Honeypot

Vikipedi, özgür ansiklopedi
Atla: kullan, ara

Honeypot, Türkçeye balküpü olarak çevrilebilir. Balküpü; bilgi sistemlerinin kullanımında yetkisiz veya kötü amaca sahip erişimleri tespit etmek, zararlarından kaçınmak ya da önlemek amacıyla kurulan bir çeşit tuzaktır. Balküpü genelde, bir ağın parçasıymış gibi görünen bilgisayar veya veri barındıran herhangi bir sunucu makine olabilir, ama aslında saldırganlara göre, saldırmak için sebep olabilecek bilgi veya değer taşıyan bir hedef gibi duran, izole edilmiş ve hareketleri özellikle izlenen bir kaynaktır.

Türler[değiştir | kaynağı değiştir]

Balküpleri yerleşim ve birbirleriyle olan etkileşim seviyelerine göre sınıflandırılabilirler.

Yerleşimlerine göre balküpleri şu şekilde sınıflandırılabilir:

  1. Üretim balküpleri (production honeypots)
  2. Araştırma balküpleri (research honeypots)

Üretim balküpleri‘nin kullanımı kolaydır. Sadece belirli bilgileri tutar ve özellikle şirketler, kurumlar veya kuruluşlar tarafından kullanılırlar. Üretim balküpleri kuruluşlar tarafından, genel olarak güvenliği arttırmak için diğer üretim sunucuları ile birlikte, üretim ağına yerleştirilir. Üretim balküpleri genelde, kurulumu ve kullanımı daha kolay olan, düşük etkileşimli balküpleridir. Saldırılar ve saldırganlar hakkında araştırma balküplerine göre daha az bilgi verirler.

Araştırma balküpleri, farklı ağları hedef alan hacker gruplarının amaçları ve saldırı taktikleri hakkında bilgi toplamaları için çalıştırılırlar. Bu balküpleri belirli tek bir kuruluş için kullanılmazlar. Onun yerine kuruluşların karşılaştıkları tehditleri araştırmak ve kuruluşların bu tehditlere karşı daha iyi nasıl korunabileceklerini öğrenmek için kullanılırlar. Araştırma balküplerinin kurulumu ve bakımı zordur. Daha kapsamlı bilgi tutar ve özellikle askeri kurumlar, araştırma ve devlet kurumları tarafından kullanılırlar.

Aralarındaki etkileşim seviyesine göre balküpleri şu şekilde sınıflandırılabilir:

  1. Saf balküpleri (pure honeypots)
  2. Yüksek etkileşimli balküpleri (high-interaction honeypots)
  3. Düşük etkileşimli balküpleri (low-interaction honeypots)

Saf balküpleri tam teşekküllü sistemlerdir. Saldırganın hareketleri, balküpünün ağ bağlantısından çekilen ayrı bir hat sayesinde izlenir. Başka bir yazılımın yüklenmesine gerek yoktur. Saf balküpü kullanışlı olmasına rağmen savunma mekanizmasının gizliliği genelde, daha gelişmiş bir mekanizma tarafından sağlanabilir.

Yüksek etkileşimli balküpleri çeşitli servisler sağlayan gerçek sistemlerin hareketlerini taklit ederler, böylece saldırganın zamanını harcayabileceği birçok servisi kullanmasına izin verilir. Yüksek etkileşimli balküpü teknolojisinde yapılan son araşmalara sonucu, sanal makine kullanılarak birden fazla balküpü tek bir fiziksel makinede çalıştırılabilmektedir. Bu sayede, balküpü saldırıdan etkilense bile çok hızlı bir şekilde eski durumuna döndürülebilmektedir. Genel olarak yüksek etkileşimli balküpleri zor tespit edilebilmeleri sayesinde daha fazla güvenlik sağlarlar, fakat bakım maliyetleri çok yüksektir. Sanal makinenin kullanılabilir olmadığı durumlarda, her fiziksel makine için bir balküpü çalıştırılır. Bu da epey pahalıya mal olur.

Düşük etkileşimli balküpleri sadece saldırganlar tarafından sıklıkla istek gönderilen servisleri taklit ederler. Nispeten daha az kaynak harcadıkları için, bir fiziksel makinede kolaylıkla birden fazla sanal makine çalışabilir. Sanal sistemlerin cevap süresi kısadır ve az kod gerektirirler, güvenliğin karmaşıklığını azaltırlar.

Spam Versiyonları[değiştir | kaynağı değiştir]

Spam gönderenler, açık proxy ve açık geçiş sunucularını istismar ederler. Bazı sistem yöneticileri, spam hareketlerini tespit etmek için, bu istismar edilebilen kaynaklar gibi davranan balküpleri oluştururlar. Bunun gibi, balküplerinin yöneticilere sağladığı birçok özellik vardır ve bu tip kötü kullanıma açık şekildeki sahte sistemlerin varlığı bu istismarları daha zor ve riskli hale getirmektedir. Balküpleri, spam gönderenler ve bunlar gibi yüksek seviye kötüye kullanıma dayalı aktivitelere karşı güçlü birer önlem olabilmektedirler.

Bu balküpleri spam gönderen IP adreslerini tespit eder ve geniş çaplı spam yakalama kabiliyeti sunarlar (operatörlere, spam gönderenlerin URL’lerini ve cevap mekanizmalarını belirleme imkanı sağlarlar). Açık geçiş sunucuları için kullanılan balküpleri, spam gönderenlerin, test mesajlarını yollamak için hedef olarak kullandıkları e-posta adreslerini(dropboxes) belirleyebilirler. Dropbox’ları spam gönderenler açık geçiş sunucularını tespit etme aracı olarak kullanırlar. Buna bağlı olarak spam gönderenleri aldatmak kolaydır: dropbox’ın e-posta adresine gönderilmiş postayı aldığına dair herhangi bir cevap gönder. Bu, spam gönderene aslında balküpü olan makinenin, gerçek açık geçiş sunucusu olduğunu söyler ve spam gönderen, balküpüne sürekli olarak onu durduracak kadar çok miktarda spam yollayarak cevap verir. Asıl hedef kaynak, istismar edilen başka bir sistem olabilir; spam gönderenler veya diğer saldırganlar, saldırı trafiğinin orijinal başlangıç noktasının tespit edilmesini zorlaştırmak amacıyla aynı anda birçok sisteme etki edebilirler.

Bu, balküplerinin anti-spam aracı olarak ne kadar güçlü olduklarının göstergesidir. Anti-spam balküplerinin ilk zamanlarında, spam gönderenlerin yerlerini gizlemek konusunda pek kaygıları yoktu, direkt kendi sistemlerinden açıkları test ederler ve spam gönderirlerdi. Balküpleri bu saldırıları riskli bir hale getirdi ve daha da zorlaştırdı.