“Bal küpü” ya da “bal çanağı” şeklinde ifade edilen Honeypot’lar bilişim sistemlerine karşı gerçekleştirilen saldırıların tespit edilmesi için kurulmuş tuzaklardır. Kurulduğu makina üzerinde “verir göründüğü” servisler tuzağa düşürmeye çalıştığı saldırı türlerine göre farklılık gösterse de, Bal Küplerinin temel çalışma prensibini şu şekilde açıklayabiliriz:Bal küpleri dahil oldukları ağlarda saldırıların (otomatize ya da el ile başlatılan) dikkatini çekecek şekilde davrandıklarından, farkındalık yaratırlar. Bu görevi üstlenmiş makinalar geçerli hiçbir servis sunmadıklarından, kendilerine yönlenen her türlü trafik şüpheli olarak kabul edilmekte ve inceleme altına alınmaktadır. Bal küpleri hali hazırda bilinen açıklar karşısında zayıf görünerek, bunları değerlendirmeye çalışan saldırganların tespitinde yardımcı olurlar. Bununla birlikte, hiç kullanılmayan IP bloklarının bu makinalara yönlendirilmesi sonucu yeni ortaya çıkan saldırıların da tespitin de kullanılırlar. Bal küpleri bir çok saldırı türünü üzerine çekeceğinden, kullanıldıkları ağ için bir tehdit oluşturmaları mümkündür. O yüzden bu amaçla kullanılan uygulamanın ayarları iyi yapılmalı ve trafiği kontrol altında tutulmalıdır.
İnternetin artan önemiyle birlikte, çeşitli teknik, ticari ve iş ilişkileri sofistike/uzmanlaşmış ağ uygulamaları dizilerinden yararlanan çok sayıda kullanıcıları tarafından yürütülür. Bu bağlamda, ağ gözetleme ve izleme görevi büyük önem kazanmakta ve balküpleri bilgi toplama, “blackhat” ekipleri arasındaki olası ilişkiler kadar saldırganların “ilgi alanları”nı anlama konusunda umut verici araçları temsil eder. Mario Marchese, Roberto Surlinelli ve Sandro Zappatore tarafından yazılan “Monitoring unauthorized internet accesses through a ‘honeypot’ system” (2011) adlı makalede Geneova Üniversitesi İletişim, Bilgisayar ve Bilgi Bilimleri Bölümü ağları içinde dağıtılan balküpü grupları tarafından elde edilen sonuçlar sunulmakta ve tartışılmaktadır. Çalışma kapsamında 4 ay boyunca toplanan istatistikler 130 farklı ülkeden gelen, bal küpü sistemi ile temas kuran ve yaklaşık 60000 farklı TCP’nin giriş yaptığı yaklaşık 10000 farklı saldırıyı orta çıkarmıştır.
İnternet aracılığıyla gerçekleştirilen ağ saldırılarını önlemek için ağ yöneticileri ve yetenekli bireysel kullanıcılar firewall, virüs tarama ve saldırı tespit sistemleri dağıtmaya çalışırlar. Balküpleri iki amaç için kullanılmaktadır; birincisi rootkit, trojan ve olası ağ risklerini tespit etmek; ikincisi ise bilgi toplamak ve saldırganların “ilgi alanları”nı anlamak ve “blackhat” takımları arasındaki olası ilişkilerle ilgilidir.
Çalışmanın ikinci bölümünde balküplerinin sınıflandırılması ve tanımı ve gelişme seviyesine yer verilmiş, üçüncü bölüm Geneva Üniversitesinin İletişim, Bilgisayar ve Sistem Bilimleri bölümünde uygulanan balküpü sistemini göstermekte, dördüncü bölüm 4 ay boyunca ağ izleme ve sistem günlüğü yoluyla elde edilen verileri tanımlamakta ve eleştirel bir şekilde tartışmaktadır. Elde edilen sonuçlar gelişme seviyesiyle kıyaslanmaktadır.
Bu çalışma açısından balküpü, önemi/değeri saldırıya uğraması, gizliliğinin ihlal edilmesi ve test edilmesi/incelemesinde yatan bir güvenlik kaynağıdır. Balküpleri saldırıya uğradıklarında saldırı yöntemi özellikleri ve teknikleriyle ilgili bilgi toplamaktadır.
Ayrıca Sayfa 81’de verilen tabloda Türkiye’den yapılan saldırılardaki IP adresleri ve İnternet kullanıcılarının yüzdesine yer verilmiştir.
Balküpü sistemi saldırıların ve saldırganların tek/bireysel eylemlerini kaydederek protokollerin, saldırının yeri ve saldırılar için kullanılan bağlantı noktasının kontrol edilmesine, kullanılan işletim sisteminin belirlenmesine olanak sağlar. Bu çalışma ayrıca her ülkede kullanılan protokol türünün ve saldırı türlerinin belirlenmesine olanak sağlamaktadır.
Kaynak: Mario Marchese, Roberto Surlinelli ve Sandro Zappatore (2011) “Monitoring unauthorized internet accesses through a ‘honeypot’ system” INTERNATIONAL JOURNAL OF COMMUNICATION SYSTEMS, 24:75–93
Yeni Medya 