Experti Dellu vydali medovou past na hackery. Láká na falešná hesla
Hacker pátrající nepozorovaně v cizí síti má štěstí – v paměti jednoho systému nalezne přihlašovací údaje někoho z managementu firmy. Už tím si ale šlápl na hrábě. Past sklapla. Chtěl se totiž zmocnit úmyslně roztroušených přístupových údajů, které pro něj nachystali obránci serveru. Umožní jim útok lépe zachytit a identifikovat. Zhruba tak by měl fungovat nový nástroj od firmy Dell s názvem DCEPT. Administrátorům a bezpečnostním odborníkům usnadní práci, hackerům tu jejich naopak ztíží. To nejlepší nakonec – nástroj DCEPT je přístupný zdarma.
Jméno nástroje DCEPT sice vychází ze zkratky pro anglické sousloví Domain Controller Enticing Password Tripwire (česky zhruba „Past s návnadou lákavého hesla vlastníka domény“), záměrně je ale podobné anglickému slovu deception, tedy česky klamání. Na principu klamu totiž tato obrana proti hackerům funguje.
Nástroj do paměti systému záměrně rozeseje takzvané honeytokens (nepřekládá se, ale český význam je zhruba „medové průkazy“). Jedná se o falešné přístupové údaje administrátorů domény. Ty skutečné jsou přitom pro útočící hackery pochopitelně lákavým cílem – více incidentů z poslední doby se přihodilo právě kvůli tomu, že se hackeři zmocnili přístupových údajů. Síťoví administrátoři používají účty doménové administrace k přístupu k počítačům v síti. Některé hackerské nástroje jako Mimikatz však dokáží z paměti přístupové údaje získat. S těmi se pak mohou hackeři zmocnit celé sítě a firmám vznikají obrovské škody.
Hrnec medu nebo medový průkaz?
Stále rozšířenější metodou boje proti hackerům je využívání takzvaných honeypots (česky „hrnců s medem“). Jedná se o falešné systémy, které mají nalákat útočníka – třeba tím, že nemají záplatu na některou z rozšířených slabin. Zvenku vypadají lákavě, ale nic skutečně důležitého na nich není. Systém může pomoci útočníka odhalit a navíc jej také zbrzdí – tím, že se do něj snaží proniknout, nechává zatím na pokoji skutečné a důležité systémy a dává čas administrátorům na odhalení útoku a konsolidování obrany. Zmíněny koncept honeytokenů jde oproti honeypotu trochu jinou cestou – místo simulování systému dává útočníkům do rukou falešné přístupové údaje, jejichž odcizení a použití monitoruje.
Hackeři se ale díky DCEPTu zmocní pouze falešných údajů, které jsou navíc hlídány systémem na odhalení útočníků. Jakmile se někdo pokusí honeytoken z paměti dostat, monitorovací systém pokus odhalí a dá vědět administrátorům. Už to je pro úspěšnou obranu nesmírně důležité – některé firmy to, že jsou pod útokem, zjistí až o několik dní později, jiné dokonce až po více než roce.
Když se pak ještě hacker pokusí odcizený honeytoken použít pro získání administrátorských privilegií, je odhalen jako útočník už při přenosu prvních přihlašovacích paketů.
Za vývojem nástroje stojí výzkumník týmu SecureWorks firmy Dell James Bettke a ředitel výzkumu malwaru Joe Stewart. Rozhodli se plod své práce zpřístupnit zdarma všem zájemcům. „Napsali jsme komponentu pro ukládání falešných přístupových údajů… a druhou, která hlídá jejich použití na síti. Řekli jsme si: ‚Proč to nevydat jako open source?‘,“ řekl Bettke.
DCEPT je nyní zdarma dostupný na webu pro šíření zdrojového kódu GitHub. Autoři mají za to, že je možné rozšířit kód o další formy tokenů a detekce – například na položky databáze nebo e-mailové adresy. Nástroj se zatím skládá ze tří složek: agenta pro umisťování přístupových údajů do paměti, generační server, který vytváří falešná hesla, a hlídače, který sleduje použití tokenů napříč sítí.
Pokud se tato metoda uchytí a bude fungovat tak, jak její autoři slibují, mohlo by se jednat o jeden z důležitých nástrojů na obranu proti hackerům.