מלכודת דבש (מחשבים)
מלכודת דבש (באנגלית: Honeypot) הוא מושג בתחום המחשבים, המתייחס למנגנון לאבטחת מחשבים המתוכנן לזהות, להסיט, ובחלק מהמקרים לנטרל ניסיונות לשימוש בלתי מורשה במערכות מידע. באופן כללי, מלכודת דבש מכילה נתונים אשר נראים כחלק מנתוני בסיס הנתונים או המערכת, ושלכאורה מכילים מידע בעל ערך לתוקפים, אך למעשה הם מבודדים ומנוטרים וחוסמים למעשה את התוקפים. ניתן להקביל זאת להצבת פיתיון משטרתי ולביצוע מעקב סמוי, עד לתפיסת העבריין וענישתו.
סוגים
מלכודות דבש יכולות להיות מסווגות בהתאם למיקום שלהן, ובהתאם לרמת המעורבות שלהן. בהתייחס למיקום, ניתן לסווג מלכודות דבש כ:
- מלכודות דבש בייצור
- מלכודות דבש במחקר
מלכודות דבש בייצור קלות לשימוש, לוכדות רק מידע מועט, ונמצאות בשימוש בעיקר בידי חברות או תאגידים. מלכודות אלה מותקנות בתוך רשת הייצור עם שרתי ייצור אחרים, במטרה לשפר את האבטחה. בדרך כלל, מלכודות דבש אלה בעלות מעורבות נמוכה, ולכן קל יותר לפרוס ולהתקין אותן. הן נותנות פחות מידע על התוקפים או המתקפות מאשר מלכודות דבש במחקר.
מלכודות דבש במחקר מריצות יותר מידע על המניעים והשיטות של קהילת התוקפים, המתקיפים רשתות שונות. מלכודות דבש אלה לא מוסיפות ערך מוסף ישיר לארגון. במקום זאת, הן משמשות לצורך מחקר וניתוח האיומים איתם מתמודדים הארגונים וכדי ללמוד איך להגן בצורה טובה יותר מפני אותם איומים. מלכודות דבש אלה מורכבות יותר לפריסה ותחזוקה, לוכדות מידע רב ונמצאות בשימוש ארגוני מחקר, צבא וממשל בעיקר.
בהתבסס על הקריטריונים לעיצוב, ניתן לסווג מלכודות דבש כ:
- מלכודות דבש טהורות
- מלכודות דבש באינטראקציה גבוהה
- מלכודות דבש באינטראקציה נמוכה
מלכודות דבש טהורות הן מערכות ייצור מלאות על כל המשתמע מכך. הפעילות של התוקף מנוטרת האזנה לקישור שהותקן על מלכודות הדבש לרשת. אין צורך להתקין תוכנות נוספות. על אף שמלכודות אלה הן מועילות, הסתרת מנגנוני האבטחה יכולה להיות מובטחת על ידי מנגנון מבוקר יותר.
מלכודות דבש באינטראקציה גבוהה מחקות את הפעילויות של מערכות הייצור של החברה, ועל כן ניתן לאפשר לתוקף גישה לשירותים רבים על מנת שיבזבז את זמנו. על ידי התקנת מכונות וירטואליות, ניתן להתקין מלכודות דבש מרובות על מכונה פיזית אחת. כך, אם הצליחו לפגוע במלכודת דבש, ניתן לאחזר אותה במהירות. באופן כללי, מלכודות אלה מספקות יותר אבטחה מכיוון שקשה לזהות אותן, אך הן יקרות לתחזוקה. אם מכונות וירטואליות אינן זמינות, יש צורך במחשב פיזי לכל מלכודת דבש, דבר אשר מייקר את העלות.
מלכודות דבש באינטראקציה נמוכה מחקות רק את השירותים המבוקשים ביותר על ידי התוקפים. מכיוון שהן צורכות פחות משאבים, מספר מכונות וירטואליות יכולות להתארח בקלות על מערכת פיזית אחת, למערכות הווירטואליות זמן תגובה קצר, פחות תחזוקת קוד, ובכך מפחיתות את מורכבות אבטחת המערכות הווירטואליות.
מלכודות דבש לנוזקות
מלכודות דבש לנוזקות משמשות לזיהוי נוזקה על ידי ניצול דרך ההתפשטות (וקטור) הידוע של הנוזקה. וקטור לשכפול כמו דיסק און קי יכול להיות מאומת בקלות לבחינת עדויות של שינויים, באמצעות בדיקות ידניות או באמצעות מלכודות דבש המדמות כוננים.
גרסאות ספאם
ספאמרים מנצלים משאבים כמו מערכות דואר פתוחות. חלק ממנהלי המערכות יצרו תוכנות מלכודת דבש אשר מטעות את הספאמר המשתמש במשאבים ובכך חושפות את פעילותו.
מלכודת דוא"ל
כתובת דוא"ל שמשמשת רק לצורך קבלת ספאם יכולה להחשב גם כסוג של מלכודת דבש.
מלכודת דבש נתונים
בסיסי נתונים מותקפים לעיתים קרובות על ידי הזרקת SQL. מכיוון שפעילות זו לא מזוהה על ידי חומות אש בסיסיות, חברות משתמשות בחומות אש ייעודיות לבסיסי נתונים. חלק מחומות האש הזמינות ל-SQL מאפשרות אכיטקטורת מלכודת דבש, כך שהתוקף נתקל במלכודת של בסיס נתונים, בעוד אפליקציית הרשת לא נפגעת.
רשתות דבש
2 מלכודות דבש או יותר יוצרות רשת דבש (honeynet). לרוב, רשת דבש משמשת לניטור רשת גדולה שבה מלכודת דבש אחת לא מספיקה.
מטפורה
המטפורה של דב הנמשך לדבש וגונב אותו נפוצה עמים שונים, כולל גרמניים וסלביים. המסורת של הפצת סיפורים על דובים הגונבים דבש הועברה באמצעות סיפורים ופולקלורים, ובכללם הסיפור הידוע, פו הדב.
קישורים חיצוניים
- רועי לטקה, גיוס: TrapX מגייסת 9 מיליון דולר, מייצרת מלכודת דבש להאקרים, 11 ביוני 2015
- נתנאל שיין, HoneyPots, גיליון 11 - אוגוסט 2010, באתר DigitalWhisper
- Project Honey Pot
25213371מלכודת דבש (מחשבים)