Houkutinansojen käyttö kyberuhkien havaitsemisessa
Solonen, Ville (2020)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202004205359
https://urn.fi/URN:NBN:fi:amk-202004205359
Tiivistelmä
”Hunajapurkki” on jokin tarkoituksella haavoittuvaksi tehty kohde jonka tarkoituksena on houkutella hyökkääjiä tunkeutumaan kohteeseen, jotta saadaan tuotettua tietoa jonka avulla voidaan kehittää kyberturvallisuutta. Tässä työssä käytetään termiä ”hunajapurkki” tarkoittamaan yleisesti näitä houkutinansoja. Opinnäytetyön tavoitteena oli lähteä selvittämään ”hunajapurkkien” käyttötapoja sekä hyötyä nykypäivän kyberturvallisuudessa sekä saada vastaus tutkimusongelmaan. Tämän työn tutkimusongelma on se, että meillä ei ole tarpeeksi näkyvyyttä verkkoon havaitaksemme lateraalista liikettä sekä nähdäksemme IoTlaitteisiin kohdistuvia uhkia. Työ aloitettiin perehtymällä yleisesti siihen mitä ”hunajapurkit” ovat sekä selventämällä niiden välisiä eroja, hyötyjä ja mahdollisia heikkouksia. Tässä tutkimuksessa myös syvennyttiin tarkemmin muutamaan valittuun ”hunajapurkkiin”, pohtien niiden tarjoamia ominaisuuksia sekä niiden mahdollista hyötyä tutkimuksen kannalta. Kerättyjen tietojen avulla voitiin tähän tutkimukseen valita sopivat ”hunajapurkit”.
Työ toteutettiin Kaakkois-Suomen ammattikorkeakoulun Kotkan kampuksen ICTLABin tiloissa. Työn aikana toteutettiin kaksi eri testiä. Ensimmäisen testin tarkoituksena oli pyrkiä havaitsemiseen lateraalista liikettä. Siinä hyödynnettiin Raspberry Pi -pienoistietokonetta alustana, joka ensin valmisteltiin asentamalla ”hunajapurkki”, jonka jälkeen laite liitettiin julkisen IP-osoitteen alle DMZ-alueelle keräämään tietoa saapuvista yhteyksistä. Toisessa testissä käytettiin Philips Hue Bridgeä houkuttimena ja siihen saapuvia yhteyksiä tarkkailtiin ja tallennettiin käyttäen Ethernet LAN tap -laitetta sekä tcpdump-pakettianalysoijaa.
Vaikka lateraalista liikettä ei voitu testien tuloksista havaita, voidaan kuitenkin todeta sen havaitsemisen olevan teoreettisesti mahdollista esimerkiksi ”hunajaverkon” avulla ja hyvä aihe jatkotutkimukselle. ”Hunajaverkko” on useista ”hunajapurkeista” muodostuva verkkoarkkitehtuuri, jonka tarkoituksena on tutkia kokonaisen verkon tietoliikennettä yhden kohteen sijaan. Tässä työssä käytetään termiä ”hunajaverkko” tarkoittamaan tämän tyyppisiä useista houkutinansoista koottuja verkkoja. IoT-laitteisiin kohdistuvan tietoliikenteen tarkkailu suoritettiin onnistuneesti ja tietoliikenteen analysointia suoritettiin, jotta voitiin todeta haitallisen liikenteen esiintyminen. Testeissä todetuista haitallisista tietoliikennetapahtumista saatiin tietoa, jonka avulla löydettiin tutkimuskysymyksiin vastaukset.
Työ toteutettiin Kaakkois-Suomen ammattikorkeakoulun Kotkan kampuksen ICTLABin tiloissa. Työn aikana toteutettiin kaksi eri testiä. Ensimmäisen testin tarkoituksena oli pyrkiä havaitsemiseen lateraalista liikettä. Siinä hyödynnettiin Raspberry Pi -pienoistietokonetta alustana, joka ensin valmisteltiin asentamalla ”hunajapurkki”, jonka jälkeen laite liitettiin julkisen IP-osoitteen alle DMZ-alueelle keräämään tietoa saapuvista yhteyksistä. Toisessa testissä käytettiin Philips Hue Bridgeä houkuttimena ja siihen saapuvia yhteyksiä tarkkailtiin ja tallennettiin käyttäen Ethernet LAN tap -laitetta sekä tcpdump-pakettianalysoijaa.
Vaikka lateraalista liikettä ei voitu testien tuloksista havaita, voidaan kuitenkin todeta sen havaitsemisen olevan teoreettisesti mahdollista esimerkiksi ”hunajaverkon” avulla ja hyvä aihe jatkotutkimukselle. ”Hunajaverkko” on useista ”hunajapurkeista” muodostuva verkkoarkkitehtuuri, jonka tarkoituksena on tutkia kokonaisen verkon tietoliikennettä yhden kohteen sijaan. Tässä työssä käytetään termiä ”hunajaverkko” tarkoittamaan tämän tyyppisiä useista houkutinansoista koottuja verkkoja. IoT-laitteisiin kohdistuvan tietoliikenteen tarkkailu suoritettiin onnistuneesti ja tietoliikenteen analysointia suoritettiin, jotta voitiin todeta haitallisen liikenteen esiintyminen. Testeissä todetuista haitallisista tietoliikennetapahtumista saatiin tietoa, jonka avulla löydettiin tutkimuskysymyksiin vastaukset.