Μελέτη και κατηγοριοποίηση κυβερνοεπιθέσεων σε δημοφιλή λειτουργικά συστήματα και υπηρεσίες με τη χρήση Honeypots
Abstract
Στην σύγχρονη εποχή, οι άνθρωποι κάνουν εκτενή χρήση του διαδικτύου μέσα από το οποίο μεταφέρουν πολλά προσωπικά δεδομένα και πληροφορίες, χωρίς να γνωρίζουν ακόμα και οι ίδιοι τον όγκο των ευαίσθητων στοιχείων, που διαρρέονται. Αυτή την διάδοση των πληροφοριών προσπαθούν να εκμεταλλευτούν κακόβουλοι χρήστες, προκειμένου να αποσπάσουν κωδικούς λογαριασμών, πληροφορίες συναλλαγών και οτιδήποτε μπορούν να χρησιμοποιήσουν προς όφελος τους. Τα δεδομένα είναι ο σημαντικότερος παράγοντας για την ιδιοτικότητα του ανθρώπου και η προστασία τους συσχετίζονται με τον όρο της κυβερνοασφάλειας. Πιο συγκεκριμένα, η κυβερνοασφάλεια είναι ο ορισμός της προστασίας των δεδομένων και πρέπει να αναβαθμίζεται συνεχώς καθώς οι τρόποι επιθέσεων αναπτύσσονται, ποικίλουν και διαφοροποιούνται. Ένας τρόπος για την αναβάθμιση της κυβερνοασφάλειας είναι τα honeypot.
Πιο συγκεκριμένα, τα Honeypot είναι ένας μηχανισμός ασφάλειας υπολογιστών για την ανίχνευση, την εκτροπή και την εξουδετέρωση των προσπαθειών μη εξουσιοδοτημένης χρήσης συστημάτων πληροφοριών. Διαθέτουν αναπτυγμένες δυνατότητες για συλλογή και ανάλυση των επιθέσεων, που κάνουν οι κακόβουλοι χρήστες. Με αυτόν τον τρόπο συμβάλουν στην αναγνώριση καινούργιων διαδικτυακών επιθέσεων, στην κατηγοριοποίηση ομάδων επιθέσεων, στην συγκέντρωση και στην ανάλυση των εργαλείων που χρησιμοποιούνται. Τα honeypot ελκύουν τους επιτιθέμενους, καθώς παρουσιάζονται ως αληθινά πληροφοριακά συστήματα και εκθέτουν διαδικτυακές πόρτες στον παγκόσμιο ιστό.
Σκοπός αυτής της εργασίας είναι η δημιουργία ενός υψηλού αλληλεπίδρασης honeypot για να μελετηθούν οι διαδικτυακές απειλές που υπάρχουν στο διαδίκτυο και η κατηγοριοποίηση των επιθέσεων αυτών. Πιο συγκεκριμένα το honeypot που θα δημιουργηθεί θα είναι μία σουίτα από υπάρχοντα honeypots και θα συνδυάζονται μέσω της εφαρμογής docker. Στο υψηλού αλληλεπίδρασης honeypot που θα δημιουργηθεί θα γίνεται καταγραφή, επεξεργασία, παρακολούθηση δικτυακής κίνησης, αποτροπή των επιθέσεων, απομακρυσμένη διαχείριση και οπτικοποίηση των δεδομένων. Οι πληροφορίες από τις επιθέσεις που θα δέχονται τα honeypots θα απεικονίζονται στο χρήστη μέσω του “Kibana” και του “Elastic Search”. Ο χρήστης θα έχει πρόσβαση σε αυτά τα συστήματα μέσα από τo περιηγητή ιστού που χρησιμοποιεί και θα μπορεί να βλέπει τις επιθέσεις σε πραγματικό χρόνο. Επιπρόσθετα θα γίνεται κατηγοριοποίηση των επιθέσεων με κριτήρια την υπηρεσία που θα χρησιμοποιεί το honeypot, την διεύθυνση διαδικτυακού πρωτοκόλλου του κακόβουλου χρήστη και την χώρα από την οποία προέρχεται η επίθεση.
In modern times, people use the Internet extensively and transfer a lot of personal data and information without even knowing the volume of personal data leaking. This information is being exploited by malicious users to extract account codes, transaction information and anything they can use to their advantage. Data is the most important factor and its protection is related to the term cybersecurity. More specifically, cybersecurity is the definition of data protection and needs to be constantly upgraded as the ways of attacks are developed, varied and diversified. One way to upgrade cybersecurity is a honeypot.
Honeypot is a computer security mechanism for detecting, diverting, and neutralizing the attempts of unauthorized use of information systems. They have advanced capabilities for collecting and analyzing attacks made by malicious users. They contribute to the recognition of new online attacks, to the categorization of attack groups, to the collection and analysis of the tools used in this way. Honeypot attracts attackers as they present themselves as real information systems and expose ports to the internet.
The purpose of this work is to create a high interaction honeypot to study the online threats that exist on the internet and to categorize these attacks. More specifically, the honeypot that will be created will be a suite of existing honeypots and will be combined through the Docker application. The high-interaction honeypot that will be created will record, process, monitor network traffic, prevent attacks, remote management, and visualize data. The information from the attacks that honeypots will receive will be displayed to the user through Kibana and Elastic Search. The user will have access to these systems through the web browser he or she will use and will be able to see the attacks in real time. In addition, the attacks will be categorized based on the service that the honeypot will use, the IP address of the malicious user and the country of origin of the attack.