هاشم حسینی | 2022.04.13

کلاهبرداری هانی‌ پات (honeypot) در رمز ارزها چیست و چگونه آن را شناسایی کنیم؟

قراردادهای هوشمند درحکم برنامه‌هایی هستند که می‌توان آن‌ها را بربستر شبکه‌های غیرمتمرکزی از نودهای (nodes) بلاک‌چین‌های مدرن ازقبیل اتریوم اجرا کرد. امروزه قراردادهای هوشمند بیش از پیش با محبوبیت عمومی کاربران مواجه شده و به‌دلیل ارزش بالایی که دارند هدف حملات گوناگونی ازسوی مجرمان قرار می‌گیرند؛ به‌طوری‌که طی سال‌های اخیر چندین قرارداد هوشمند مهم از سوی هکرها مورد سرقت و خرابکاری واقع شده‌اند. با گذشت زمان هکرها نیز دیگر به‌استفاده از روش‌های متداول سنتی علاقه نشان نداده و تمرکز خود را تنها بر قراردادهای مستعد قرار نمی‌دهند، بلکه به اتخاذ استراتژی‌های نوین‌ و پویاتری روی آورده‌اند. در این رویکرد هکرها قربانیان خود را به استفاده از قراردادهای آسیب‌پذیری سوق می‌دهند که دارای تله‌های مخفی و پنهان هستند. این‌دست از قراردادهای خاص با اصطلاح هانی‌ پات (honeypot) نام‌گذاری شده‌اند. اکنون بهتر است به‌ معرفی تله‌های هانی‌ پات رمز ارز بپردازیم.

هانی‌ پات‌ها قراردادهای هوشمند‌ی هستند که به‌گونه‌ای طراحی شده‌اند که به‌ یک کاربر خاص اجازه‌ی برداشت کامل توکن ETH را از حساب فردی که این قرارداد را امضا کرده و یا توکنی به‌ آن ارسال کند، خواهد داد. بااین‌وجود چنانچه کاربر مذکور سعی به سوءاستفاده از این خطای بالقوه نماید، مسیر دیگری ایجاد می‌شود که از تخلیه‌ی اتریوم‌های حساب قربانی جلوگیری می‌کند.

هدف این کلاهبرداری تمرکز ویژه بر ضعف‌های آشکار و چشم‌پوشی از علائم آسیب‌پذیری‌های قرارداد هوشمند است. دلیل موفقیت هانی‌ پات‌ها این است که مانند سایر کلاهبرداری‌ها، اغلبِ کاربران به‌سادگی فریب می‌خورند و هنگامی که با حرص و طمع روبه‌رو شوند قدرت ترسیم و تعیین ریسک‌های پیش‌رو را از دست خواهند داد. حال ممکن است بپرسید کلاهبرداری هانی‌ پات چگونه عمل می‌کند؟

پیشنهاد مطالعه: بررسی پروژه‌های کلاهبرداری و اسکم‌ در حوزه‌ی رمز ارزها

کلاهبرداری هانی‌ پات چگونه عمل می‌کند؟

در حملات هک سایبری، مانند هانی‌ پات‌ها، دارایی کاربر قربانی قفل شده و تنها توسعه‌دهنده‌ی هانی‌ پات قادر به آزادسازی و بازگردانی آن است. کلاهبرداری هانی‌ پات معمولا در سه فاز رخ می‌دهد.

کلاهبرداری هانی پات

فرد هکر برای توسعه‌ی یک هانی‌ پات در قراردادهای هوشمند اتریوم نیازی به دانش تخصصی ویژه‌ای ندارد. درواقع دانش فنی وی با یک کاربر عادی اتریوم برابر است و برای ایجاد یک تله‌ی هانی‌پات تنها نیازمند مقداری دارایی اولیه برای توسعه‌ی یک قرارداد هوشمند است. اجرای یک عملیات هانی‌پات درحالت کلی به موارد زیر نیازمند است: یک کامپیوتر، برنامه‌ها و داده‌هایی که توانایی تقلید سیستم‌های بلاک‌چین معتبر را داشته باشند (مانند اینترنت اشیاء IoT)، یک نظام بانکی و درنهایت یک شبکه‌ی عمومی خدمات پرداخت و انتقال وجوه.

کلاهبرداری هانی پات

یک هانی‌ پات درحالت کلی مانند بخشی از شبکه تلقی شده و از سایر بخش‌ها جدا بوده و تحت نظارت می‌باشد. باتوجه به آنکه کاربرهای عادی انگیزه و دلیلی برای دسترسی به یک هانی‌ پات ندارند، هرگونه تلاش برای دسترسی و ارتباط با آن درحکم اقدامی مخرب و مجرمانه تلقی خواهد شد. هانی‌ پات‌ها اغلب در بخش غیرنظامی شبکه‌ (network’s demilitarized zone-DMZ) قرار می‌گیرند. این راهکار همزمان آن‌ها را از بخش‌های اجرایی اصلی شبکه جدا ساخته ولی منجر به قطع ارتباط آن با سایر اجزای شبکه نخواهد شد. درنتیجه هانی‌پاتی که در بخش DMZ مستقر است را می‌توان هنگام دسترسی هکرها تحت‌نظر گرفت؛ این امر ریسک کمتری را متوجه شبکه‌ی اصلی خواهد کرد.

جهت شناسایی تلاش‌های نفوذ به شبکه‌‌های داخلی می‌توان هانی‌ پات‌ها را در فایروال‌های خارجی و درتماس با اینترنت قرار داد. موقعیت حقیقی یک هانی‌ پات به ظرافت طراحی، نوع ترافیک درخواستی و نزدیکی آن با منابع حیاتی تجاری وابسته است. هانی‌ پات‌ها صرف‌نظر از موقعیت خود همواره از محیط تولید شبکه جداسازی خواهند شد.

ثبت و مشاهده‌ی فعالیت‌های مربوط به هانی‌ پات، دانشی درخصوص انواع و شدت تهدیداتی که زیرساخت‌های شبکه هنگام ممانعت مهاجمین از دسترسی به دارایی‌های واقعی تجربه می‌کنند، به ما خواهد داد. مجرمان سایبری می‌توانند هانی‌ پات‌ها را در کنترل گرفته و از آن‌ها برعلیه شرکت توسعه‌دهنده‌ سوءاستفاده نمایند. این‌دست از مجرمان همچنین از هانی‌پات‌ها برای دسترسی به داده‌های موسسات و سازمان‌های تحقیقاتی بهره‌ برده و می‌توانند به سکوی مناسبی جهت عوام‌فریبی و نشر اکاذیب تبدیل شوند.

میزبانی هانی‌ پات‌ها معمولا بر ماشین‌های مجازی است. برای نمونه اگر هانی‌ پاتی توسط یک بدافزار آلوده شود به‌سرعت امکان بازیابی و اصلاح آن وجود خواهد داشت. یک هانی‌نت (honeynet) مجموعه‌ای از یک یا چند هانی‌ پات بر یک شبکه هستند، درحالی‌که یک هانی‌فارم (honey farm) به مجموعه‌ی متمرکزی از هانی‌ پات‌ها و ابزارهای تحلیلی گفته می‌شود.

هانی‌ پات‌ها را می‌توان به ‌کمک راهکارهای منبع‌ باز و تجاری، مدیریت و راه‌اندازی کرد. دو نوع سیستم‌ هانی‌ پات وجود دارد؛ آن‌هایی که به‌طور مستقل فروخته می‌شوند و یا آن‌هایی که با سایر نرم‌افزارهای امنیتی ترکیب می‌شوند. نرم‌افزار Honeypot بر پایگاه داده‌ی GitHub برای عموم دردسترس است و می‌تواند به افراد تازه‌کار برای فراگیری سازوکار هانی‌ پات‌ها کمک شایانی کند.

پیشنهاد مطالعه: فیشینگ چیست؟ (Phishing) معرفی انواع فیشینگ

هانی پات

انواع هانی‌ پات‌ها

براساس نوع طراحی و اجرای قراردادهای هوشمند دو نوع هانی‌ پات وجود دارد: هانی‌ پات‌های تحقیقاتی و تولیدی. هدف اصلی هانی‌ پات‌های تحقیقاتی جمع‌آوری داده‌های حملات و استفاده از آن‌ها برای تحلیل رفتار تهاجمی هکرهاست.

هانی‌ پات‌های تحقیقاتی با بررسی محیط اجرایی از اهداف هکرهای مهاجم، از نقطه‌ ضعف‌ و بدافزارهای موردنظر آن‌ها اطلاعاتی به‌دست می‌آورند. از این اطلاعات می‌توان برای اتخاذ رویکردهای دفاعی، بسته‌های الحاقی امنیتی و سرمایه‌گذاری‌های آتی استفاده نمود.

از نوع دیگر، یعنی هانی‌ پات‌های تولیدی، برای شناسایی نقاط آسیب‌پذیر فعال شبکه و فریب هکر مهاجم استفاده می‌شوند. هانی‌ پات‌ها می‌توانند فرصت‌های متنوع نظارتی را ارائه نموده و شکاف‌های رایجی را که در فرآیندهای اسکن شبکه و حرکات جانبی پیش‌ می‌آیند، شناسایی و رفع کنند. باتوجه به موارد فوق، جمع‌آوری داده یکی از اولویت‌های اصلی هانی‌ پات‌ها تلقی می‌شود.

هانی‌ پات‌های تولیدی همچنین بستر مناسبی برای خدماتی هستند که در محیط‌ قراردادهای هوشمند و در راستای سرورهای تولیدی اجرا می‌شوند. هانی‌ پات‌های تحقیقاتی درمقایسه با انواع تولیدی پیچیده‌تر بوده و انواع گسترده‌تری از داده‌ها را ذخیره می‌کنند.

به‌علاوه باید دانست که براساس سطح پیچیدگی موردنیاز شرکت شما، هانی‌ پات‌های تحقیقاتی و تولیدی دارای سطوح و انواع مختلفی هستند:

  • هانی‌پات‌های پرتعامل: این نوع که به‌خاطر دربرگیری طیف وسیعی از خدمات به‌عنوان هانی‌ پات خالص نیز معروف است، از پیچیدگی کمتری برخوردار بوده و داده‌های کمتری ذخیره می‌کند. هانی‌ پات‌های پرتعامل به‌گونه‌ای طراحی نشده‌اند که بتوانند سیستم‌های تولیدی را در مقیاس‌های واقعی و بزرگ بازآفرینی نمایند، اما توانایی آن را دارند تا تمامی خدمات رایج محیط تولیدی را ازجمله سیستم‌عامل‌های کارا را اجرا کنند.

هانی‌ پات‌های پرتعامل به شرکت‌ها برای نظارت و شناسایی استراتژی هکرهای مهاجم کمک خواهند کرد. این هانی‌ پات‌ها به منابع بسیار بالایی نیاز داشته و مدیریت آن‌ها دشوار است، اما تقریبا در اکثر مواقع نتایج بسیار مفیدی ارائه می‌دهند.

هانی پات

  • هانی‌ پات‌هایی با سطح تعامل معمولی: این نوع هانی‌ پات‌ها قادر به بازآفرینی ویژگی‌های لایه‌ی اپلیکیشن‌ها بوده اما فاقد سیستم‌عامل هستند. این نوع هانی‌ پات‌ها می‌توانند به هکرهای مهاجم نفوذ کرده و یا آن‌ها را گیج کنند تا از این طریق مسئولیت شبکه و کسب‌وکارها زمان بیشتری برای پاسخ‌گویی مناسب به حملات صورت گرفته داشته باشند.
  • هانی‌ پات‌هایی با سطح تعامل پایین: این نوع که متداول‌ترین هانی‌‌ پات مورداستفاده در محیط‌های تولیدی است قادر به‌ اجرای خدمات اندکی بوده و عموما به‌عنوان ابزار شناسایی زودهنگام حملات استفاده می‌شوند. سادگی نصب و سهولت مدیریت و نگهداری این نوع هانی‌ پات‌ها موجب شده است تا تیم‌های امنیتی تعداد بالایی از آن‌ها را در قسمت‌های گوناگون شبکه‌ی خود نصب کنند.
  • هانی‌ پات‌های خالص: ویژگی بارز این هانی‌ پات‌ها مقیاس بزرگ و شباهت بالای آن‌ها به سیستم‌های تولیدی است و بر سرورهای چندگانه‌ای نصب و اجرا می‌شوند. هانی‌ پات‌های خالص از حسگرهای فراوانی برخوردارند و داده‌ها و اطلاعات محرمانه‌ی کاربران را دربر می‌گیرند. هانی‌ پات‌های خالص به‌رغم پیچیدگی ساخت و مدیریت و نگهداری چالش‌برانگیز خود، ارائه‌دهنده‌ی اطلاعات بسیار ارزشمندی هستند.

هانی پات

فناوری‌های مختلف هانی‌ پات‌

در این بخش از مقاله با برخی از فناوری‌های فعلی هانی‌ پات‌ها آشنا می‌شویم:

  • هانی‌ پات‌های مشتری: اغلب هانی‌ پات‌ها را می‌توان سرورهایی دانست که در انتظار ارتباط هستند. هانی‌ پات‌های مشتری همواره درجستجوی سرورهای مخربی‌اند که مشتریان را مورد هدف قرار می‌دهند و هرگونه تغییر مشکوک یا ناخواسته را در هانی‌ پات اصلی تشخیص می‌دهند. این نوع هانی‌ پات‌ها غالبا به‌طور مجازی اجرا شده و از یک برنامه‌ی بازدارنده برای برقراری امنیت تیم تحقیقاتی استفاده می‌کنند.
  • هانی‌ پات‌های بدافزار: این هانی‌ پات‌ها توسط بازآفرینی‌های اثبات‌شده و کانال‌های حمله قادرند تا بدافزارها را شناسایی کنند. برای نمونه هانی‌ پات Ghost طوری طراحی شده است که شبیه‌ به یک حافظه‌ی USB به‌نظر برسد، بنابراین اگر بدافزاری از‌طریق درایوهای USB انتقال یابد، هانی‌ پات می‌تواند این بدافزار را فریب داده و آن را به USB شبیه‌سازی‌شده و مجازی هدایت کند و از شیوع ویروس و آلوده شدن سیستم اصلی پیشگیری کند.
  • هانی‌ نت‌ها یا شبکه‌ای از چند هانی‌ پات: همان‌طور که از اسم آن‌ها مشخص است این سیستم‌ها از چندین هانی‌ پات تشکیل شده‌اند. هانی‌ نت‌ها به‌گونه‌ای طراحی شده‌اند که همزمان با پیگیری اعمال و انگیزه‌ی فرد مهاجم، بتوانند تمام ارتباطات داخلی و خارجی را حفظ کنند.
  • رله‌ها (relays) یا تقویت‌کننده‌های منبع باز ایمیل و پراکسی‌ها، به‌کمک هانی‌پات‌های اسپم طراحی شده‌اند. در این تکنیک اسپمرها برای آزمایش اعتبار رله‌ها نخست یک ایمیل به آدرس خود ارسال می‌کنند. درصورتی‌که این پروسه با موفقیت روبه‌رو شود اقدام به ارسال تعداد بی‌شماری از اسپم‌ها خواهند کرد. هانی‌ پات‌های اسپم توانایی شناسایی و رهگیری این‌گونه آزمایش‌ها را داشته و از پخش حجم سرسام‌آور اسپم‌های وابسته به‌ آن جلوگیری می‌کند.
  • هانی‌ پات‌های پایگاه ‌داده: از آنجایی که فایروال‌ها گاهی قادر به تشخیص تزریق اس‌کیوال‌ها یا زبان پرسمان ساخت‌یافته (SQL) نیستند، برخی از سازمان‌ها از فایروال‌های پایگاه ‌داده برای ساخت یک هانی‌ پات فریبنده استفاده می‌کنند.

پیشنهاد مطالعه: معرفی بدافزار cryptojacking + راه مقابله با کریپتوجکینگ

نحوه‌ی تشخیص یک هانی‌ پات رمز ارز چگونه است؟

شاید نخستین و ابتدایی‌ترین شیوه‌ی تشخیص یک کلاهبرداری هانی‌ پات رمز ارز بررسی سابقه‌ی تراکنش‌ها باشد. یکی از ویژگی‌های رمز ارزها توانایی خریدوفروش‌ آن‌ها در هرلحظه است؛ اما هنگام رویارویی با یک کلاهبرداری هانی‌ پات، به‌رغم تعداد بالای سفارش‌های خرید برای یک توکن، فروش آن بسیار دشوار خواهد بود. این حالت به‌منزله‌ی هشداری درباره‌ی اعتبار توکن موردنظر است که باید سریعا از مبادله‌ی آن اجتناب ورزید.

علاوه‌بر راهکار فوق می‌توان از رویکرد علم داده‌ها براساس تراکنش‌های صورت‌گرفته برای طبقه‌بندی قراردادهای‌ هوشمند به‌ دو گروه هانی‌ پات‌ها و غیر هانی‌ پات‌ها بهره برد.

هانی‌ پات‌ها در چه بخشی از قراردادهای هوشمند اتریوم رخ می‌دهند؟

در اکثر مواقع هانی‌ پات‌ها در سه بخش از پیاده‌سازی قراردادهای هوشمند اتریوم رخ می‌دهند که در ادامه به ذکر آن‌ها می‌پردازیم:

هانی پات

  1. ماشین مجازی اتریوم (EVM): علی‌رغم آنکه EVMها از مجموعه‌ای مدون از استانداردها و قوانین برخوردارند، اما توسعه‌دهندگان قراردادهای هوشمند می‌توانند کدهای خود را به‌گونه‌ای بنویسند که در وهله‌ی اول گمراه‌کننده و غیرشفاف باشد. چنین روش‌هایی برای هکرهای غیرآگاه بسیار زیان‌بار خواهد بود.
  2. برنامه‌ی مترجم یا کامپایلر Solidity: دومین بخشی که توسعه‌دهندگان قراردادهای هوشمند از آن بهره می‌برند کامپایلرها هستند. درحالی‌که برخی از این کامپایلرها به‌خوبی مستندسازی و تدوین شده‌اند، گروه دیگر فاقد چنین نظمی هستند. اگر این قراردادهای هوشمند در شرایط دنیای واقعی آزمایش نشده باشند، شناسایی این‌گونه هانی‌ پات‌ها دشوار خواهد بود.
  3. مرورگر بلاک‌چین Etherscan: نوع سوم هانی‌ پات‌ها بر این واقعیت شکل می‌گیرد که داده‌های ارائه‌شده در مرورگرهای بلاک‌چین ناقص است. باآنکه اغلب کاربران به داده‌های موجود در Etherscan کاملا اعتماد می‌کنند، باید دانست که این اطلاعات آنچنان هم کامل نیستند. درنتیجه توسعه‌دهندگان فریبکارِ قراردادهای هوشمند قادرند تا از برخی از ویژگی‌های این مرورگرها سوءاستفاده کنند.

پیشنهاد مطالعه: کامل‌ترین آموزش کار با سایت اتر اسکن etherscan.io

چگونه از دارایی خود در کلاهبرداری‌های هانی‌ پات رمز ارز حفاظت کنیم؟

در این بخش از مقاله به بررسی روش‌هایی خواهیم پرداخت که به‌ شما در پیشگیری از کلاهبرداری‌های هانی‌ پات کمک کرده و مانع از ضرر سرمایه‌گذاری می‌شوند. برای تشخیص رمز ارزهای مخرب و پیشگیری از آن‌ها ابزارهای خاصی توسعه یافته‌اند؛ برای حصول اطمینان از وجود توکن موردنظر بر بلاک‌چین اتریوم و زنجیره‌ی هوشمند بایننس (BSC) به‌ترتیب می‌توانید از ابزارهای Etherscan و BscScan استفاده کنید.

پس از یافتن شناسه‌ یا ID توکن موردنظر خود، آن را در سایت مربوطه بررسی کرده و سپس به بخش «رهگیری توکن یا Token Tracker» مراجعه کنید. در این بخش فهرستی از دارندگان یا «Holders» به‌شما نشان داده‌ می‌شود که می‌توانید آدرس کیف‌پول‌هایی که این رمز ارز را دراختیار دارند و یا استخرهای نقدینگی (لیکوئیدیتی) آن را، مشاهده کنید. برای شناسایی پروژه‌ها و توکن‌های کلاهبرداری لازم است تا از آیتم‌های مختلفی باخبر باشید و آن‌ها را درنظر بگیرید. در ادامه به‌ معرفی برخی از این پرچم‌های قرمز یا اخطارهایی که می‌توانند شما را از حضور هانی‌ پات‌های رمز ارز آگاه نمایند خواهیم پرداخت:

هانی پات

  • عدم وجود توکن‌های مُرده: چنانچه بیش از 50درصد ارزهای یک پروژه در یک کیف‌پول مُرده یا غیرفعال باشند، این پروژه نسبتا دربرابر حملات راگ پول (rug pull) یا تخلیه‌ی نقدینگی محافظت شده است؛ این ویژگی به‌صورت کد «0x000000000000000000000000000000000000dead» نمایش داده خواهد شد. اما چنانچه کمتر از 50درصد از این توکن‌ها غیرفعال باشند یا اصلا توکن مُرده‌ای وجود نداشته باشد، باید به اعتبار این پروژه شک کرده و نسبت به احتمال وقوع یک کلاهبرداری هانی‌پات آگاه باشید.
  • نبود هرگونه حسابرسی: اگر دارایی‌های یک پروژه‌ی رمز ارز توسط یک شرکت معتبر حسابرسی شوند، احتمال وقوع حملات هانی‌پات تقریبا ازبین می‌رود.
  • تعداد بالای دارندگان کیف‌پول: رمز ارزهایی که تنها یک یا تعداد کمی کیف‌پول دارند قابل اعتماد نبوده و بهتر است از آن‌ها اجتناب کنیم.
  • بررسی سایت رسمی صادرکننده‌ی رمز ارز: این روش بسیار آسان است. اگر مراحل پیشرفت در سایت رسمی پروژه، عجولانه توضیح داده شده و طرح توسعه‌ی آن نیز فاقد ویژگی‌های لازم باشد، بهتر است کمی بااحتیاط عمل کنید. یکی از روش‌هایی که می‌توانید اعتبار پروژه را بررسی کنید مراجعه به‌ سایت «domaintools.com» و نوشتن اسم سایت موردنظر است تا از تاریخ ثبت آن مطلع شوید. اگر دامنه‌ی مذکور در کمتر از 24 ساعت گذشته یا پس از آغاز پروژه ثبت شده باشد، بااطمینان می‌توان به کلاهبردار بودن آن استناد کرد.
  • بررسی پلتفرم‌های اجتماعی پروژه‌ی موردنظر: پروژه‌های کلاهبرداری معمولا از تصاویر دزدی یا بی‌کیفیت استفاده می‌کنند، از مشکلات گرامری فراوان رنج می‌برند، دارای پیام‌های بی‌ارزش و شِبه-اسپم و فاقد لینک‌های مرتبط با اطلاعات پروژه هستند.

یکی دیگر از منابع معتبر برای شناسایی طرح‌های کلاهبرداری هانی‌ پات رمز ارز «Token Sniffer» است. برای استفاده از این ابزار ابتدا شناسه‌ی توکن موردنظر خود را در گوشه‌ی سمت راست این ابزار وارد کرده و نتایج مربوط به «حسابرسی خودکار قرارداد (Automated Contract Audit)» را بررسی نمایید. درصورت مشاهده‌ی هرگونه هشدار، از پروژه‌ی مذکور اجتناب کنید. نکته‌ای که باید به ‌آن توجه داشت این است که برخی از پروژه‌های فعلی از قالب «No prior similar token contracts» یا «فاقد قرارداد مشابه توکن» استفاده می‌کنند. این یک پیام راستی‌آزمایی کاذب است و باید از سرمایه‌گذاری در آن خودداری کرد.

اگر توکنی که قصد سرمایه‌گذاری در آن را دارید بر زنجیره‌ی هوشمند بایننس فعال است، به سایت «PooCoin» مراجعه کرده و پس از وارد کردن شناسه‌ی آن نمودارهای ارائه‌شده را بررسی کنید. اگر تنها یک یا دو کیف‌پول مایل به ‌فروش آن بودند به‌احتمال زیاد با یک پروژه‌ی کلاهبرداری هانی‌ پات روبه‌رو هستید، اما اگر تعداد فروشنده‌های آن بالا باشد می‌توان از امنیت آن مطمئن شد. درنهایت پیش از اختصاص سرمایه‌ی باارزش خود به هریک از رمز ارزها، همواره تحقیقات کافی به‌عمل آورده و از جزئیات پروژه‌ مطلع شوید.

پیشنهاد مطالعه: روش‌های رایج کلاهبرداری (اسکم) در حوزه رمزارز و بلاکچین

وجه تمایز هانی‌ پات و هانی‌ نت در چیست؟

همان‌طور که در بخش آغازین مقاله به ‌آن اشاره کردیم، هانی‌نت شبکه‌ای مشتمل از دو یا چند هانی‌ پات است. داشتن هانی‌ پات‌های متصل به‌هم مزایایی دارد که یکی از آن‌ها امکان رهگیری و بررسی نحوه‌ی تعامل فرد مهاجم با یک منبع یا نقطه‌ی شبکه و ارتباط همزمان وی با شبکه‌ای از نقاط داده است.

هانی‌ نت‌ها با هدف متقاعد ساختن هکر در دستیابی و نفوذ موفقیت‌آمیز به شبکه‌‌ها و افزایش موقعیت‌های کاذب به چینش واقعی سیستم توسعه‌ یافته‌اند. هانی‌ پات‌ها و هانی‌ نت‌هایی که از سیستم‌های اجرایی پیشرفته‌تری برخوردارند شامل فایروال‌های نسل جدید، سامانه‌های تشخیص نفوذ (IDSes) و درگاه‌های امن اینترنت هستند. هدف این است که هکرها را متقاعد کنیم که با موفقیت به شبکه نفوذ کرده‌اند. از هانی‌ پات‌ها و هانی‌ نت‌های مجهز به پیاده‌سازی‌های پیشرفته‌تر، مانند فایروال‌های نسل بعدی، سیستم‌های تشخیص نفوذ (IDS) و دروازه‌های امن اینترنت، به‌عنوان سامانه‌های شناسایی یاد می‌شود. سیستم‌های تشخیص نفوذ، سخت‌افزارها یا نرم‌افزارهایی هستند که درخصوص رفتارهای تهاجمی یا نقض سیاست‌های شبکه هشیار بوده و به‌ آن واکنش نشان می‌دهند. وجود چنین سامانه‌های خودکاری به هانی‌ پات‌ها امکان پاسخ‌گویی مناسب به حملات موجود را به‌طور همزمان و بی‌وقفه خواهد داد.

کاربرد دیگر هانی‌ پات‌ها یاری‌رسانی به شرکت‌ها در مقابله با انواع حملات سایبری نوظهور است. با‌آنکه پیش‌بینی حملات هکر کار غیرممکنی است، اما هانی‌ پات‌ها با ارائه‌ی اطلاعات حیاتی به سازمان‌ها از آمادگی لازم آن‌ها درهنگام رویارویی با هرگونه حمله‌ی احتمالی اطمینان حاصل می‌کنند. این فناوری‌ها منبع اطلاعاتی بسیار مفیدی برای متخصصان امنیت سایبری هستند.

پیشنهاد مطالعه: پیش‌بینی جرایم سایبری در سال 2022

محاسن و معایب هانی‌ پات‌ها

هانی‌ پات‌ها می‌توانند داده‌هایی از حملات واقعی و سایر فعالیت‌های غیرقانونی را جمع‌آوری کنند و به تحلیل‌گران اطلاعات بسیار باارزشی ارائه دهند. به‌علاوه‌ در این راهکارها مثبت‌های کاذب بسیار کمی وجود دارد و از این‌ جهت بسیار معتبر هستند. برای نمونه سیستم‌های معمولی شناسایی حملات سایبری از نتایج مثبت کاذب فراوانی برخوردارند. اما ازآنجاکه کاربران حقیقی انگیزه‌ای برای ارتباط با هانی‌ پات‌ها ندارند، اطلاعات ارائه‌شده ازسوی آن‌ها از اعتبار بالا و خطای کمی برخوردار است.

ازجایی‌که هانی‌ پات‌ها تنها با رفتارهای تهاجمی تعامل داشته و منابع سخت‌افزاری قدرتمندی برای پردازش داده‌های حجیم شبکه و جستجوی حملات ندارند، می‌توان آن‌ها را حوزه‌ی بسیار مفیدی برای سرمایه‌گذاری تلقی کرد. ذکر این نکته خالی از لطف نیست که حتی درصورتی‌که فرد مهاجم برای مقاصد خود از تکنیک‌های رمزنگاری استفاده کند، هانی‌ پات‌ها همچنان قادر به شناسایی آن‌ها خواهند بود.

هانی‌ پات‌ها درکنار محاسن فراوان خود از معایب و ریسک‌هایی نیز برخوردارند. برای نمونه این فناوری‌ها تنها درصورت وقوع حملات اقدام به جمع‌آوری داده‌ها می‌کنند. چنانچه تلاشی برای دسترسی به آن‌ها صورت نگیرد، داده‌ای برای بررسی ماهیت حمله وجود نخواهد داشت.

به‌علاوه، هانی‌ پات‌ها تنها هنگامی که حمله‌ای برعلیه‌شان شروع شده باشد اقدام به‌ جمع‌آوری ترافیک مخرب می‌کنند، درنتیجه اگر هکری شک کند که شبکه‌ی موردنظرش یک هانی‌ پات است از ادامه‌ی فعالیت تهاجمی خود دست می‌کشد.

در حالت‌ کلی می‌توان هانی‌ پات‌ها را از سیستم‌های تولیدی قانونی تمایز داد، به ‌این معنا که هکرهای ماهر به‌وسیله‌ی تکنیک‌های انگشت‌نگاری به‌راحتی قادر به تشخیص یک سیستم‌ تولیدی از هانی‌ پات خواهند بود.

باآنکه هانی‌ پات‌ها از شبکه‌های واقعی جداسازی شده‌اند، همچنان راهی برای دسترسی مدیران به داده‌های خود ارائه می‌دهند. با‌توجه به این امر که هدف اصلی هانی‌ پات‌ها فریب هکرها در دسترسی به هسته‌ی مرکزی یا روت سیستم‌ها و قراردادهای هوشمند است، هانی‌ پات‌هایی با سطح تعامل بالا از ریسک بالاتری نسبت به انواع کم‌تعامل‌تر برخوردارند.

نتیجه‌گیری

فناوری هانی‌ پات به محققان در درک بهتر ریسک‌های شبکه‌ای یاری می‌رسانند، اما نباید از آن‌ها به‌جای سامانه‌های تشخیص نفوذ استاندارد استفاده کرد. برای نمونه اگر یک هانی‌ پات از تنظیم مناسبی برخوردار نباشد، هکرها می‌توانند از آن برای دسترسی و نفوذ به سیستم‌های واقعی و یا به‌عنوان بستری برای اجرای حملات علیه سایر سامانه‌ها سوءاستفاده کنند.

این مقاله صرفا برای اهداف آموزشی ارائه شده است و نباید به‌عنوان مشاورهٔ تجاری و سرمایه‌گذاری از طرف کوین ایران و نویسندگانش قلمداد شود.

منبع