Assiste.com
cr 17.12.2004 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Antispam est un terme de l'industrie informatique.
Antispam : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot « anti » (contre, s'opposant, bloquant, détruisant, protégeant) et du suffixe « Spam » désignant/signifiant tout ce qui est indésirable à l’endroit où on le trouve (cela n’a rien à faire là). Plus trivialement, le terme « Spam » signifie : « c’est de la merde ».
Un « HoneyPot » ou « HoneyNet » (le pot de miel pour attirer les mouches) est une méthode, en sécurité de l’information sur l’Internet, qui consiste à exhiber un leurre (comme laisser, sur un réseau, un point d'entré (une machine) aboutissant à un cul de sac (un trou noir) - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières (pour tromper un hacker qui chercherait à savoir s’il est sur une machine réelle ou dans un piège) avec seulement les failles les plus criardes patchées (corrigées par application des correctifs)).
Un « HoneyPot », pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudo activité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP, transferts FTP, applications métier, etc.).
Bardé du tous les outils d’observation et sniffers possibles, ce « pot de miel » qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes, etc.), silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre). Les « HoneyPots » posent beaucoup de problèmes dont :
Il y a plusieurs solutions logiciels de type « HoneyPot » dont :
Les solutions « HoneyNet » passent par le SI (Service Informatique interne) ou, plus généralement, par un prestataire de services extérieur.
Même si une solution « open source » paraît gratuite au départ, sa mise en œuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels importants, donc, en fin de compte, c'est probablement en dizaines de milliers d'euros qu'il faut compter.
malwaretech.com surveille les botnets en utilisant des serveurs DNS permettant de piéger des attaques, de les inhiber et de les étudier. L'infrastructure de MalwareTech est constituée de serveurs DNS (des DNS menteurs pour la bonne cause) utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant des requêtes vers les serveurs de l'attaquant donne son emplacement géographique, ce qui permet ces cartographies (cliquez sur le bouton « Connect » et cochez la case « Norse Mode »).
|
Un « HoneyPot » ou « HoneyNet » (le pot de miel pour attirer les mouches) est une méthode, en sécurité de l’information sur l’Internet, qui consiste à exhiber un leurre (comme laisser, sur un réseau, un point d'entrée (une machine) aboutissant à un cul-de-sac (un trou noir) - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières (pour tromper un hacker qui chercherait à savoir s’il est sur une machine réelle ou dans un piège) avec seulement les failles, dont les failles de sécurité) les plus criardes patchées (corrigées par application des correctifs, au jour le jour, aux failles de sécurité).
Un « HoneyPot », pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudoactivité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP [présence du protocole SMTP], transferts FTP [présence du protocole FTP], applications métiers [présence d'applications correspondantes à l'activité de la cible, etc.]).
Bardé du tous les outils d’observation et sniffers possibles, ce « HoneyPot » (« pot de miel ») qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes, etc.), silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre).
Il y a plusieurs solutions logiciels de type « HoneyPot » dont :
CyberCop Sting (de « Network Associates », « HoneyPot » racheté par McAfee en 1999, revendu puis racheté à nouveau. Qu'est devenu ce produit dont la trace semble perdue ?)
Recourse ManTrap (de « Recourse Technologies », racheté par Symantec, ce qui a fait couler beaucoup d'encre)
DTK - Deception ToolKit (une solution en open source)
malwaretech.com surveille les botnets en utilisant des serveurs DNS menteurs permettant de piéger des attaques, de les inhiber et de les étudier. L'infrastructure de MalwareTech est constituée de serveurs DNS (des DNS menteurs pour la bonne cause) utilisés en trous noirs (Pots de miel - HoneyPots) avec absorption de l'attaque afin de l'étudier (ce genre de HoneyPots est appelé « SinkHole »). L'adresse IP de la machine faisant des requêtes vers les serveurs de l'attaquant donne son emplacement géographique, ce qui permet ces cartographies des machines de l'attaquant (cliquez sur le bouton « Connect » et cochez la case « Norse Mode »).
Les solutions « HoneyNet » passent par le SI (Service Informatique interne) ou, plus généralement, par un prestataire de services extérieur.
Même si une solution « open source » paraît gratuite au départ, sa mise en œuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels importants, donc, en fin de compte, c'est probablement onéreux (selon la prestation choisie). Il faut vraiment qu'il y ait l'espoir de gagner beaucoup d'argent à la clé pour se lancer dans ce genre d'opérations.
|
Connaissez votre ennemi : HoneyNets (EN, 3 pages, 21.4.2001)
Cas récents d'espionnage (EN, PDF, 49 pages, septembre 1999)
Les encyclopédies |
---|