Co to jest honeypot kryptograficzny i dlaczego jest używany?
Programy inteligentnych kontraktów w zdecentralizowanej sieci węzłów mogą być realizowane na nowoczesnych blockchainach, takich jak Ethereum. Inteligentne kontrakty stają się coraz bardziej popularne i cenne, co czyni je bardziej atrakcyjnym celem dla atakujących. W ostatnich latach hakerzy atakowali kilka inteligentnych kontraktów.
Wydaje się jednak, że nowy trend zyskuje na popularności; mianowicie, atakujący nie szukają już podatnych kontraktów, ale przyjmują bardziej proaktywną strategię. Zamiast tego starają się nakłonić swoje ofiary do wpadnięcia w pułapki, wysyłając kontrakty, które wydają się być bezbronne, ale zawierają ukryte pułapki. Honeypoty to termin używany do opisania tego wyjątkowego rodzaju umowy. Ale czym jest pułapka na kryptowaluty honeypot?
Nasze najlepsze roboty biznesowe
Honeypoty to inteligentne kontrakty, które wydają się mieć problem projektowy, który pozwala dowolnemu użytkownikowi na usunięcie Ether (natywnej waluty Ethereum) z umowy, jeśli użytkownik wcześniej wyśle określoną ilość eteru do umowy. Jednak, gdy użytkownik próbuje wykorzystać tę pozorną wadę, zapadnia otwiera drugą, jeszcze nieznaną, uniemożliwiając powodzenie wypływu eteru. Więc co robi honeypot?
Celem jest, aby użytkownik skupił się całkowicie na widocznej słabości i zignorował wszelkie oznaki, że umowa ma drugą lukę. Ataki typu Honeypot działają, ponieważ ludzie często łatwo dają się oszukać, podobnie jak w przypadku innych rodzajów oszustw. W rezultacie ludzie nie zawsze mogą określić ilościowo ryzyko w obliczu ich skąpstwa i założeń. Czy więc honeypoty są nielegalne?
Jak działa oszustwo typu honeypot?
W cyberatakach kryptograficznych, takich jak honeypoty, pieniądze użytkownika zostaną uwięzione i tylko twórca honeypota (atakujący) będzie mógł je odzyskać. Honeypot zwykle działa w trzech etapach:
Aby skonfigurować honeypoty w inteligentnych kontraktach Ethereum, atakujący nie potrzebuje żadnych konkretnych umiejętności. Atakujący w rzeczywistości ma te same umiejętności, co zwykły użytkownik Ethereum. Potrzebują tylko pieniędzy, aby założyć inteligentny kontrakt i go zwabić. Ogólnie rzecz biorąc, operacja honeypot składa się z komputera, programów i danych, które naśladują zachowanie rzeczywistego systemu, który może być atrakcyjny dla atakujących, takich jak urządzenia Internetu rzeczy, system bankowy lub sieć użyteczności publicznej lub tranzytowa.
Mimo że wygląda jak część sieci, jest izolowana i monitorowana. Ponieważ legalni użytkownicy nie mają motywu, aby uzyskać dostęp do honeypota, wszelkie próby komunikacji z nim są uważane za wrogie. Honeypoty są często wdrażane w strefie zdemilitaryzowanej sieci (DMZ). Ta strategia oddziela ją od wiodącej sieci produkcyjnej, jednocześnie utrzymując ją w kontakcie. Honeypot w strefie DMZ może być monitorowany z daleka, gdy atakujący uzyskują do niego dostęp, zmniejszając niebezpieczeństwo zhakowania głównej sieci.
Aby wykryć próby infiltracji sieci wewnętrznej, honeypoty można umieścić poza zewnętrzną zaporą ogniową, skierowaną w stronę Internetu. Rzeczywista lokalizacja pułapki zależy od tego, jak skomplikowana jest ona, rodzaj ruchu, który chce przyciągnąć i jak blisko znajduje się krytycznych zasobów biznesowych. Zawsze będzie odizolowany od środowiska produkcyjnego, niezależnie od tego, gdzie zostanie umieszczony.
Rejestrowanie i przeglądanie aktywności honeypotów zapewnia wgląd w stopień i rodzaje zagrożeń, z którymi boryka się infrastruktura sieciowa, jednocześnie odwracając uwagę atakujących od rzeczywistych zasobów. Honeypoty mogą zostać przejęte przez cyberprzestępców i wykorzystane przeciwko firmie, która je stworzyła. Cyberprzestępcy wykorzystywali również honeypoty do pozyskiwania informacji o badaczach lub organizacjach, służyły jako wabiki i rozpowszechniały dezinformację.
Honeypoty są często hostowane na maszynach wirtualnych. Na przykład, jeśli pułapka zostanie zaatakowana przez złośliwe oprogramowanie, może zostać szybko przywrócona. Na przykład, honeynet składa się z dwóch lub więcej honeypotów w sieci, podczas gdy farma miodu to scentralizowany zbiór honeypotów i narzędzi analitycznych.
Wdrażanie i administrowanie Honeypot może być wspomagane zarówno przez rozwiązania open source, jak i komercyjne. Dostępne są systemy Honeypot sprzedawane oddzielnie oraz Honeypoty połączone z innym oprogramowaniem zabezpieczającym i reklamowane jako technologia oszustwa. Oprogramowanie Honeypot można znaleźć na GitHub, które może pomóc nowicjuszom w nauce korzystania z honeypotów.
Rodzaje honeypotów
Istnieją dwa rodzaje honeypotów oparte na projektowaniu i wdrażaniu inteligentnych kontraktów: honeypoty badawcze i produkcyjne. Honeypoty do badań zbierają informacje o atakach i są wykorzystywane do analizowania wrogich zachowań na wolności.
Uzyskują informacje o tendencjach atakujących, lukach w zabezpieczeniach i szczepach złośliwego oprogramowania, na które obecnie atakują przeciwnicy, patrząc zarówno na Twoje środowisko, jak i świat zewnętrzny. Informacje te mogą pomóc w podjęciu decyzji o prewencyjnych zabezpieczeniach, priorytetach poprawek i przyszłych inwestycjach.
Z drugiej strony, pułapki produkcyjne mają na celu wykrywanie aktywnej penetracji sieci i oszukiwanie napastnika. Honeypoty zapewniają dodatkowe możliwości monitorowania i wypełniają typowe luki w wykrywaniu, które otaczają identyfikowanie skanów sieci i ruchu bocznego; w związku z tym pozyskiwanie danych pozostaje główną odpowiedzialnością.
Produkcyjne honeypoty uruchamiają usługi, które zwykle działają w Twoim środowisku wraz z pozostałymi serwerami produkcyjnymi. Honeypoty do badań są bardziej skomplikowane i przechowują więcej typów danych niż honeypoty do produkcji.
Istnieje również wiele poziomów wewnątrz honeypotów produkcyjnych i badawczych, w zależności od poziomu zaawansowania wymaganego przez Twoją firmę:
- Honeypot o wysokiej interakcji: jest porównywalny z czystym honeypotem, ponieważ obsługuje dużą liczbę usług, ale jest mniej wyrafinowany i przechowuje mniej danych. Chociaż honeypoty o wysokiej interakcji nie są przeznaczone do replikacji systemów produkcyjnych na pełną skalę, obsługują (lub wydają się uruchamiać) wszystkie usługi powszechnie kojarzone z systemami produkcyjnymi, w tym działające systemy operacyjne.
Firma wdrażająca może obserwować nawyki i strategie napastników za pomocą tej formy pułapki. Honeypoty o wysokiej interakcji wymagają dużej ilości zasobów i są trudne w utrzymaniu, ale wyniki mogą być tego warte.
- Honeypot o średniej interakcji: imitują one cechy warstwy aplikacji, ale nie mają systemu operacyjnego. Próbują ingerować lub wprawiać w zakłopotanie atakujących, aby firmy miały więcej czasu na ustalenie, jak odpowiednio zareagować na atak.
- Honeypot o niskiej interakcji: Jest to najpopularniejszy honeypot używany w środowisku produkcyjnym. Honeypoty o niskiej interakcji obsługują kilka usług i są używane przede wszystkim jako narzędzie do wykrywania wczesnego ostrzegania. Wiele zespołów ds. bezpieczeństwa instaluje wiele honeypotów w różnych segmentach swojej sieci, ponieważ są one proste w konfiguracji i utrzymaniu.
- Czysty honeypot: ten wielkoskalowy, podobny do produkcji system działa na wielu serwerach. Jest pełen czujników i zawiera „poufne” dane i informacje o użytkowniku. Dostarczane przez nich informacje są bezcenne, nawet jeśli zarządzanie nimi może być skomplikowane i trudne.
Kilka technologii honeypot
Oto niektóre z używanych technologii honeypotów:
- Honeypoty klienckie: Większość honeypotów to serwery, które nasłuchują połączeń. Klienckie honeypoty aktywnie wyszukują złośliwe serwery, których celem są klienci, i obserwują honeypot w poszukiwaniu podejrzanych lub nieoczekiwanych zmian. Systemy te są zwykle zwirtualizowane i mają plan zabezpieczenia, aby zapewnić bezpieczeństwo zespołowi badawczemu.
- Honeypoty złośliwego oprogramowania: identyfikują złośliwe oprogramowanie za pomocą ustalonych kanałów replikacji i ataków. Honeypoty (takie jak Ghost) zostały zaprojektowane tak, aby wyglądały jak urządzenia pamięci masowej USB. Na przykład, jeśli komputer zostanie zainfekowany złośliwym oprogramowaniem, które rozprzestrzenia się przez USB, pułapka oszuka złośliwe oprogramowanie, aby zainfekować symulowane urządzenie.
- Honeynet: Honeynet to sieć kilku honeypotów, a nie pojedynczy system. Honeynet są zaprojektowane tak, aby podążać za działaniami i motywami napastnika, jednocześnie zawierając całą komunikację przychodzącą i wychodzącą.
- Otwarte przekaźniki poczty i otwarte serwery proxy są symulowane przy użyciu pułapek spamowych. Spamerzy najpierw wyślą do siebie wiadomość e-mail, aby przetestować dostępny przekaźnik poczty. Jeśli im się to uda, wyślą ogromną ilość spamu. Ta forma honeypota może wykryć i rozpoznać test oraz skutecznie zablokować ogromną ilość spamu.
- Honeypot bazy danych: Ponieważ wstrzykiwanie ustrukturyzowanego języka zapytań może często pozostać niewykryte przez zapory, niektóre organizacje wdrażają zaporę bazy danych, aby budować bazy danych wabików i zapewniać obsługę pułapek.
Jak rozpoznać pułapkę kryptowalut?
Badanie historii handlu to jedna z technik rozpoznawania oszustw kryptograficznych typu honeypot. Kryptowaluta powinna generalnie umożliwiać kupowanie i sprzedawanie jej w dowolnym momencie. Będzie dużo zakupów za monetę w oszustwie typu honeypot, ale ludziom będzie trudno ją sprzedać. Oznacza to, że nie jest to legalna moneta i należy jej unikać.
Co więcej, podejście oparte na analizie danych, oparte na zachowaniu transakcji kontraktowych, może być wykorzystywane do klasyfikowania kontraktów jako honeypot lub non-honeypot.
Gdzie mogą powstać honeypoty w inteligentnych kontraktach Ethereum?
Honeypoty mogą pojawić się w trzech różnych obszarach wdrażania inteligentnych kontraktów Ethereum. Oto trzy poziomy:
- Maszyna wirtualna Etheruem (EVM) — chociaż EVM przestrzega ugruntowanego zestawu standardów i zasad, twórcy inteligentnych umów mogą prezentować swój kod w sposób, który na pierwszy rzut oka wprowadza w błąd lub jest niejasny. Ta taktyka może być kosztowna dla niczego niepodejrzewającego hakera.
- Kompilator solidności — kompilator jest drugim obszarem, w którym deweloperzy inteligentnych kontraktów mogą kapitalizować. Podczas gdy niektóre błędy na poziomie kompilatora są dobrze udokumentowane, inne mogą nie być. Te honeypoty mogą być trudne do odkrycia, chyba że umowa została przetestowana w warunkach rzeczywistych.
- Eksplorator łańcucha bloków Etherscan — trzeci rodzaj pułapki opiera się na fakcie, że dane prezentowane w eksploratorach łańcucha bloków są niekompletne. Chociaż wiele osób pośrednio wierzy w dane Etherscan, niekoniecznie pokazują one cały obraz. Z drugiej strony sprytni programiści inteligentnych kontraktów mogą skorzystać z niektórych dziwactw eksploratora.
Jak chronić się przed oszustwami związanymi z umowami typu honeypot?
W tej sekcji opisano, jak wydostać się z oszustw typu honeypot, aby uniknąć utraty pieniędzy. Dostępne są narzędzia, które pomogą Ci dostrzec czerwone sygnały i uniknąć tych walut. Na przykład użyj Etherscan, jeśli moneta, którą kupujesz, znajduje się w sieci Ethereum lub użyj BscScan, jeśli rozważana moneta znajduje się w Binance Smart Chain.
Znajdź identyfikator tokena swojej monety i wprowadź go na odpowiedniej stronie internetowej. Przejdź do „Token Tracker” na następnej stronie. Pojawi się zakładka o nazwie „Posiadacze”. Możesz zobaczyć wszystkie portfele, w których znajdują się tokeny i pule płynności. Niestety, istnieje wiele kombinacji przedmiotów, o których należy pamiętać. Poniżej znajdują się niektóre czerwone flagi, które możesz powinien wiedzieć, jak chronić się przed oszustwami typu honeypot:
- Brak martwych monet: Jeśli ponad 50% monet znajduje się w martwym portfelu, projekt jest stosunkowo chroniony przed ciągnięciem przez dywan (ale nie honeypot) (zwykle identyfikowany jako 0x000000000000000000000000000000000000dead). Jeśli mniej niż połowa monet jest martwa lub żadna nie jest martwa, zachowaj ostrożność.
- Brak audytu: szanse na pojawienie się pułapki są prawie zawsze eliminowane, jeśli firma godna zaufania przeprowadza ich audyt.
- Posiadacze dużych portfeli: Unikaj kryptowalut, które mają tylko jeden lub kilka portfeli.
- Przyjrzyj się ich stronie internetowej: powinno to być całkiem proste; ale jeśli strona wygląda na pospieszną, a jej rozwój jest słaby, jest to znak ostrzegawczy! Jedną sztuczką jest przejście do whois.domaintools.com i wpisanie nazwy domeny, aby zobaczyć, kiedy została zarejestrowana na stronie internetowej. Możesz być pewien, że to oszustwo, jeśli domena została zarejestrowana w ciągu 24 godzin lub mniej od rozpoczęcia projektu.
- Sprawdź ich media społecznościowe: projekty oszustw zwykle zawierają skradzione i niskiej jakości zdjęcia, problemy gramatyczne i nieatrakcyjne „spamowe wiadomości” (takie jak „upuść swój adres ETH poniżej!”), brak linków do istotnych informacji o projekcie i tak dalej.
Token Sniffer to kolejny doskonały sposób na wykrycie kryptowaluty honeypot. Poszukaj wyników „Automatycznego audytu kontraktów”, wpisując identyfikator tokena w prawym górnym rogu. Trzymaj się z dala od projektu, jeśli są jakieś alerty. Ponieważ wiele projektów wykorzystuje teraz szablony umów, wskazanie „Brak wcześniejszych podobnych umów tokenów” może być fałszywie dodatnie.
Jeśli Twoja moneta jest wymieniona na Binance Smart Chain, przejdź do PooCoin, wprowadź ponownie Token ID i monitoruj wykresy. Trzymaj się z daleka, jeśli nie ma żadnych portfeli sprzedających lub jeśli tylko jeden lub dwa portfele sprzedają wybraną monetę. Najprawdopodobniej to honeypot. To nie jest pułapka, jeśli wybraną monetę sprzedaje wiele portfeli. Na koniec powinieneś przeprowadzić dokładne badania przed rozstaniem się z ciężko zarobioną gotówką przy zakupie kryptowalut.
Czym honeypot różni się od honeynetu?
Honeynet to sieć składająca się z dwóch lub więcej honeypotów. Korzystne może być posiadanie podłączonej sieci honeypot. Pozwala firmom śledzić, w jaki sposób atakujący wchodzi w interakcję z pojedynczym zasobem lub punktem sieci oraz jak najeźdźca porusza się między punktami sieci i wchodzi w interakcję z wieloma punktami jednocześnie.
Celem jest przekonanie hakerów, że skutecznie włamali się do sieci; w związku z tym dodając więcej fałszywych lokalizacji sieciowych do realizmu aranżacji. Honeypoty i honeynety z bardziej zaawansowanymi implementacjami, takimi jak zapory nowej generacji, systemy wykrywania włamań (IDS) i bezpieczne bramy internetowe, są określane jako technologia oszustwa. Systemy wykrywania włamań odnoszą się do urządzenia lub oprogramowania, które obserwuje wrogie działania lub naruszenia zasad w sieci. Zautomatyzowane możliwości technologii oszustwa pozwalają pułapce na reagowanie na potencjalnych napastników w czasie rzeczywistym.
Honeypoty mogą pomóc firmom w nadążaniu za stale zmieniającym się krajobrazem ryzyka, gdy pojawiają się cyberzagrożenia. Honeypoty dostarczają ważnych informacji, aby upewnić się, że organizacja jest przygotowana i są prawdopodobnie najlepszym sposobem na złapanie napastnika na gorącym uczynku, mimo że niemożliwe jest przewidzenie i zapobieżenie każdemu atakowi. Stanowią również dobre źródło wiedzy dla specjalistów ds. cyberbezpieczeństwa.
Jakie są zalety i wady honeypotów?
Honeypoty zbierają dane z prawdziwych ataków i innych nielegalnych działań, dając analitykom bogactwo wiedzy. Ponadto jest mniej fałszywych alarmów. Na przykład, zwykłe systemy wykrywania cyberbezpieczeństwa mogą generować wiele fałszywych trafień, ale pułapka minimalizuje liczbę fałszywych trafień, ponieważ prawdziwi użytkownicy nie mają motywu, aby skontaktować się z pułapką.
Dodatkowo, honeypoty są opłacalną inwestycją, ponieważ wchodzą w interakcję tylko ze szkodliwymi działaniami i nie wymagają zasobów o wysokiej wydajności do przetwarzania ogromnych ilości danych sieciowych w poszukiwaniu ataków. Wreszcie, nawet jeśli atakujący używa szyfrowania, honeypoty mogą wykrywać złośliwe działania.
Chociaż honeypoty mają wiele zalet, mają też wiele wad i zagrożeń. Na przykład honeypoty zbierają dane tylko w przypadku ataku. Nie próbowano uzyskać dostępu do pułapki; w związku z tym nie ma danych do zbadania ataku.
Co więcej, złośliwy ruch przechwycony przez sieć honeypot jest gromadzony tylko wtedy, gdy przeprowadzany jest na nią atak; jeśli atakujący podejrzewa, że sieć jest pułapką miodu, uniknie jej.
Honeypoty są ogólnie rozpoznawalne z legalnych systemów produkcyjnych, co oznacza, że wykwalifikowani hakerzy mogą łatwo odróżnić system produkcyjny od systemu honeypot przy użyciu technik odcisków palców systemu.
Pomimo tego, że honeypoty są odizolowane od prawdziwej sieci, ostatecznie łączą się w jakiś sposób, aby umożliwić administratorom dostęp do przechowywanych przez nich danych. Ponieważ ma na celu zwabienie hakerów, aby uzyskać dostęp do roota, pułapka o wysokiej interakcji jest często uważana za bardziej ryzykowną niż ta o niskiej interakcji.
Ogólnie rzecz biorąc, honeypoty pomagają naukowcom w zrozumieniu zagrożeń w systemach sieciowych, ale nie powinny być używane zamiast standardowych IDS. Na przykład, jeśli honeypot nie jest poprawnie skonfigurowany, może zostać wykorzystany do uzyskania dostępu do systemów w świecie rzeczywistym lub do wyrzutni do ataków na inne systemy.
Kontynuuj czytanie w Cointelegraph