة ولكن في الواقع هو معزول ومراقب، ويبدو وكأنه يحتوي على معلومات ومصادر ذات قيمة للمتطفل وهو في الواقع مجرد فخ لصيد القراصنة والمتطفلين.
- تكون الهوني بوت في العادة عبارة عن أجهزهة وهمية مصممة لمحاكاة أجهزة حقيقية فيما يكون دورها هو إفتعال أو خلق مظهر تشغيل خدمات كاملة و تطبيقات، مع المنافذ المفتوحة التي يمكن العثور عليها في أي نظام أو سرفر في الشبكة.
وهنالك نوعين من Honeypot :
low-interaction honeypots : هذا النوع من Honeypot عند وقوع المخترق بفخ Honeypot يجد نفسه داخل جهاز أو شبكة قام بإختراقها ولكنه ليس بكامل حريته أي لا يوجد لديه كافة الصلاحيات للتحكم بكافة النظام الذي إخترقه وهنا يمكن للمخترق الذي يمتلك خبرة كبيرة بهذا المجال وعلى علم بالفخ أن يكشف المصيدة ويعرف بأنه وقع في فخ HoneypotHigh-Interaction Honeypots : هذا النوع من Honeypot ليس كسابقه فأنت تصرح للمخترق بكافة التصاريح حيث تعطيه كافة الصلاحيات وكافة البيانات الحساسة كطعم وهذه الطريقة لايمكن إكتشافها إلى قليلا جدا من قبل المخترق ولكن تبقى خطورتها الاولى والأخيرة وهي عندما تتم عملية الإختراق لايمكن أن تجعلها فقط على الجهاز الوهمي بحيث يمكن للمخترق أن يقوم بإختراق كافة الأجهزة المتصلة مع الشبكة وبذلك ستقع أنت بالفخ وتطبق عليك مقولة من حفر حفرة لأخيه وقع بها .
كيف يمكن كشف مصائد الهكر Honeypots
طبعا ليس من السهل الكشف عنهم الا ان كان الشخص ذو خبرة في الاختراق, لان في االاختراقات السابقة يعرف الهكر الصلاحيات التي يعطيها له السيرفر عند اختراقه بثغرة معينة, أما في حالة المصيدة سيجد صلاحياته قليلة ويصبح مقيد هنا يجب ان ينتبه.طبعا موقع شودان الشهير يقدم خدمة مجانية للكشف عن هذه المصائد
ادخل على الموقع واكتب السيرفر المراد اختراقه
ان ظهرت لك كتابة خضراء فمعناه ان النظام حقيقي ولا توجد مصيدة
أما ان ظهرت باللون الأصفر فهناك مصيدة وجب عليك الحذر باخفاءء أثرك.
توجد أداة موجودة في موقع Github تحمل اسم ReconDog تقوم بجمع المعلومات واكتشاف الهوني بوت
- عند فحص سيرفر او شبكة بواسطة nmap ستجد الكثير من البورتات المفتوحة ولا يعقل من شركة في وقتنا الحالي تترك بورتات مفتوحة للكثير من خدماتها فهذا الامر من البديهيات بالامن المعلوماتي
- من المحتمل أن تكون المواقع التي تبدو سهلة الاختراق هي فخاخ.
- ابحث عن الخدمات والمنافذ غير العادية مفتوحة. إذا كان لديها الكثير من الخدمات والمنافذ غير المعتادة مفتوحة ، فهي تهدف إلى جذب المهاجمين وربما يكون مصيدة.
- إذا كان التثبيت افتراضيًا ، فقد يكون مصيدة honeypot.
- إذا كان هناك نشاط قليل أو معدوم ، فقد يكون مصيدة.
- إذا كنت ترى مجلدات تحتوي على أسماء مثل "أرقام الضمان الاجتماعي" أو "أرقام بطاقات الائتمان" ، فقد يكون مصيدة.
- إذا كنت ترى القليل من البرامج المثبتة ، فقد يكون مصيدة.
- إذا كان هناك الكثير من المساحة الحرة على القرص الصلب ، فقد يكون مصيدة honeypot.