ANALISI COMPARATIVA DELLE HONEYPOT PER LO STUDIO DI CYBER ATTACCHI

When you come into contact with a computer resource, such as a software or a website, you cannot be certain that you will not encounter obstacles. Some of these may be malfunctions caused by intentional attempts by subjects, whose objective is to hinder the performance of their work. In order to analyze and capture these malicious actions by the so-called "hackers" a system called "honeypot" has been introduced: the present is a real defense technique, acts as bait against the attacker, of which it stores all the activities. There are several works that propose honeypots as a defence tool but it is not well defined how useful and effective the information collected can be. In order to define this aspect, I did a thesis work involving a multi-purpose framework called "T-pot". T-pot was created by the Telekom-Mobile organization and is a platform that stores a collection of 19 honeypots. From each of them it collects all information about the cyber attacks from the captured ones and provides the administrator with a front-end view of all attacks against each service. Through the use of this tool, I was able to carry out a comparative study between the different Honeypot, identifying which of them was able to capture more cyber attacks and how many sources (identified by IP address) were involved. At the end of the analysis period, lasting five days, I found that the most significant systems are Cowrie, Honeytrap and Dionaea, in which the first is a honeypot of interaction SSH and Telnet designed to record brute force attacks, the second is a meta-honeypot, which identifies the request protocol that arrives and forwards traffic to another honeypot that can respond to it, and the third includes several honeypots that respond to multiple services on different ports. Following the analysis, it is possible to make a consideration on the Honeypot system, which is very flexible, or well designed to perform specific tasks, It is also easy to use because it provides data in small quantities so that researchers can easily understand whether data analysis can be profitable.

Quando si entra in contatto con una risorsa informatica, ad esempio un software o un sito web, non si può essere certi di non incontrare ostacoli. Alcuni di questi possono essere malfunzionamenti causati da tentativi intenzionali da parte di soggetti, il cui obiettivo consiste nell’intralciare lo svolgimento del proprio operato. Per poter analizzare e catturare queste azioni malevoli da parte dei cosiddetti “hacker” è stato introdotto un sistema chiamato “honeypot”: la presente è una vera e propria tecnica di difesa, funge da esca nei confronti dell’attaccante, di cui memorizza tutte le attività svolte. Esistono diversi lavori che propongono le honeypot come strumento di difesa ma non è ben definito quanto le informazioni raccolte possano essere utili ed efficaci. Per poter definire il presente aspetto, ho svolto un lavoro di tesi che ha coinvolto un framework multiuso chiamato “T-pot”. T-pot è stato realizzato dall’organizzazione Telekom-Mobile ed è una piattaforma che immagazzina una raccolta di 19 honeypot. Da ciascuna di esse raccoglie tutte le informazioni sugli attacchi informatici dalle stesse catturate e fornisce all’amministratore una vista front-end di tutti gli attacchi contro ogni servizio. Tramite l’utilizzo del suddetto strumento, ho potuto svolgere uno studio comparativo tra le diverse Honeypot, individuando quale tra esse riuscisse a catturare più attacchi informatici e quante sorgenti (individuate tramite indirizzo IP) fossero coinvolte. Al termine del periodo di analisi, della durata di cinque giorni, ho rinvenuto che i sistemi più significativi sono Cowrie, Honeytrap e Dionaea, in cui il primo è un honeypot di interazione SSH e Telnet progettato per registrare attacchi di forza bruta, il secondo è una una meta-honeypot, che identifica il protocollo della richiesta che arriva e inoltra il traffico ad un’altra honeypot in grado di rispondergli, e il terzo include diverse honeypot che rispondono a più servizi su diverse porte. Successivamente allo svolgimento delle analisi è possibile effettuare una considerazione sul sistema Honeypot, il quale risulta molto flessibile, ovvero ben progettato per poter svolgere compiti specifici, e anche semplice da utilizzare poiché forniscono dati in piccole quantità cosicché i ricercatori possano facilmente capire se l'analisi dei dati possa rivelarsi proficua.