Sæt hacker-fælder i din server, mailkonto og backups med Canarytokens

Illustration: Virrage Images/Bigstock
Et Open Source-toolkit gør det nemt at sætte snubletråde i cyberspace.

En alarm, der giver besked, hvis uvedkommende roder i dine filer, stjæler din software eller finder ind til private dele af hjemmesiden.

Det er, hvad open source værktøjskassen Canarytokens – med få klik – tilbyder ganske gratis. Muligheden er ikke ny. Såkaldte HoneyTokens er længe blevet brugt til at lokke, fange og opdage uvedkommende.

Men med værktøjer som Canarytokens er det nemmere end nogensinde for alle webbrugere, at opsætte et net af sikkerhedsfælder, der giver besked, hvis nogen foretager sig noget, de ikke burde.

»Canarytokens er tænkt som passive fælder, som folk aktiverer, når de går ind og kigger på noget bestemt,« indleder Keld Norman, der er sikkerhedskonsulent hos Dubex.

Canarytokens er en tidlig advarsel, hvis nogen vil trænge ind i dit system, siger Keld Norman, der er sikkerhedskonsulent hos Dubex. Illustration: Dubex

DNS-opslag udløser alarm

Grundlæggende fungerer Canarytokens, som er udviklet af sikkerhedsfirmaet Thinkst, ved at lave et unikt DNS-opslag.

Når det specifikke opslag laves, udløses en alarm, der sender en besked – f.eks. til din mail.

Metoden kan så bruges til at overvåge stort set alt digitalt.

»Hvis du laver et PDF-dokument med links, så vil Adobe, når du åbner PDF’en, med det samme slå DNS-opslagene op,« forklarer Keld Norman.

»Det DNS-opslag er unikt og passer kun til det dokument.«

Altså – hvis PDF’en åbnes, laves DNS-opslaget, og du får en mail med en besked a la: ‘Advarsel: Nogen har åbnet hemmelig.pdf’ – uanset om der bliver klikket på linket i dokumentet.

JPG-ikonet sladrer

DNS-metoden kan måske forekomme som en begrænsning for Canarytokens anvendelighed. Men med en smule kreativitet kan det udnyttes et væld af steder:

»Hvis nogen browser rundt i filsystemet på din server, så ser de ikoner for dokumenter og billedfiler. De ikon-billeder hentes frem til formålet efter en på forhånd specificeret fil-sti,« forklarer Keld Norman.

»Den sti kan være en netværkssti – og på den måde vil operativsystemet pinge DNS-adressen i det øjeblik, nogen kigger i den pågældende mappe.«

Et andet brugsscenarie er, at du får lavet en backup ude i byen, og selskabet lover dig, at dataene bliver krypteret, og ingen kommer til at se på det. Her vil et Canarytoken kunne fortælle dig, hvis filen pludselig blev pakket ud.

Stjæler din kode

Canarytokens kan også sladre, hvis nogen bruger din kode uden at spørge om lov.

»Du kan lægge kodestumper på din hjemmeside. Hvis nogen så stjæler hjemmesidens kode og eksekverer den på deres egen webserver, så ville den kode først aflæse, hvad serveren, koden kører på, hedder,« forklarer Keld Norman.

»Og hvis det ikke er din server, kan koden sende en Canarytoken-trigger af sted, som fortæller, at nogen har hugget din kode.«

Det samme gør sig gældende, hvis nogen bruger et program, hvori en Canarytoken er skrevet ind:

»Hver gang nogen køber en licens til det program, du sælger, så kører du en licensgenerator og giver dem en nøgle. Med en indbygget Canarytoken i exe-filen får du at vide, hvis nogen har stjålet den nøglegenerator.«

Et flag i horisonten

Metoden er simpel – og kan da også omgås af hackere, understreger Keld Norman.

Hvis Canarytokens forsøger at pinge Canarytokens.org, der er standardserver for tjenesten, kan hackere potentielt blokere signalet – f.eks. med firewallen.

Den form for angreb kan man omvendt forsvare sig imod ved at sætte sit Canarytoken til at pinge internt i virksomheden på gatewayniveau, som man skal bruge for at komme på nettet.

»Alternativt kan man obfuskere kaldet, så hackeren ikke kan se, hvilken server der kaldes. Og så har hackeren ikke en chance for at blokere det – medmindre de blokerer alle netværkskald,« siger Keld Norman.

Under alle omstændigheder skal man huske, at Canarytokens er at varselssystem og ikke et egentligt forsvar mod hackere.

»Det er en tidlig advarsel – et flag, der hejses i horisonten, som fortæller, at fjenden er på vej. Eller at du allerede har mistet noget.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Hansen

Alternativt kan man obfuskere kaldet, så hackeren ikke kan se, hvilken server, der kaldes

Obfuskere kaldet hvordan? Ved brug af kortlinks? De kan vel også blokeres? Svagheden ved setuppet ser i mine øjne ud til netop at være afhængigheden af det specifikke domæne, som relativt let kan blokeres, derfor må obfuskering vel nærmest være en nødvendighed, hvis man ønsker at kunne stole på funktionaliteten?

  • 1
  • 0
#2 Keld Norman

Hvis du bruger den eksterne server hedder dine tokens typisk noget ala xxxxxx.canarytokens.com og det kan man som du nævner bruge "kortlinks?" ala https://goo.gl/ men linket er kun obskuficeret indtil vedkommende aktiverer det (hvis det er http/https kald) Det vil synes med fuld navn efter google har rediregeret men der er triggeren aktiveret så det kan man måske leve med det - det var vel formålet ?

..men hvis du vil være "helt stille" kan alternativet at bygge din egen canary token server :) Den kan bygges med sourcen herfra https://github.com/thinkst/canarytokens-docker (check i øvrigt pgså canaryfy toolet fra samme githubkonto https://github.com/thinkst ) og der vælge hvilket server navn der skal benyttes/dns/domæne. Så kan du endda holde det hele internt (på intranettet) hvis du vil.

Med venlig hilsen Keld Norman

  • 3
  • 0
#3 Thomas Johansen

fra http://blog.thinkst.com/p/canarytokensorg-quick-free-detection.html

What if attackers blacklist the honeytokens.org domain? Doesn't that work? This would work! That's why we suggest that you download the canarytokens docker image and run your own server. (You can grab the source to build it yourself from here)

Edit..... der var jeg for langsom...

  • 1
  • 0
Log ind eller Opret konto for at kommentere