HITB 2019 – Ross Bevington over kapotte honeypots en een beter alternatief

Tijdens de HITB conferentie waren er naast presentaties in de grote zalen ook kleinere sessies elders in de Beurs van Berlage. Het niveau van deze talks was zonder uitzondering hoog, de onderwerpen elk zeer interessant. De talk van Ross Bevington Senior Security Software Engineer bij Microsoft was daarvan een goed voorbeeld.

Honeypots are broken

Bevington is van mening dat het gebruik van honeypots niet langer effectief is – Honeypots are broken. De aanvallen die zo worden gesignaleerd laten vooral de automatische processen zien. De mensen die dit veroorzaken blijven letterlijk onzichtbaar en dat geldt ook voor de locatie en kennis. Daarnaast is er nog een probleem met honeypots, ze worden steeds vaker bewust opgezocht om een aanval te kunnen testen. Het opzoeken is geen probleem, dankzij Shodan en anderen is het eenvoudige systemen met veel open poorten te traceren. Wagenwijd openstaan is een kenmerkt van veel honeypots. Als malware of een botnet direct wordt geweerd door een honeypot dan weet de maker dat zijn product nog niet geschikt is voor een serieuze lancering.

Alternatief – de hybride honeypot

Die punten, plus de kosten en tijd die het vergt om een honeypot in de lucht te houden, zijn voor Bevington en zijn collega’s reden geweest een beter alternatief te ontwikkelen. Waar ze mee gekomen zijn is een oplossing die niet alleen in de Azure hyperscaler datacenters kan draaien, maar overal, zelfs in de kleinste serverruimtes. Het systeem kan tot 1.000 keer meer data ontvangen dan een conventionele honeypot en kan even makkelijk (want een VM) worden gekilled door de operator zonder dat het hoge kosten veroorzaakt. Het systeem heeft de weinig fantasierijke naam hybrid honeypot.

Zichtbaar – niet anoniem

Het belangrijkste voordeel is echter niet de lagere kosten. Het nieuwe systeem is in staat fouten te triggeren, waardoor de mensen die achter de aanvallen zitten zelf in actie moeten komen. Elke keer dat ze op een fout reageren worden ze dieper in een systeem getrokken waar ze steeds moeilijker uitkomen. Het begrip dat Bevington daarvoor gebruikt waren Maze (doolhof) en The Matrix (geen verdere uitleg nodig).

Eenmaal in de Maze of Matrix zijn de aanvallers steeds makkelijker te identificeren, niet omdat ze per se fouten gaan maken, maar wel omdat een volledige digitale onzichtbaarheid volhouden uiterst lastig is in een situatie waarbij zij moeten reageren en niet meer het initiatief hebben. De groep van Bevington heeft op deze manier naast IP adressen, namen en foto’s van mogelijke aanvallers, woonplaatsen, en zelfs de IMAC adressen van de gebruikte computers kunnen traceren.

De resultaten die Bevington liet zien waren voorzien van de disclaimer dat er geen 100% zekerheid is dat een getraceerde persoon ook daadwerkelijk een aanvaller is. Om die reden waren gezichten ook geblurred. Toch zal de boodschap ook buiten de HITB community duidelijk zijn geworden. De tijd van het straffeloos misbruiken van honeypots en tegelijkertijd anoniem blijven is wat Microsoft betreft verleden tijd.

Microsoft gaat door met de ontwikkeling en inzet van hybrid honeypot en deelt de vergaarde zoals urls nu al met de infosec community. Een langere versie van de talk met meer details is overigens al enige tijd op YouTube te vinden. Als Bevington’s talk op HITB2019 online beschikbaar is zal de link daarvan in dit artikel worden opgenomen.