Meepurk (arvutiteadus)

Meepurk (ingl honeypot) on arvutivõrkude turvameede, mis seisneb andme- või võrguressursside loomises ja seadistamises, et ründajaid petta valeandmetega. Seda kasutatakse tihti ründajate käitumise analüüsimiseks ja nende meetodite mõistmiseks. Tavaliselt seatakse meepurk üles nii, et see näeks välja nagu päris arvutisüsteem, kuid tegelikult on see eraldatud turvalises isoleeritud keskkonnas, kus see on jälgitav ja võimeline ründaja rünnakuid blokeerima või analüüsima. See on sarnane politsei "peibutus operatsioonidega", kus seatakse lõks, et pahatahtlikke inimesi kinni püüda.^[1]

Selle võrgu peibutuse peamine eesmärk on viia potentsiaalsed ründajad reaalses võrgus olevast seadmest ja teabest eemale, õppida tundma rünnaku vorme ja uurida selliseid rünnakuid meepurgi raames nii rünnakute ajal kui ka peale rünnakuid. See võimaldab ennetada ja näha konkreetse võrgusüsteemi haavatuvusi.^[2]^[3] Meepurgi väärtus tuleneb ründajate tegevusest, kui ründajad ei leia meepurki üles, on meepurgist vähe kasu või on kasutu. Meepurke saab kasutada mitmetel viisidel: automatiseeritud rünnakute aeglustamiseks või peatamiseks, uute ära kasutatavate vigade märkamiseks, varajaseks hoiatuseks või luureandmete kogumiseks tekkivate ohtude kohta. ^[4]

Tüübid

Meepurke on füüsilisi ja virtuaalseid: ^[2]^[3]

Füüsiline meepurk: tegemist on päris masinaga, millel on oma IP-aadress. See masin simuleerib süsteemi modelleeritud käitumist. Seda tüüpi lahendust kasutatakse harva, kuna nende hooldus ja riistvara seadistamise keerukus muudab nad ebaefektiivseks ja kulukaks.^[2]^[3]

Virtuaalne meepurk: seda tüüpi meepurke kasutamine võimaldab installida ja simuleerida võrgus erinevate operatsioonisüsteemide hoste, kuid selleks on vaja simuleerida sihtmärgi operatsioonisüsteemi TCP/IP protokolli. Seda varianti kasutatakse sagedasemalt. ^[2]^[3]

Meepurkide liigitus

Meepurke saab liigitada vastavalt nende kasutusele ja kaasatuse tasemele. Tegevuse järgi liigitatakse meepurke järgmiselt:

tootmise meepurgid ja
uuringu meepurgid.

Tootmise meepurgid (ingl production honeypots) on mõeldud ettevõtte võrgu turvalisuse parandamiseks, paigutades need koos tootmise serveritega organisatsiooni võrku, et jälgida rünnaku katseid ja tuvastada reaalajas ohtusid. Need on tavaliselt väikese interaktsiooniga, lihtsad kasutada ja koguvad piiratud hulgal teavet ründajate ning nende meetodite kohta, keskendudes peamiselt rünnakute mõju minimeerimisele.^[5]

Uuringu meepurgid (ingl research honeypots), on loodud ründajate taktika, motiivide ja tehnikate süvauurimiseks ning neid kasutatakse peamiselt teadus-, sõjaväe- ja valitsus organisatsioonides.^[6] Need on suure interaktsiooniga, keerukamad hallata ning koguvad põhjalikumat ja ulatuslikumat teavet. Need annavad väärtuslikku ülevaadet keerulistest rünnaku meetoditest. Uuringu meepurkide peamine eesmärk on õppida tundma küberohtusid, et arendada tõhusamaid kaitsemehhanisme tulevikus.^[7] Meepurgid saab disaini kriteeriumite alusel jagada kolmeks: puhtad meepurgid, suure interaktsiooniga meepurgid ja väikese interaktsiooniga meepurgid. ^[5]

Meepurkide disain

Disainikriteeriumide järgi liigitatakse meepurke järgmiselt: ^[5]

puhtad meepurgid,
suure interaktsiooniga meepurgid,
väikese interaktsiooniga meepurgid.

Puhtad meepurgid (ingl pure honeypots) on tootmissüsteemid, mis on loodud ründajate tegevuste jälgimiseks ilma täiendavat tarkvara paigaldamata.^[8] Nende jälgimine toimub võrguühendusele paigaldatud passiivse jälgimisseadme abil, mis registreerib kõik ründaja liikumised ja tegevused. Puhtad meepurgid on võrreldes teiste meepurkide tüüpidega vähem paindlikud, kuna nende töö põhineb täielikult füüsilise süsteemi või masina jälgimisel, mitte tarkvarapõhisel kontrollil või simulatsioonidel.^[9] Selliseid meepurke kasutatakse harvem, kuna need nõuavad palju ressursse ja hoolikat haldamist, mis võib muuta need ebapraktiliseks.

Suure interaktsiooniga meepurgid (ingl high-interaction honeypots) jäljendavad tootmissüsteeme, pakkudes ründajatele mitmesuguseid teenuseid ja ressursse, et suunata nende tähelepanu kõrvale tegelikest süsteemidest.^[10] Nende seadistamisel kasutatakse sageli virtuaalmasinaid, mis võimaldab kasutada mitut meepurki ühel füüsilisel masinal, lihtsustades taastamist, kui meepurk on rikutud. Sellised meepurgid on väga tõhusad, kuna need on ründajate jaoks raskemini tuvastatavad, kuid samal ajal kulukamad ja keerukamad hallata.^[10] Kui virtuaalmasinaid pole võimalik kasutada, siis võib iga meepurgi jaoks vajalik füüsiline arvuti muuta nende kasutamise väga kalliks ja taaskord ebapraktiliseks.

Väikese interaktsiooniga meepurgid (ingl low-interaction honeypots) simuleerivad ainult ründajate poolt sageli sihitud teenuseid, näiteks avatud porte või lihtsamaid võrguühendusi.^[11] Need tarbivad vähe ressursse, võimaldades ühel füüsilisel süsteemil majutada mitut virtuaalset meepurki. Samuti on nende seadistamine lihtsam, kuna neil on väiksem turvaseadistuste keerukus ja vähem koodi, mis vähendab võimalike turvaaukude riski. See meepurkide tüüp, näiteks Honeyd, oli üks esimesi loodud lahendusi ning seda kasutati peamiselt rünnakute tuvastamiseks, mitte ründajate põhjalikuks analüüsiks.^[12] Tänu väikestele kuludele ja kiirele reageerimisajale on need eriti kasulikud väiksematele organisatsioonidele.

Meepurkide tuvastamine

Meepurkide tuvastamissüsteemid on pahatahtlike ründajate tööriistad, mida kasutatakse meepurkide avastamiseks ja vältimiseks. Tuvastussüsteemid keskenduvad sageli konkreetsete meepurkide unikaalsetele omadustele, näiteks nende konfiguratsioonis sisalduvatele väärtuspaari tunnustele.^[13] Sellest hoolimata kasutavad paljud meepurgid laia ja varieeruvat omaduste komplekti, muutes nende tuvastamise keerulisemaks ja ajamahukamaks. Erinevalt tavalisest tarkvara arendamise praktikast võib "versioonilisuse" nähtus, kus samast tarkvarast on loodud palju erinevaid, veidi varieeruvaid versioone, osutuda meepurkide puhul kasulikuks, kuna see suurendab tuvastamise raskust.^[13]

Riskid

Meepurkide peamine eesmärk on meelitada ja hoida kinni ründajaid piisavalt pikaks ajaks, et koguda väärtuslikku teavet, näiteks kompromiseerimise kõrgtasemelisi näitajaid (Indicators of Compromise, IoC) ning ründajate taktikaid, tehnikaid ja protseduure (Tactics, Techniques, and Procedures).^[14] Selleks peab meepurk jäljendama tootmisvõrgus olulisi teenuseid ja andma ründajale piisavalt vabadust vaenulike tegevuste sooritamiseks, suurendades selle atraktiivsust. Kuigi meepurk asub kontrollitud keskkonnas ja seda saab jälgida spetsiaalsete tööriistade, näiteks honeywall’i^[15] abil, võivad ründajad siiski kasutada meepurki tugipunktina, et tungida tootmissüsteemidesse.

Teine meepurkidega seotud risk on võimalus, et need võivad kogemata meelitada ligi päris kasutajaid, kellel ei ole pahatahtlike motiive.^[16] Suurettevõtete võrkudes võib puudulik suhtlus põhjustada olukordi, kus kõik kasutajad ei ole teadlikud meepurgi asukohast või olemasolust.^[17] Näiteks võib turvameeskond, kes rakendab ja jälgib meepurki, jätta selle asukoha aegsasti avalikustamata kas kommunikatsiooniprobleemide või siseohtude vältimise tõttu. Sellised olukorrad võivad põhjustada segadust ja ekslikke interaktsioone tootmissüsteemide ja meepurkide vahel.^[16]^[17]

Viited

↑ "Honeypots: A Security Manager's Guide to Honeypots". web.archive.org. 16. märts 2017. Originaali arhiivikoopia seisuga 16. märts 2017. Vaadatud 14. jaanuaril 2025.{{netiviide}}: CS1 hooldus: robot: algse URL-i olek teadmata (link)
1 2 3 4 "13th USENIX Security Symposium — Technical Paper". www.usenix.org. Vaadatud 13. jaanuaril 2025.
1 2 3 4 Mairh, Abhishek; Barik, Debabrat; Verma, Kanchan; Jena, Debasish (2011). "Honeypot in network security: a survey" (inglise). ACM Press: 600-605. DOI:10.1145/1947940.1948065. ISBN 978-1-4503-0464-1. {{ajakirjaviide}}: viitemall journal nõuab parameetrit |journal= (juhend)
↑ Spitzner, L. (2003). "Honeypots: catching the insider threat". IEEE: 170–179. DOI:10.1109/CSAC.2003.1254322. ISBN 978-0-7695-2041-4. {{ajakirjaviide}}: viitemall journal nõuab parameetrit |journal= (juhend)
1 2 3 Mokube, Iyatiti; Adams, Michele (23. märts 2007). "Honeypots: concepts, approaches, and challenges" (inglise). ACM: 321–326. DOI:10.1145/1233341.1233399. ISBN 978-1-59593-629-5. {{ajakirjaviide}}: viitemall journal nõuab parameetrit |journal= (juhend)
↑ Katakoglu, Onur (2017-04-03). "Attacks Landscape in the Dark Side of the Web" (PDF). Vaadatud 13/01/2025. {{netiviide}}: kontrolli kuupäeva väärtust: |vaadatud= (juhend)
↑ Spitzner, Lance (2003). Honeypots: tracking hackers (1. print trükk). Boston Munich: Addison-Wesley. ISBN 978-0-321-10895-1.
↑ "What Is a Honeypot? Meaning, Types, Benefits, and More". Fortinet (inglise). Vaadatud 14. jaanuaril 2025.
↑ "What is a Honeypot? How It Improves Security". Rapid7 (inglise). Vaadatud 14. jaanuaril 2025.
1 2 Yang, Xingyuan; Yuan, Jie; Yang, Hao; Kong, Ya; Zhang, Hao; Zhao, Jinyu (2023-04). "A Highly Interactive Honeypot-Based Approach to Network Threat Management". Future Internet (inglise). 15 (4): 127. DOI:10.3390/fi15040127. ISSN 1999-5903. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)
↑ Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem (2016-09). "Rethinking the Honeypot for Cyber-Physical Systems". IEEE Internet Computing. 20 (5): 9–17. DOI:10.1109/MIC.2016.103. ISSN 1941-0131. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)
↑ Göbel, Jan Gerrit; Dewald, Andreas; Freiling, Felix (2011). Client-Honeypots: Exploring Malicious Websites. Oldenbourg Wissenschaftsverlag. DOI:10.1524/9783486711516. ISBN 978-3-486-71151-6.
1 2 Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019-12). "Review and Analysis of Cowrie Artefacts and Their Potential to be Used Deceptively". 2019 International Conference on Computational Science and Computational Intelligence (CSCI): 166–171. DOI:10.1109/CSCI49370.2019.00035. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)
↑ Spitzner, Lance (2002). Honeypots Tracking Hackers (inglise). Addison-Wesley Professional. ISBN 9780321108951.
↑ "Honeywall CDROM – The Honeynet Project". web.archive.org. 11. oktoober 2022. Originaali arhiivikoopia seisuga 11. oktoober 2022. Vaadatud 15. jaanuaril 2025.
1 2 "illusive networks: Why Honeypots are Stuck in the Past | NEA". www.nea.com (inglise). Vaadatud 15. jaanuaril 2025.
1 2 Qassrawi, Mahmoud T.; Zhang, Hongli (2010-05). "Client honeypots: Approaches and challenges". 4th International Conference on New Trends in Information Science and Service Science: 19–25. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)

[1] "Honeypots: A Security Manager's Guide to Honeypots". web.archive.org. 16. märts 2017. Originaali arhiivikoopia seisuga 16. märts 2017. Vaadatud 14. jaanuaril 2025.{{netiviide}}: CS1 hooldus: robot: algse URL-i olek teadmata (link)

[:0-2] 1 2 3 4 "13th USENIX Security Symposium — Technical Paper". www.usenix.org. Vaadatud 13. jaanuaril 2025.

[:1-3] 1 2 3 4 Mairh, Abhishek; Barik, Debabrat; Verma, Kanchan; Jena, Debasish (2011). "Honeypot in network security: a survey" (inglise). ACM Press: 600-605. DOI:10.1145/1947940.1948065. ISBN 978-1-4503-0464-1. {{ajakirjaviide}}: viitemall journal nõuab parameetrit |journal= (juhend)

[4] Spitzner, L. (2003). "Honeypots: catching the insider threat". IEEE: 170–179. DOI:10.1109/CSAC.2003.1254322. ISBN 978-0-7695-2041-4. {{ajakirjaviide}}: viitemall journal nõuab parameetrit |journal= (juhend)

[:2-5] 1 2 3 Mokube, Iyatiti; Adams, Michele (23. märts 2007). "Honeypots: concepts, approaches, and challenges" (inglise). ACM: 321–326. DOI:10.1145/1233341.1233399. ISBN 978-1-59593-629-5. {{ajakirjaviide}}: viitemall journal nõuab parameetrit |journal= (juhend)

[6] Katakoglu, Onur (2017-04-03). "Attacks Landscape in the Dark Side of the Web" (PDF). Vaadatud 13/01/2025. {{netiviide}}: kontrolli kuupäeva väärtust: |vaadatud= (juhend)

[7] Spitzner, Lance (2003). Honeypots: tracking hackers (1. print trükk). Boston Munich: Addison-Wesley. ISBN 978-0-321-10895-1.

[8] "What Is a Honeypot? Meaning, Types, Benefits, and More". Fortinet (inglise). Vaadatud 14. jaanuaril 2025.

[9] "What is a Honeypot? How It Improves Security". Rapid7 (inglise). Vaadatud 14. jaanuaril 2025.

[:3-10] 1 2 Yang, Xingyuan; Yuan, Jie; Yang, Hao; Kong, Ya; Zhang, Hao; Zhao, Jinyu (2023-04). "A Highly Interactive Honeypot-Based Approach to Network Threat Management". Future Internet (inglise). 15 (4): 127. DOI:10.3390/fi15040127. ISSN 1999-5903. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)

[11] Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem (2016-09). "Rethinking the Honeypot for Cyber-Physical Systems". IEEE Internet Computing. 20 (5): 9–17. DOI:10.1109/MIC.2016.103. ISSN 1941-0131. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)

[12] Göbel, Jan Gerrit; Dewald, Andreas; Freiling, Felix (2011). Client-Honeypots: Exploring Malicious Websites. Oldenbourg Wissenschaftsverlag. DOI:10.1524/9783486711516. ISBN 978-3-486-71151-6.

[:4-13] 1 2 Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019-12). "Review and Analysis of Cowrie Artefacts and Their Potential to be Used Deceptively". 2019 International Conference on Computational Science and Computational Intelligence (CSCI): 166–171. DOI:10.1109/CSCI49370.2019.00035. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)

[14] Spitzner, Lance (2002). Honeypots Tracking Hackers (inglise). Addison-Wesley Professional. ISBN 9780321108951.

[15] "Honeywall CDROM – The Honeynet Project". web.archive.org. 11. oktoober 2022. Originaali arhiivikoopia seisuga 11. oktoober 2022. Vaadatud 15. jaanuaril 2025.

[:5-16] 1 2 "illusive networks: Why Honeypots are Stuck in the Past | NEA". www.nea.com (inglise). Vaadatud 15. jaanuaril 2025.

[:6-17] 1 2 Qassrawi, Mahmoud T.; Zhang, Hongli (2010-05). "Client honeypots: Approaches and challenges". 4th International Conference on New Trends in Information Science and Service Science: 19–25. {{ajakirjaviide}}: kontrolli kuupäeva väärtust: |kuupäev= (juhend)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]