Nettets svar på en lokkedåse er vel den bedste simple betegnelse for det som jeg vil fortælle lidt mere om i dette indlæg: Honeypots. Med en veldesignet honeypot kan du lokke folk til at gøre ting for dig, som de ikke selv er bevidste om, at de gør – eller kommer til at gøre. Hvad det har med Wikileaks at gøre kommer jeg tilbage til om lidt.
Honeypot er et gammelt begreb, der dækker over flere – ret forskellige, ting. Ifølge Wikipedia kan en honeypot faktisk være så forskellige ting som ...
- En ”pot” (krukke) til honning
Sjovt nok bruges denne – sikkert originale betydning af ordet mere sjældent efterhånden, end de øvrige varianter ...
- En provokativ aktion (sting operation)
– både i forhold til politiarbejde og computere
- En særligt populær attraktion på et turiststed
- En plante og myreart
- En gammel film fra 1967
- En sang af Beat Happening
- En seksuelt funderet forførings teknik brugt i spionbranchen
Et godt eksempel på denne strategi er netop ved, at udrulle sig i disse dage. Og det er her Wikileaks kommer ind i billedet ...
Der er nemlig rapporter ude om nogle lidt underlige forbindelser mellem den svenske kvinde som Julian Assange (Wikileaks stifter) skulle have forgrebet sig på, og CIA. Dette forhold krydret med nogle pralende udtalelser fra kvinden lige efter den påståede voldtægt – som hun så bagefter har forsøgt (uden held) at slette fra Nettet, har naturligvis styrket mistanken om, at hun i virkeligheden bare var en ”honeypot” udsendt af efterretningsvæsnet for at knalde Assange (i mere end en forstand).
Hvis det er korrekt er det ikke første gang i historien den slags sker. Der har gennem tiden været rapporteret om flere sådanne eksempler på ”sex-agenter”. Og det er da også derfor at efterretningstjenesterne altid har været meget på vagt overfor deres agenters omgang med sex-partnere.
Online honeypots
I resten af dette indlæg vil jeg fokusere på den ganske særlige brug af honeypots, som jeg kender det fra Internet-branchen.
Jeg stødte første gang på begrebet ”honeypots” i forbindelse med Internet for snart mange år siden. Konceptet fangede med det samme min opmærksomhed. Siden da har jeg kun nogle få gange fortalt om det ved mine foredrag i udlandet, men derudover er det ikke noget der har været snakket ret meget om. Så nu tænkte jeg, at jeg ville sætte lidt fokus på dette skønne koncept.
Hvordan fungerer en honeypot?
Grundlæggende set er konceptet ganske enkelt. Som navnet antyder handler det om at lokke folk til med en ”honningkrukke” – noget ”lækkert” som målgruppen rigtig gerne vil have. I spionbranchen kan det så være i form af en skøn ung kvinde – i Internetbranchen er det rent elektronisk (om end det godt kan blive udtrykt i samme skønne kvinde, men tilbage til det om lidt).
Tricket er så, at alt imens dem der lokkes til er helt optaget af at slubre honning (eller skønne nøgne mennesker) i sig kan du udnytte deres tilstedeværelse på mere eller mindre lyssky måder.
Hvis nu f.eks. din målgruppe er voksne mænd, så kunne du lokke dem til et website med noget god porno – noget som de måske ellers skulle betale for, men som du så giver gratis væk. Det er honningkrukken – lokkedåsen.
Når de liderlige mænd så ankommer til dit website – din honningkrukke, kan du misbruge deres besøg til alle mulige forskellige ting. Helt nøjagtigt hvad du kan afhænger af den enkelte brugers valg af browser, OS og sikkerhedsindstillinger. Typisk vil man forsøge at eksekvere noget Active X, AJAX eller noget i en usynlig iFrame. Helt nøjagtigt hvad du har lyst til at gøre afhænger af din moral.
Det er honeypots som mange IT-kriminelle ofte bruger, når de skal have udbredt deres skadelige kode. De opsætter så de her honeypots, der lokker sædtunge mænd til og bytter så den seksuelle tilfredsstillelse med lidt moderne computervirus – uden at spørge (om man så kan kalde det en slags for en seksuelt overført sygdom vil jeg overlade til andre at vurdere ...).
Denne form for brug af honeypots ligger naturligvis i den absolut laveste ende af den moralske skala. Og ikke alene er det umoralsk – det vil også i de fleste variationer være ulovligt. Det mener jeg naturligvis man skal holde sig fra.
Men honeypots kan også bruges til andre ting, der om end de muligvis kan forekomme grænseoverskridende for mange, nok ikke direkte er ulovlige.
Bryd Captchas med honeypots
En af de ting som en honeypot kan bruges til er, at bryde selv nok så komplicerede Captchas!
Det er meget enkelt. Lad os tage eksemplet med en porno-honeypot. På forsiden af dit gratis porno-honeypot site placerer du en login boks, hvor folk skal løse en Captcha for at komme ind. Du skriver at det er for at holde bots ude. Det virker helt plausibelt. Det som folk så ikke ved er, at den Captchas de løser slet ikke kommer fra dit website, men er hentet dynamisk ind fra et helt andet website, som DU gerne vil ind på med din bot.
Det kunne f.eks. være nogle blogs eller forums du gerne ville spamme, som bruger captchas. De kan godt være lidt svære at hacke med computere alene (det er jo derfor man har dem). Så i stedet for gør du din bot klar til at poste din kommentar-spam og venter så på at der er et fjols der logger ind på dit porno-honeypot site. Din bot loader så Captcha fra det site der skal postes på, viser den til den lystige ungersvend, lader ham svare på den, hvorefter din bot sender svaret til det site der postes på. Dette trick kan bruges stort set uanset hvilke sikkerhedsindstillinger brugeren har.
Elegant!
Det er i princippet samme teknik, som den kendte engelske mental magiker Derren Brown brugte i et af hans bedste tricks, hvor han vinder over et flertal af 9 top-skakspillere i et simultant spil mod alle 9 på en gang!
Tricket er, at han har sat dem op i en cirkel med ryggen mod hinanden og parret dem i sæt. Så 1 mod 5, 2 mod 6 osv. Første halvdel af skakspillerne starter spillet, og med den anden halvdel er det omvendt. Han husker så hvad det første hold gør, og udfører samme handlinger mod de andre – og så den anden vej tilbage. Så i virkeligheden spiller han slet ikke skak mod dem – de spiller mod hinanden, men uden at vide det. Så han er sikker på at vinde halvdelen af de 8 spil. Resten af tricket er til gengæld stor magi – men det kan du selv se her.
Den helt grundlæggende ide er, at hvis du (A) ikke kan komme ind i (B), så kan det nogle gange være lettere, hvis du finder en anden (C) og sætter denne sammen med B, men så C tror at han snakker med A - dig. Det er en klassisk forskydning. Det bruges i masser af magi og psykologiske tricks. Og det virker!
Der er uendeligt mange muligheder med honeypots. I dette indlæg har jeg blot ridset selve tankegangen og nogle få af de praktiske muligheder op. Resten er op til din egen fantasi og moral.
I min bog SEO 2.0 kan du læse lidt mere om honeypots og andre sjove Black Hat SEO teknikker ...