Honeypot, bir sunucuyu veya tüm alt ağı simüle etmek için kurulmuş tek bir güvenlik uygulamasıdır. Türkçeye çevirdiğimzide bal küpü manasına gelir. Honeypot fikri bir bilgisayar korsanı ağın güvenliğini ihlal ettiğinde, gerçek sistemden ziyade sanal olarak oluşturulan tuzak sistemlere giriş yapmasını sağlar. Kullanılan yazılım, o sistemde gerçekleşen her şeyi yakından izleyebilir ve saldırganın izlenmesini ve belki de tanımlanmasını sağlayabilir. Fikrin temelinde sisteme sızmaya çalışan bir korsana yem atmak ve özel olarak hazırlanmış olan sanal bir ağı / bir bilgisayarı ele geçirmesi vardır. Bu sayede siber saldırgan hakkında bilgi toplanabilir ve kullanmış olduğu tekniklerden, kimliğine kadar birçok istihbarat da sağlanabilir.
Honeypot sistemlerinin altında yatan dayanak noktası, honeypot makinesine gelen herhangi bir trafiğin şüpheli olarak değerlendirmektir. Bal küpü adını verdiğimiz bu sistemler gerçek bir makine olmadığından, hiçbir meşru kullanıcının ona bağlanmak için bir nedeni yoktur. Yalnızca siber saldırı ile (zafiyetler ve benzeri) giriş yapılabilir. Bu nedenle, bu makineye bağlanmaya çalışan herkes olası bir davetsiz misafir olarak kabul edilir. Honeypot sistemi, siber saldırganın nereden bağlandığını takip etmek için yeterince uzun süre bağlı kalmasını sağlayacak tuzaklar da içerir.
Spectre Honeypot
Spectre bir yazılımsal honeypot çözümüdür. Ürün bilgilerine specter internet sitesinden ulaşılabilir. Spectre yazılımı HTTP, FTP, POP3, SMTP ve diğerleri gibi büyük İnternet protokollerini / hizmetlerini taklit edebilme yeteneğine sahiptir. Böylece tam olarak çalışan bir sunucu gibi davranabilir. Yazılım, Windows 2000 veya XP’de çalışacak şekilde tasarlanmıştır. Elbette ki Windows üzerinde çalışırken AIX, Solaris, UNIX, Linux, Mac ve Mac OS X‘i simüle edebilir.
Spectre, ağ sunucuları için ortak olan bir dizi hizmeti çalıştırarak çalışır. Aslında, birden fazla işletim sistemini simüle etmenin yanı sıra, aşağıdaki hizmetleri de simüle etme yetenekleri vardır.
- SMTP
- FTP
- TELNET
- PARMAK
- POP3
- IMAP4
- HTTP
- SSH
- DNS
- SUN-RPC
Spectre bu sunucuları çalıştırıyor gibi görünse de, aslında gelen tüm trafiği izlemektedir. Ağınız için gerçek bir sunucu olmadığından dolayı, hiçbir meşru kullanıcı ona bağlanmamalıdır. Spectre analiz için sunucuya giden tüm trafiği günlüğe kaydeder. Kullanıcılar beş moddan birinde ayarlayabilir.
- Açık Mod: Bu modda, sistem güvenlik açısından kötü yapılandırılmış bir sunucu gibi davranır. Bu modun dezavantajı, amatör korsanları çekme ve yakalama yeteneği sağlar.
- Güvenli Mod: Bu mod, sistemin güvenli bir sunucu gibi davranmasını sağlar. Açık moda göre anlaşılması biraz daha zordur.
- Başarısız Mod: Bu mod, sistemin çeşitli donanım ve yazılım sorunları olan bir sunucu gibi davranmasını sağlar. Bazı bilgisayar korsanlarının ilgisini çekebilir çünkü böyle bir sistemin savunmasız olması muhtemeldir.
- Garip Mod: Bu modda, sistem tahmin edilemez şekilde davranır. Bu tür davranışların daha yetenekli bir hacker’ın dikkatini çekmesi ve belki de neler olup bittiğini anlamaya çalışırken daha uzun süre çevrimiçi kalmasına neden olur. Bilgisayar korsanı ne kadar uzun süre bağlı kalırsa onu izleme şansı da o kadar artar.
- Agresif Mod: Bu mod, sistemin davetsiz misafirleri aktif olarak izlemeye ve kimliğini elde etmeyi sağlar. En çok davetsiz misafirleri yakalamak için kullanışlıdır.
Tüm modlarda Spectre, gelen paketlerden türetebileceği tüm bilgiler dahil olmak üzere etkinliği günlüğe kaydeder. Ayrıca saldırganın makinesinde izler bırakmaya çalışır ve bu da herhangi bir adli analiz işlemi için açık kanıt sağlar. Kullanıcılar için tüm modlarda sahte bir şifre dosyası yapılandırlabilir. Bunlar özellikle kullanışlıdır, çünkü çoğu bilgisayar korsanı şifreleri kırmak için bir şifre dosyasına erişmeye çalışır. Başarılı olursa, meşru bir kullanıcı olarak oturum açabilirler.
- Kolay Mod: Bu modda parolaların kırılması kolaydır ve saldırganın gerçekten meşru parolalar ve kullanıcı adları bulduğuna inanmasını sağlar. Meşru bir oturum açma işlemine sahip bir bilgisayar korsanı, izlerini kapatırken daha az dikkatli olur. Oturum açmanın sahte olduğunu ve sistemin izlemek üzere ayarlandığını biliyorsanız, izleri bilgisayar korsanına kadar takip edebilirsiniz.
- Normal Mod: Bu mod, kolay moddan biraz daha zor parolalara sahiptir. Bu parolalarla saldırganın izlemesini kolaylaştırılır.
- Zor Mod: Bu modda kırılması daha zor şifreler kullanılır. Orta ve zor olarak adlandırılan şifreleri sunar. Amaç korsanların şifreleri kırmak için sistemde daha fazla izlenebilmesidir.
- Eğlence Mod: Bu mod, ünlü adları kullanıcı adı olarak kullanır. Bu sayede ilgi çekilmesini sağlar.
- Uyarı Mod: Bu modda bilgisayar korsanı, şifre dosyasını kırabildiğini tespit ettiğini bildiren bir uyarı alır. Bu modun arkasındaki teori, çoğu bilgisayar korsanının bir sistemi kırıp / kıramayacaklarını ve belirli bir hedefleri olup olmadığını görmeyi sağlar. Bu tür bir hackera tespit edildiğini bildirmek genellikle korkutmak için yeterlidir.
Symantec Decoy Sunucusu
Symantec, hem antivirüs yazılımı hem de güvenlik duvarı çözümleri ile karşımıza gelmiş popüler bir güvenlik firmasıdır. Bu kadar önemli bir satıcı olduğu için, aynı zamanda bir Honeypot çözümü de sunmaktadır. İlk Symantec Honeypot ürünü Decoy Server‘dı. Gelen ve giden e-posta trafiği gibi birçok sunucu işlevini simüle ederek gerçek bir sunucuyu taklit ederdi.
Decoy Server Honeypot olarak çalıştığı için, saldırı işaretlerini takip eden bir IDS olarak da çalışır. Bir saldırı tespit edilirse, söz konusu saldırı ile ilgili tüm trafik, daha sonra ortaya çıkabilecek soruşturma, ceza veya benzeri prosedürlerde kullanılmak üzere kaydedilir.
Decoy Server, Symantec’in virüsten koruma yazılımı, güvenlik duvarı yazılımı ve casus yazılım önleme yazılımının kurumsal sürümleri de dahil olmak üzere, birlikte çalışan bir dizi kurumsal güvenlik çözümünün parçası olacak şekilde tasarlanmıştır.