系列文章的開題有提到認識蜜罐的起因,是因為當初覺得這個名字好像就是故意放置一個補獸夾的概念,但實際上的作用卻不是誘補? 以下開始正經的學習資安界出品的蜜罐產品。
首先來看一下 wiki 對 Honeypot 的解釋
蜜罐(英語:honeypot)是一個電腦術語,專指用來偵測或抵禦未經授權操作或者是駭客攻擊的陷阱,因原理類似誘捕昆蟲的蜜罐因而得名。
這樣看來並沒有違背直覺上的認知啊?在功能上的描述中也有「偽裝」、「拖延」的作用,但實際上的用途卻是以下:
而更常見的用法是用來吸引網路的電腦病毒入侵,從而獲得病毒樣本用於研究或破解的電腦,防毒軟體公司會利用這些電腦來監視或獲得電腦網路中的病毒樣本。
所以常見的產品才會是監控、分析等的產品。順著往下看到「案例」的部份,記載著一個有趣的例子:使用蜜罐的復仇之路
1994年,米特尼克向聖地牙哥超級電腦中心入侵,戲弄在此工作的日裔美籍電腦安全專家下村努,並盜走他電腦的檔案,還使用連線劫持技術盜走他網站的流量。後來下村努設立「蜜罐」讓米特尼克中計引誘他上鉤,用「電子隱形化」技術進行跟蹤,結果1995年米特尼克再次被逮捕。
如果之後找不到類似易用的工具,就會以收集這種案例來分享。
據能找到的第一個 Honeypot 記載案例,請參考以開放原始碼為基礎的蜜罐系統設計與實現在「2.1 蜜罐的歷史起源」的說明。網路搜尋的很多結果會說第一個案例被記載在「The Cuckoo's Egg」。不過雖然都同一個作者,但原始的記載卻是前篇參考文章提到的「STALKING THE WILY HACKER」這篇期刊。
這裡簡單說明一下過程:
Clifford Stoll 被要求一個記帳系統的錯誤 > 發現錯誤來自未被授權的用戶 > 收集駭客的存取記錄 > 開始設計誘補 > 建立假的部門、假的資料 > 追蹤成功,與警方配合成功抓住犯人
下一篇繼續研究參考資料,看看蜜罐的分類與如今比較廣范的應用...
WIKI:蜜罐(電腦科學)
以開放原始碼為基礎的蜜罐系統設計與實現