Honeypot…DNA di una vittima

Da quanto affermato nel primo paragrafo si evince che l’intrinseco valore di un honeypot risiede nella sua genetica predisposizione ad essere attaccato. Internet, è ben noto, rappresenta il terreno fecondo di una continua lotta tra chi protegge un sistema e chi cerca di violarlo: una lotta senza tempo tra lancia e corazza in cui le regole del duello, combattuto a colpi di moderne tecnologie informatiche ed antiche furbizie greche, si cristallizzano in quella che comunemente viene definita la legge di natura. Il concetto di forza deve essere inteso, nell’ambito informatico, in senso ampio comprendente, principalmente, la capacità di aggiornarsi nel modo più rapido ed efficace possibile, non solo sulle ultime innovazioni tecnologiche ma anche sulla scoperta di nuove falle nei sistemi adottati oppure sull’invenzione di nuove alchimie che consentono di bucare il sistema protetto. In questa giungla digitale, dove il più forte tende a sopraffare tutti gli altri, mettere al mondo un sistema debole, con strumenti di protezione non sufficientemente aggiornati o in cui sono presenti delle falle conosciute potrebbe, a prima vista, non avere molto senso poiché vorrebbe dire creare un organismo fisiologicamente soggetto a degli attacchi che andranno, con molta probabilità, a buon fine. La principale qualità -utilità di questo strumento risiede proprio nel fatto di essere, per natura, predisposto a subire attacchi che tendenzialmente riusciranno a concludersi con la violazione del sistema. Non essendo predisposto a svolgere particolari compiti, diversi da quello di essere una vittima sacrificale in attesa del carnefice di turno, «tutto il traffico dell’honeypot è da considerare sospetto per natura»[1].

Il secondo frammento di DNA che caratterizza la struttura di un honeypot è la capacità, tendenziale, di registrare ed archiviare i dati relativi al traffico generato da e verso se stesso. Le informazioni raccolte, anche se non numerose, sono di notevole rilevanza criminologica e preventiva perché descrivono, in modo chiaro, le modalità di attacco e di comportamento di chi tenta e di chi riesce a violare il sistema (gli unici, salvo errore, che hanno interesse ad accedervi). La mole di dati così raccolta si dimostra di estrema rilevanza perché non inquinata da numerosi altri con cui generalmente convivono i dati relativi all’attacco. L’utilità si esprime non tanto in sede di prevenzione quanto in quella di rilevazione dell’attacco subito e di una possibile reazione. Parlare dell’utilità di un honeypot “sicuro” potrebbe apparire, a questo punto, come una contraddizione in termini ma ad analizzare il fenomeno, prestando maggiore attenzione alle sue straordinarie potenzialità, si può scorgere l’utilità criminologia e statistica di predisporre honeypots con differenti livelli di sicurezza per calibrare ed archiviare i dati raccolti in rapporto all’abilità – pericolosità dell’attaccante.


 

NOTE

[1] LANCE SPITZNER, Honeypots – Definizione e valore degli Honeypot, (Traduzione a cura di DANIELE BESANA), http://www.itvirtualcommunity.net/educational/honeypots.htm. Nonostante il fatto che l’affermazione riportata non sia sempre vera (potrebbero esserci, infatti, degli errori banali alla base della generazione del traffico si pensi, ad esempio,all’eventualità di aver inserito un indirizzo IP sbagliato…) tuttavia, la predetta indicazione è utile per comprendere l’importanza e le potenzialità dello strumento in oggetto.