Co je to kryptohoneypot a proč se používá?
Programy inteligentních smluv v decentralizované síti uzlů lze provádět na moderních blockchainech, jako je Ethereum. Chytré smlouvy se stávají populárnějšími a cennějšími, což z nich dělá atraktivnější cíl pro útočníky. V posledních letech se hackeři zaměřili na několik chytrých kontraktů.
Zdá se však, že se prosazuje nový trend; konkrétně útočníci již nehledají náchylné smlouvy, ale přijímají proaktivnější strategii. Místo toho se snaží přimět své oběti, aby se dostaly do pastí, rozesláním smluv, které se zdají být zranitelné, ale obsahují skryté pasti. Honeypoty jsou termín používaný k popisu tohoto jedinečného druhu smlouvy. Ale co je to honeypot crypto past?
Naši nejlepší obchodní roboti
Honeypoty jsou chytré kontrakty, u kterých se zdá, že mají problém s designem, který umožňuje libovolnému uživateli vyčerpat ether (vlastní měnu Etherea) ze smlouvy, pokud uživatel předem pošle určité množství éteru do smlouvy. Když se však uživatel pokusí využít této zjevné chyby, padací dvířka se otevřou podruhé, dosud neznámá, a zabrání tomu, aby odtok éteru uspěl. Takže, co dělá honeypot?
Cílem je, aby se uživatel plně zaměřil na viditelnou slabinu a ignoroval jakékoli známky toho, že smlouva má druhou zranitelnost. Honeypot útoky fungují, protože lidé jsou často snadno oklamáni, stejně jako u jiných druhů podvodů. V důsledku toho lidé nemohou vždy kvantifikovat riziko tváří v tvář své hrabivosti a předpokladům. Jsou tedy honeypoty nelegální?
Jak funguje podvod s honeypotem?
Při krypto kybernetických útocích, jako jsou honeypoty, budou peníze uživatele uvězněny a pouze tvůrce honeypotu (útočník) je bude moci získat zpět. Honeypot obvykle funguje ve třech fázích:
K nastavení honeypotů v Ethereum smart kontraktech nepotřebuje útočník žádné specifické dovednosti. Útočník má ve skutečnosti stejné dovednosti jako běžný uživatel Etherea. Potřebují pouze peníze na vytvoření chytré smlouvy a její návnadu. Operace honeypotu se obecně skládá z počítače, programů a dat, které napodobují chování skutečného systému, který by mohl být pro útočníky přitažlivý, jako jsou zařízení internetu věcí, bankovní systém nebo veřejná síť nebo tranzitní síť.
I když vypadá jako součást sítě, je izolovaná a monitorovaná. Protože legitimní uživatelé nemají žádný motiv k přístupu k honeypotu, všechny pokusy o komunikaci s ním jsou považovány za nepřátelské. Honeypoty jsou často rozmístěny v demilitarizované zóně sítě (DMZ). Tato strategie ji odděluje od přední produkční sítě a zároveň ji udržuje připojenou. Honeypot v DMZ může být monitorován z dálky, zatímco k němu útočníci přistupují, což snižuje nebezpečí ohrožení hlavní sítě.
Pro detekci pokusů o infiltraci do vnitřní sítě lze honeypoty umístit mimo externí firewall směrem k internetu. Skutečné umístění honeypotu závisí na tom, jak je složitý, na typu provozu, který chce přilákat, a na tom, jak blízko je kritickým obchodním zdrojům. Vždy bude izolován od produkčního prostředí, bez ohledu na to, kde je umístěn.
Protokolování a prohlížení aktivity honeypotu poskytuje přehled o míře a druzích hrozeb, kterým síťová infrastruktura čelí, a zároveň odvádí pozornost útočníků od skutečných aktiv. Honeypoty mohou kyberzločinci převzít a použít proti společnosti, která je zřídila. Kyberzločinci také používali honeypoty k získávání informací o výzkumnících nebo organizacích, slouží jako návnady a šíří dezinformace.
Honeypoty jsou často hostovány na virtuálních strojích. Pokud je například honeypot kompromitován malwarem, lze jej rychle obnovit. Například honeynet se skládá ze dvou nebo více honeypotů v síti, zatímco medová farma je centralizovaná sbírka honeypotů a analytických nástrojů.
S nasazením a správou Honeypotu mohou pomoci jak open source, tak komerční řešení. K dispozici jsou systémy Honeypot, které se prodávají samostatně, a Honeypot, které jsou kombinovány s jiným bezpečnostním softwarem a inzerovány jako technologie klamání. Software Honeypot lze nalézt na GitHubu, který může pomoci nováčkům naučit se používat honeypoty.
Typy honeypotů
Existují dva typy honeypotů založené na návrhu a nasazení chytrých kontraktů: výzkumné a produkční honeypoty. Honeypoty pro výzkum shromažďují informace o útocích a používají se k analýze nepřátelského chování ve volné přírodě.
Získávají informace o útočníkových tendencích, zranitelnostech a kmenech malwaru, na které se protivníci aktuálně zaměřují, pohledem na vaše prostředí i vnější svět. Tyto informace vám mohou pomoci při rozhodování o preventivní obraně, prioritách oprav a budoucích investicích.
Na druhou stranu produkční honeypoty jsou zaměřeny na odhalování aktivního průniku do sítě a oklamání útočníka. Honeypoty poskytují další možnosti monitorování a vyplňují běžné mezery v detekci, které obklopují skenování sítě a boční pohyb; získávání dat tedy zůstává hlavní odpovědností.
Produkční honeypoty provozují služby, které by obvykle běžely ve vašem prostředí spolu se zbytkem vašich produkčních serverů. Honeypoty pro výzkum jsou složitější a uchovávají více datových typů než honeypoty pro výrobu.
Existuje také mnoho úrovní uvnitř výrobních a výzkumných honeypotů v závislosti na úrovni sofistikovanosti, kterou vaše společnost vyžaduje:
- Honeypot s vysokou interakcí: Je srovnatelný s čistým honeypotem v tom, že provozuje velké množství služeb, ale je méně sofistikovaný a pojme méně dat. Přestože honeypoty s vysokou interakcí nejsou určeny k replikaci plnohodnotných produkčních systémů, provozují (nebo se zdá, že běží) všechny služby běžně spojené s produkčními systémy, včetně funkčních operačních systémů.
Nasazující společnost může pomocí tohoto formuláře honeypotu pozorovat zvyky a strategie útočníků. Honeypoty s vysokou interakcí potřebují spoustu zdrojů a je obtížné je udržovat, ale výsledky mohou stát za to.
- Mid-interaction honeypot: Tyto napodobují vlastnosti aplikační vrstvy, ale postrádají svůj operační systém. Snaží se zasahovat nebo zmást útočníky, aby měly podniky více času na to, aby zjistily, jak na útok vhodně reagovat.
- Honeypot s nízkou interakcí: Toto je nejoblíbenější honeypot používaný v produkčním prostředí. Honeypoty s nízkou interakcí provozují několik služeb a primárně se používají jako nástroj pro detekci včasného varování. Mnoho bezpečnostních týmů instaluje mnoho honeypotů napříč různými segmenty své sítě, protože se snadno nastavují a udržují.
- Čistý honeypot: Tento rozsáhlý produkční systém běží na více serverech. Je plný senzorů a obsahuje „důvěrná“ data a uživatelské informace. Informace, které poskytují, jsou neocenitelné, i když jejich správa může být složitá a náročná.
Několik technologií honeypot
Níže jsou uvedeny některé z používaných technologií honeypot:
- Klientské honeypoty: Většina honeypotů jsou servery, které naslouchají připojení. Klientské honeypoty aktivně vyhledávají škodlivé servery, které cílí na klienty, a dohlížejí na honeypot pro jakékoli podezřelé nebo neočekávané změny. Tyto systémy jsou obvykle virtualizované a mají vytvořený plán omezení, aby byl výzkumný tým v bezpečí.
- Malware honeypoty: Identifikují malware pomocí zavedených replikačních a útočných kanálů. Honeypoty (jako je Ghost) byly navrženy tak, aby vypadaly jako paměťová zařízení USB. Pokud se například počítač nakazí malwarem, který se šíří přes USB, honeypot oklame malware, aby infikoval simulované zařízení.
- Honeynets: Honeynet je spíše síť několika honeypotů než jeden systém. Honeynety jsou navrženy tak, aby sledovaly činy a motivy útočníka a zároveň obsahovaly veškerou příchozí a odchozí komunikaci.
- Otevřené přenosy pošty a otevřené proxy jsou simulovány pomocí spamových honeypotů. Spammeři si nejprve pošlou e-mail, aby otestovali dostupný přenos pošty. Pokud budou úspěšní, rozesílají obrovské množství spamu. Tato forma honeypotu dokáže detekovat a rozpoznat test a úspěšně blokovat obrovské množství spamu, který následuje.
- Databáze honeypot: Vzhledem k tomu, že injekce strukturovaného dotazovacího jazyka mohou brány firewall často neodhalit, některé organizace nasadí databázový firewall k vytvoření návnadových databází a poskytují podporu honeypotu.
Jak poznat kryptohoneypot?
Zkoumání obchodní historie je jednou z technik, jak rozpoznat podvody s kryptoměnami honeypot. Kryptoměna by vám obecně měla umožňovat její nákup a prodej, kdykoli budete chtít. V rámci podvodu s honeypotem dojde k mnoha nákupům za coin, ale lidé budou mít problém je prodat. To znamená, že to není legitimní mince a měli byste se jí vyhnout.
Kromě toho lze přístup datové vědy založený na chování smluvních transakcí použít ke klasifikaci smluv jako honeypoty nebo non-honeypoty.
Kde mohou v Ethereum smart kontraktech vzniknout honeypoty?
Honeypoty se mohou objevit ve třech různých oblastech implementace chytrých kontraktů Ethereum. Toto jsou tři úrovně:
- Virtuální stroj Etheruem (EVM) – Přestože se EVM řídí dobře zavedeným souborem standardů a pravidel, mohou tvůrci smluv prezentovat svůj kód způsoby, které jsou na první pohled zavádějící nebo nejasné. Tyto taktiky mohou být pro nic netušícího hackera nákladné.
- Kompilátor spolehlivosti - Kompilátor je druhou oblastí, kde mohou vývojáři inteligentních smluv využít. Zatímco některé chyby na úrovni kompilátoru jsou dobře zdokumentovány, jiné nemusí být. Tyto honeypoty může být obtížné objevit, pokud smlouva nebyla testována v reálném prostředí.
- Průzkumník blockchainu Etherscan – Třetí druh honeypotu je založen na skutečnosti, že data prezentovaná na průzkumnících blockchainu jsou neúplná. Zatímco mnoho lidí implicitně věří údajům Etherscanu, nemusí to nutně ukazovat celý obrázek. Na druhou stranu, mazaní vývojáři chytrých smluv mohou využít některé z průzkumníků.
Jak se chránit před podvody se smlouvami o honeypotu?
Tato část popisuje, jak se dostat z podvodů s honeypotem, abyste nepřišli o své peníze. Existují nástroje, které vám pomohou vidět červené signály a vyhnout se těmto měnám. Například použijte Etherscan, pokud je mince, kterou kupujete, v síti Ethereum, nebo použijte BscScan, pokud je uvažovaná mince na Binance Smart Chain.
Zjistěte si Token ID své mince a zadejte jej na příslušné webové stránce. Přejděte na "Token Tracker" na další stránce. Zobrazí se karta označená jako „Držitelé“. Můžete zde vidět všechny peněženky, které drží tokeny, a zásoby likvidity. Bohužel existuje mnoho kombinací položek, o kterých byste měli vědět. Níže jsou uvedeny některé červené příznaky, které měli byste vědět, jak se chránit před krypto podvody s Honeypot:
- Žádné mrtvé coiny: Pokud je více než 50 % coinů v mrtvé peněžence, je projekt relativně chráněn před tahy koberečky (ale ne honeypot) (obvykle identifikován jako 0x00000000000000000000000000000000000dead). Pokud je mrtvých méně než polovina mincí nebo žádná není mrtvá, buďte opatrní.
- Žádný audit: Šance na honeypot jsou téměř vždy eliminovány, pokud je audituje důvěryhodná společnost.
- Držáky na velké peněženky: Vyhněte se kryptoměnám, které mají pouze jednu nebo několik peněženek.
- Prozkoumejte jejich webové stránky: To by mělo být docela jednoduché; ale pokud se web jeví jako uspěchaný a vývoj je špatný, je to varovné znamení! Jedním trikem je přejít na stránku whois.domaintools.com a zadat název domény, abyste viděli, kdy byla zaregistrována pro web. Pokud byla doména zaregistrována do 24 hodin nebo méně od zahájení projektu, můžete si být zcela jisti, že jde o podvod.
- Zkontrolujte jejich sociální média: Podvodné projekty obvykle obsahují ukradené a nekvalitní fotografie, gramatické problémy a neatraktivní „spamové zprávy“ (například „uveďte svou ETH adresu níže!“), žádné odkazy na relevantní informace o projektu a tak dále.
Token Sniffer je dalším vynikajícím zdrojem k odhalení krypto honeypotů. Vyhledejte výsledky „Automatického auditu smlouvy“ zadáním ID tokenu v pravém horním rohu. Držte se dál od projektu, pokud existují nějaké výstrahy. Protože mnoho projektů nyní používá šablony smluv, může být indikace „Žádné předchozí podobné tokenové smlouvy“ falešně pozitivní.
Pokud je vaše mince uvedena na Binance Smart Chain, přejděte na PooCoin, zadejte znovu ID tokenu a sledujte grafy. Držte se stranou, pokud se neprodávají žádné peněženky nebo pokud vámi vybraný coin prodávají pouze jedna nebo dvě peněženky. S největší pravděpodobností je to honeypot. Není to medník, pokud vybrané mince prodává mnoho peněženek. A konečně, měli byste provést důkladný průzkum, než se při nákupu kryptoměn rozloučíte se svými těžce vydělanými penězi.
Jak se liší honeypot od honeynetu?
Honeynet je síť tvořená dvěma nebo více honeypoty. Může být výhodné mít připojenou síť honeypot. Umožňuje podnikům sledovat, jak útočník interaguje s jedním zdrojem nebo bodem sítě a jak se útočník pohybuje mezi body sítě a interaguje s mnoha body najednou.
Cílem je přesvědčit hackery, že úspěšně prolomili síť; proto přidává více falešných síťových umístění k realismu uspořádání. Honeypoty a honeynety s pokročilejšími implementacemi, jako jsou firewally nové generace, systémy detekce narušení (IDS) a zabezpečené webové brány, jsou označovány jako technologie klamání. Systémy detekce narušení označují zařízení nebo softwarový program, který sleduje nepřátelskou aktivitu nebo porušení zásad v síti. Automatizované schopnosti technologie klamání umožňují honeypotu reagovat na potenciální útočníky v reálném čase.
Honeypoty mohou firmám pomoci držet krok s neustále se měnícím rizikovým prostředím, když se objevují kybernetické hrozby. Honeypoty poskytují důležité informace k zajištění připravenosti organizace a jsou možná nejlepším prostředkem k zachycení útočníka při činu, i když je nemožné předvídat a zabránit každému útoku. Jsou také dobrým zdrojem znalostí pro profesionály v oblasti kybernetické bezpečnosti.
Jaké jsou výhody a nevýhody honeypotů?
Honeypoty shromažďují data ze skutečných útoků a jiné nezákonné činnosti, což analytikům poskytuje bohaté znalosti. Kromě toho existuje méně falešných poplachů. Například běžné detekční systémy kybernetické bezpečnosti mohou generovat mnoho falešných poplachů, ale honeypot minimalizuje počet falešných poplachů, protože skuteční uživatelé nemají žádný motiv kontaktovat honeypot.
Do honeypotů se navíc vyplatí investovat, protože interagují pouze se škodlivými akcemi a nevyžadují vysoce výkonné zdroje ke zpracování enormních objemů síťových dat při hledání útoků. A konečně, i když útočník používá šifrování, honeypoty mohou detekovat škodlivé aktivity.
Přestože honeypoty poskytují mnoho výhod, mají také spoustu nevýhod a rizik. Honeypoty například shromažďují data pouze v případě útoku. Nebyly provedeny žádné pokusy o přístup k honeypotu; neexistují tedy žádná data, která by útok prověřila.
Kromě toho se škodlivý provoz získaný sítí honeypot shromažďuje pouze tehdy, když je proti ní zahájen útok; pokud má útočník podezření, že síť je honeypot, vyhne se jí.
Honeypoty jsou obecně rozeznatelné od legálních produkčních systémů, což znamená, že zkušení hackeři mohou snadno rozlišit produkční systém od systému honeypot pomocí systémových technik otisků prstů.
Navzdory skutečnosti, že honeypoty jsou izolovány od skutečné sítě, nakonec se nějakým způsobem propojí, aby umožnili správcům přístup k datům, která uchovávají. Protože se snaží přilákat hackery, aby získali root přístup, je vysokointerakční honeypot často považován za riskantnější než nízkointerakční.
Celkově lze říci, že honeypoty pomáhají výzkumníkům porozumět rizikům v síťových systémech, ale neměly by být používány namísto standardních IDS. Pokud například není honeypot správně nastaven, může být zneužit k získání přístupu k reálným systémům nebo k odpalovacímu panelu pro útoky na jiné systémy.
Pokračujte ve čtení na Cointelegraph
