День рождения первой обманной системы DTK

Набор инструментальных обманных средств (The Deception Toolkit, DTK) является первым средством, предназначенным для реализации механизма обмана злоумышленников, пытающихся проникнуть в сеть организации. Данное средство разработано Фредом Коэном (Fred Cohen), чтобы ввести в заблуждение автоматизированные средства анализа защищенности путем создания ложных уязвимостей.

 Набор инструментальных обманных средств (The Deception Toolkit, DTK) является первым средством, предназначенным для реализации механизма обмана злоумышленников, пытающихся проникнуть в сеть организации. Данное средство разработано Фредом Коэном (Fred Cohen), чтобы ввести в заблуждение автоматизированные средства анализа защищенности путем создания ложных уязвимостей. Создаваемые сканерами безопасности отчеты не смогут помочь злоумышленнику определить какие из обнаруженных уязвимостей являются реальными, а какие нет. Тем самым злоумышленнику придется тратить время и ресурсы на проверку всех обнаруженных уязвимостей, что позволит своевременно обнаружить такие попытки и противопоставить им эффективные средства защиты и, возможно, обнаружить злоумышленника.

DTK может быть легко настроен под различные требования пользователей, но обычно это программирование ограничивается созданием ответных реакций на действия нападающих. Например, можно создать заголовок (banner) программы sendmail, возвращаемый на попытку установления соединения с соответствующим портом. В данном заголовке может быть стандартная информация о версии программы, которая используется многими средствами анализа защищенности для принятия решения о наличии уязвимости [2].

DTK представляет собой набор программ на языке C и Perl, реализующих описанные выше механизмы обмана злоумышленников. Эти программы могут быть модифицированы под конкретные нужды пользователей. Как замечает автор, DTK может функционировать под управлением любой ОС, поддерживающей стек протоколов TCP/IP и имеющей реализацию транслятора с языка Perl. В частности под управлением большого числа различных Unix'ов. Теоретически, после небольшой доработки исходных текстов, DTK сможет функционировать и под управлением Windows NT с Resource Kit, однако пока таких опытов не проводилось. Настройка DTK осуществляется из командной строки путем редактирования конфигурационных файлов из текстового редактора. Пакет The Deception Toolkit распространяется бесплатно и может быть получен по следующему адресу: http://all.net/contents/dtk.html.

Развивая пакет DTK автор разработал улучшенную версию - DTK-Pro, которая, реализуя все возможности DTK, дополняет его новыми механизмами:

  • Управление несколькими DTK, установленными на разных хостах сети;
  • Графический интерфейс администратора DTK-Pro (см. рис.1);
  • Проверка согласованности задаваемых правил обмана;
  • И ряд других функций.