Социотехника


Запись и локализация данных - наиболее важные элементы работы с Honeynet. Если они правильно выполняются, Honeynet обеспечит вас обширной информацией. Однако можно собрать еще и дополнительные сведения. Проблема текущей установки Honeynet заключается в том, что ее системы инсталлированы с параметрами по умолчанию. Эти системы определенно привлекут внимание взломщиков, но извлеченные уроки могут быть незначительными. Вероятно, вы захотите спроектировать в Honeynet среду, повторяющую систему вашей организации. Это создаст более реалистичное окружение, которое, как говорит Макс Килгер (Max Kilger), наш штатный психолог, «поддерживает привлекательность Honeynet». На этом относительно новом поле деятельности Honeynet Project мы уже достигли определенных успехов. Перечислим действия, с помощью которых можно создать более активную и реалистичную Honeynet:
• добавьте в систему учетные записи пользователей, может быть, даже реальные записи вашей организации. Подпишите этих пользователей на почтовые рассылки, чтобы они казались активными;
• создайте для пользователей входящие и исходящие сообщения электронной почты. Обычно взломщики просматривают e-mail, чтобы найти пароли или конфиденциальную Информацию;
• создайте документы и оставьте их в каталогах пользователей. У нас были случаи, когда взломщики читали и изменяли такие документы;
• выполните какие-нибудь команды так, чтобы они были записаны в файле .history. Это создаст впечатление, что система активна и ею пользуются;
• установите соединения с системами Honeynet при помощи таких утилит, как TELNET или FTP. Взломщики часто пытаются проследить этот трафик и узнать регистрационные имена/пароли. У нас был один случай, когда взломщик оставил sniffer, отследил внутреннее соединение в Honeynet и воспользовался им для установления соединения с другими системами Honeynet;
• создайте регистрационные заголовки, сообщающие, что в сети есть проблемы с соединениями. Взломщики станут менее подозрительными, если у них появятся проблемы при соединении с Internet;
• настройте Web-сайт, сообщающий о том, что сеть находится в разработке и несколько недель не выйдет в онлайновый режим. Это поможет объяснить взломщикам, почему они не видят активную сетевую деятельность;
• если у вас есть две Honeynet, установите соединение от одной Honeynet к другой. Когда эти данные будут захвачены, нарушитель может подумать, что была взломана новая сеть.
Возможности социотехники ограничены только вашим воображением.