Domanda:
Quali sono gli aspetti negativi della creazione di false impronte di sicurezza?
Simply G.
2016-05-09 10:18:34 UTC
view on stackexchange narkive permalink

La mia idea di ridurre il rischio di essere hackerati sui prodotti e sull'installazione è stata spesso quella di creare false impronte.

In base alla mia esperienza, i server che ho speso la maggior parte del tempo (e odio) sull'hacking sono stati quelli che hanno affermato di essere qualcosa che non sono.

Ad esempio falsificare servizi su alcune porte che imitano un server Windows 2008, mentre in realtà il server è di un tipo completamente diverso.

Dato, ovviamente, che si adottano tutti i normali approcci al sistema sicurezza, prima il tradizionale con revisioni del codice, rafforzamento del sistema, ecc., quindi test di sicurezza offensivi con tester di penetrazione.

Quali sono gli svantaggi?

Apprezzo in particolare i link ad articoli e fonti sull'argomento.

Mi sto illudendo che questo abbia qualche effetto? So personalmente che sono innescato dal primo segno di un sistema specifico e perderei tempo. Molto probabilmente aumentando (A) la possibilità di arrendermi e provare un altro approccio (o un altro server / servizio / obiettivo) e (B) la possibilità di essere scoperto e rintracciare il bersaglio attaccato.

Nota che aumenti il rischio che qualche script kiddie sia infastidito da te e scateni tutta la sua potenza sui tuoi servizi ... ^^
Considerando quanti script kiddies provano tutti i tipi di vulnerabilità del software web su server in cui quel software non è nemmeno installato, pensi che qualcosa del genere ridurrebbe il numero di attacchi a cui sono vulnerabili i tuoi sistemi reali?
@MichaelKjörling Sì, penso di sì.È mia supposizione che molti aggressori utilizzino la stessa cassetta degli attrezzi approssimativa che ho io e abbiano un approccio simile decente come la prima ondata di tentativi.Impronta -> Scansione -> Identifica -> Esegui vulnerabilità / exploit standard sui servizi identificati ecc. Che corrispondono.La creazione di attacchi personalizzati e fuzzing per creare i propri payload è una brutta attività che richiede tempo e che solo raramente dà risultati (a meno che non immagino che tu sia davvero, davvero bravo a farlo).
@PlasmaHH Devi sempre prendere in considerazione le persone che semplicemente hanno troppo tempo a disposizione.Sono principalmente preoccupato dai criminali professionisti che (di nuovo un'ipotesi) peseranno il tempo investito rispetto al potenziale risultato / giorno di paga.
@SimplyG .: I professionisti impiegheranno da pochi secondi a minuti per determinare quali servizi sono falsi e quali no.
@PlasmaHH - Un giorno mi piacerebbe metterlo alla prova.Ad esempio, pubblica un cartellino del prezzo su alcuni forum e guarda quanti pensano che sia un Windows Server 2008 con IIS 6.0.Come accennato, è difficile convincere la gente a pagare per la sicurezza, soprattutto questo tipo di misure.
@SimplyG .: Non è tanto una questione di quanti pensano che sia, riguarda le persone giuste che pensano che sia.Scrivo da un po 'di software per il rilevamento delle impronte digitali dei servizi e più un servizio è complesso, più è probabile che tu possa trovare una piccola differenza, che poi può essere automatizzata.
Oscurità == Direzione errata intenzionale
@Zymus "Sicurezza attraverso l'oscurità" si riferisce tipicamente all'assunzione che una certa conoscenza segreta del funzionamento interno del tuo sistema (cioè qualcosa sugli algoritmi o sulla configurazione stessa, non una password / chiave / ecc.) Ti protegga in virtù del fatto di essere sconosciuto dail tuo aggressore.In realtà, tali "segreti" possono spesso essere individuati dai dati che l'attaccante può ottenere.Questo è un po 'diverso, in quanto non ti aspetti che l'aggressore rimanga indefinitamente consapevole del depistaggio, ma piuttosto che ti aspetti che occupi il loro tempo e riduca la quantità di tempo che devono spendere su vettori di attacco reali.
Punti ben fatti, ripresi e montaggio fatto.
Due risposte:
#1
+25
user15392
2016-05-09 10:30:06 UTC
view on stackexchange narkive permalink

È un lotto di lavoro. Non solo, ma è un sacco di lavoro che i tuoi utenti (legittimi) non vedranno né beneficeranno mai. La maggior parte delle persone sarebbe disposta a rinunciare al nebuloso rischio di scoraggiare un piccolo sottoinsieme di hacker (renditi conto che gli hacker APT, in particolare, non sarebbero dissuasi e potrebbero persino trovare un modo in più nel tuo sistema se fai qualcosa di sbagliato nella configurazione del tuo servizi falsi) in cambio dello sviluppo di funzionalità reali che attireranno clienti reali (paganti).

Se ti sei convinto di essere un vero obiettivo, certo, imposta alcuni honeypot (almeno allora tu può investire nel misurare quanti tentativi sono stati fatti sui tuoi "server di misdirection"). La sicurezza è già costosa e stai parlando di aggiungere un costo aggiuntivo, quindi assicurati che ne valga la pena.

Solo un punto in più, aggiungere quella complessità in più indebolirebbe invece il sistema generale aumentando la possibilità di exploit e bug, buona risposta.
#2
+24
Trey Blalock
2016-05-09 11:03:08 UTC
view on stackexchange narkive permalink

Nota: mi piacciono molto gli honeypot, ma per rispondere alla tua domanda alcuni aspetti negativi includono:

Non stai riducendo il tuo carico di lavoro.

Stai aumentando la quantità di segnali che hai da elaborare.

Stai aumentando i costi operativi.

Stai prendendo tempo da altre attività di sicurezza che potrebbero altrimenti aiutare a proteggere i dati effettivi dei servizi &.

Potresti aumentare i rischi per te stesso e per gli altri dando ai cattivi attori un'altra macchina da cui lanciare attacchi, anche se non sono diretti a te stesso.

Stai aumentando l'asimmetria del lavoro contro te stesso ea favore dell'attaccante nel tentativo di aumentare "si spera" il lavoro degli attaccanti in un momento futuro. Questo può o non può mai ripagare.

Ancora una volta, queste sono solo alcune potenziali risposte alla tua domanda. Penso che ci sia un momento appropriato per un programma di sicurezza maturo per fare questo, ma tutti gli altri compiti più importanti dovrebbero essere messi in atto prima. Troppo spesso vedo le persone concentrarsi su ciò che è sexy piuttosto che su ciò che è necessario, quindi questa sarebbe la mia più grande preoccupazione quando dare la priorità a questo. Questi possono essere molto utili se implementati con saggezza -e- puoi farlo in modo che sia conveniente.

Grazie, devo aggiungere che non sto parlando di un tradizionale vaso di miele.Questo fa apparire il sistema / installazione standard come qualcos'altro, non configurare un sistema separato che sembra interessante per attirare potenziali aggressori?
Oh, e ancora una cosa: potresti anche sprecare il tempo del pentester se non gli dici della falsa configurazione - che potrebbe costarti solo denaro e non ti aiuta a scoprire * reali * vulnerabilità.
Attiri traffico anche dalle persone che prendi in giro.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...