Кто владеет информацией — тот владеет миром.
Ротшильд
Пока другие только пытаются понять законы рынка, используй их!
Терморектальный криптоанализTM
| |
Запись данных
Запись данных - это фиксация всех действий, происходящих в пределах Honeynet, в том числе на уровне системы и сети. Запомните, что в этом и заключается цель Honeynet, а именно, в записи и изучении данных. Если мы не сумеем записать данные, потеряет значение весь проект. Что толку обнаружить «элитарный» взлом системы honeypot, если мы потеряем или не сможем зафиксировать информацию? Правильная запись данных крайне важна для успеха всего проекта. Ключом к успеху является большое количество разных способов записи информации: чем больше их, тем лучше. Не нужно зависеть от единственного способа. Слишком многое может выйти из-под контроля, единственный способ записи информации может дать сбой, например, выйдет из строя модуль проверки текущего состояния системы или не хватит места на жестком диске. Один раз у нас взломали honeypot, но система IDS не смогла обнаружить нападение. База данных сигнатур еще не была обновлена во время новой атаки. Однако механизм предупреждения брандмауэра оповестил нас, когда взломщик попытался установить соединение с Internet из взломанной системы. Благодаря запасному способу записи данных мы получили предупреждение о том, что система была взломана, когда IDS не выполнила свою задачу. Кроме того, записывая информацию несколькими способами, вы можете составить на ее основе более полную картину того, какие инструменты и тактику применил взломщик, а также его мотивы. Мы описываем разнообразные методы записи данных и рассказываем о том, как их можно применить в Honeynet.
Сначала нужно хорошо запомнить, что никакие собранные данные не могут храниться в локальных системах Honeynet. Любая собранная информация должна храниться в защищенной, доверенной системе, к которой у взломщика нет доступа. Этот момент очень важен по причине обнаружения и потери данных:
• если вы записали данные, например историю клавиш, использованных взломщиком, и сохранили ее в локальной системе, эта информация может быть обнаружена и потенциально использована для взлома honeypot и разрушения системы. Запомните, хорошая honeypot -та, которая никогда не будет выявлена взломщиком. Если honeypot обнаружена, то эта система и вся Honeynet могут быть взломаны;
• взломщик может изменить или стереть хранящиеся в локальной системе данные. Например, стереть жесткий диск после того, как воспользуется системой. Большая часть, если не все, данных будет потеряна. Если взломщик обнаружит, что данные записываются, он может их уничтожить или, что еще хуже, изменить, предоставив вам ложную информацию.
|