Výstupem projektu je webová služba Honeypot as a Service (HaaS), vyvinutá odborníky ze zájmového sdružení CZ. NIC, a poloprovoz veřejného honeypotu, na který bude možné přesměrovat útoky z koncových zařízení. Obě části se spustí nejpozději v květnu příštího roku.

Zapojit veřejnost do boje proti kyberútokům je cílem projektu, na kterém nyní intenzivně pracuje webová služba Honeypot v týmu s odborníky ze zájmového sdružení CZ. NIC. Nejpozději do května příštího roku hodlají spustit nejprve poloprovoz veřejného honeypotu, na který bude možné přesměrovat útoky z koncových zařízení, například domácích routerů, a tím zvýšit bezpečnost obyvatel.

„Drtivá většina zkoumání nových typů útoků pomocí honeypotů se zaměřuje na vytvoření honeypotu, který je však pasivní a není schopen obsluhovat větší množství klientů. Sofistikovaní útočníci však mezi sebou sdílejí informace o známých honeypotech a dovedou se jim pak vyhnout. Projekt HaaS zahrnuje vytvoření sítě minimálně pěti set koncových uživatelů a techniky pro přesměrování těchto uživatelů na centrální honeypot. Cílem našeho výzkumu je pak zajistit, aby byl útočník co nejdéle přesvědčen, že útočí na skutečný cíl, tedy na počítač, server nebo router, nikoliv honeypot,“ vysvětlil práci na inovaci Ladislav Lhotka ze sdružení CZ. NIC, které zajišťuje provoz obou částí projektu. Předkládané řešení je podle něj unikátní především v přesměrování útoků vedených na reálné systémy do honeypotu, a dále zaměřením na koncové uživatele. Jak dokládají zkušenosti z jiných projektů, některé útoky, například ransomware SynoLocker, míří právě na koncové uživatele.

Na aplikovaný výzkum v oblasti kybernetické bezpečnosti přispěla dotací ve výši 1,3 milionu korun z programu DELTA Technologická agentura ČR. „Analýza chování útočníků z podpořeného projektu bude následně využita pro inovaci mechanismů pro SSH honeypoty, práci českého národního bezpečnostního týmu CERT a zlepšení připravenosti České republiky na kybernetické útoky. Státní podpora takových projektů má proto velký smysl,“ prohlásil předseda TA ČR Petr Očko. Program DELTA slouží k podpoře výzkumné spolupráce s inovačně vyspělými zeměmi – v tomto případě s Tchaj-wanem „Tento program výrazně zvyšuje uplatnitelnost výsledků projektů na globálních trzích,“ upozornil Petr Očko s tím, že další výzvu v něm chystá TA ČR na podporu spolupráce s klíčovými zeměmi na květen příštího roku.

Honeypot je informační systém, jehož účelem je přitahovat potenciální kybernetické útočníky, zaznamenat jejich činnost a odhalit bezpečnostní zranitelnost systémů. Užívají se především pro včasné detekování malwaru. „Malwary stále mění svoji strategii útoku a různými způsoby se skrývají a vyhýbají nalezení. Z těchto důvodů je nutno malware nějak nalákat a poté analyzovat jeho chování. Takto získané informace se mohou použít pro aktualizování antivirových systémů. Výhoda našeho řešení spočívá v tom, že reálný napadeného systému nemusí být nijak zvlášť připraven ani zabezpečen, pouze se na něm instaluje celkem jednoduchá aplikace, která přesměruje provoz na náš centralizovaný honeypot. Takovýto přístup podle našich dosavadních zkušeností plně vyhovuje pro boj s nejběžnějšími typy malwaru,“ vysvětluje základy projektu Ladislav Lhotka.

Vzhledem k tomu, že projekt počítá s přesměrováním skutečných útoků ze sítí různých poskytovatelů, vyhnutí se tomuto honeypotu bude nesrovnatelně obtížnější. Na rozdíl od jiných známých projektů se tento zaměřuje primárně na koncové uživatele, kteří zatím zůstávali v pozadí zájmu.

Podle odborných odhadů bezpečnostní divize McAfee kybernetický zločin v zemích EU způsobuje ztrátu ve výši 0,41% HDP ročně. „V případě České republiky se tak jedná o přibližně 18 až 19 miliard korun ročně. Jedny z největších ztrát jsou způsobeny právě útokem využívajícím slabá místa zabezpečení jednotlivých systémů,“ poznamenal Petr Očko.

Zdrojový kód aplikace je dostupný pod licencí GPLv3 na projektovém serveru sdružení CZ. NIC, a dále bude uživatelům dostupný v podobě balíčků pro běžné operační systémy (Linux, OS X, Windows). Webové rozhraní je dostupné na této adrese a slouží k registraci uživatelů, získání informací o „svém“ honeypotu a nastavení svého koncového počítače či routeru. V rámci webového rozhraní si uživatel může též stáhnout aplikaci haas-mitmproxy a návod na její instalaci a konfiguraci.

Zdroj: Tisková zpráva TA ČR