Holoscope: Open and Lightweight Telescope & Honeypot Platform

Holoscope è una piattaforma open, leggera e cloud-native basata su K3s e WireGuard che semplifica l'implementazione e la gestione di sensori distribuiti di tipo telescope e honeypot per consentire un monitoraggio unificato, sicuro e resiliente di attacchi Internet su larga scala attraverso reti diverse.

L'essenziale

Immagina Internet come una città enorme e frenetica. In questa città, ci sono due tipi di guardie giurate che cercano di catturare i criminali:

1. Le Guardie del "Lotto Vuoto" (Darknet/Telescopi): Queste guardie si trovano in lotti vuoti e inutilizzati dove non dovrebbe vivere nessuno. Poiché lì non vivono persone legittime, chiunque bussi alla porta è quasi certamente un ladro che sta cercando di entrare. Loro si limitano a osservare e registrare chi sta cercando di entrare.
2. Le Guardie dei "Negozi Esca" (Honeypot): Queste guardie allestiscono finti negozi vulnerabili che sembrano contenere merci facili da rubare. Invitano i ladri all'interno per vedere esattamente quali trucchi usano, quali strumenti portano con sé e come cercano di scassinare le serrature.

Il Problema:
Di solito, queste guardie vengono assunte da un singolo quartiere (come un'università o un'azienda). Il problema è che i criminali spesso prendono di mira solo quartieri specifici. Un ladro potrebbe bussare alle porte in Italia ma ignorare il Brasile. Se hai solo guardie in un solo posto, vedi solo metà del quadro. Per comprendere l'intero sottobosco criminale, hai bisogno di guardie in molte città diverse, tutte che comunicano tra loro.

La Soluzione: Holoscope
Il documento presenta Holoscope, una nuova piattaforma open-source progettata per essere il "centro di comando" che connette queste guardie in tutto il mondo. Immaginalo come un telecomando universale e un hub di comunicazione sicuro che permette a università, aziende cloud e fornitori di servizi internet in Europa, Brasile e Stati Uniti di configurare facilmente i propri sensori di sicurezza e condividere ciò che vedono.

Ecco come funziona Holoscope, utilizzando analogie semplici:

1. Il Tunnel Sicuro (WireGuard)

Immagina che tutte le diverse guardie si trovino in edifici diversi con diversi sistemi di sicurezza. Per parlarsi tra loro senza essere intercettati, Holoscope costruisce un tunnel sotterraneo segreto (una rete privata virtuale o VPN) tra di loro. Questo tunnel garantisce che anche se un ladro dovesbbe penetrare nella stazione di una guardia, non possa facilmente saltare alla successiva. Mantiene la comunicazione sicura e privata.

2. Il Robot Manager (K3s & Kubernetes)

Configurare queste guardie manualmente è difficile. Dovresti volare in ogni località, installare il software e configurare le impostazioni. Holoscope utilizza un robot manager (basato su una tecnologia cloud chiamata K3s).

• L'analogia: Immagina di avere una flotta di camion per le consegne (i sensori). Invece di guidare fino a ognuno di essi per dire loro dove andare, invii un singolo comando digitale. Il robot manager installa automaticamente il software, collega il camion alla rete e gli dice cosa fare. Se un camion si guasta, il robot lo sostituisce o lo ripara automaticamente. Questo rende il sistema "auto-riparante".

3. I Moduli "Plug-and-Play"

Holoscope è costruito come un set Lego.

• Il Modulo Darknet: Lo agganci e questo trasforma un blocco di indirizzi IP inutilizzati in un "lotto vuoto" per osservare gli scanner.
• Il Modolo Honeypot: Lo agganci e questo allestisce un falso server vulnerabile per attirare gli hacker.
• Il Vigile del Traffico (Network Enforcement): Questo è un pezzo speciale che agisce come un direttore del traffico. Si assicura che se un hacker tenta di attaccare il "lotto vuoto", il sistema non invii accidentalmente una risposta (il che rivelerebbe che il sensore è reale). Inoltre, assicura che il "negozio esca" non permetta accidentalmente all'hacker di evadere nella rete reale.

4. Risultati nel Mondo Reale

Gli autori hanno testato questo sistema con 10 diverse organizzazioni (università e fornitori di servizi cloud) in Italia, Brasile e Stati Uniti.

• Cosa hanno scoperto: Hanno scoperto che diverse località vedono tipi diversi di criminali. Ad esempio, un sensore in un fornitore cloud statunitense ha visto attaccanti che sembravano molto simili a quelli che prendevano di mira le università europee, ma diversi da quelli che prendevano di mira il Brasile.
• L'Anomalia (Outlier): Un sensore in Italia (Sensore E) ha registrato una quantità enorme di traffico perché i suoi indirizzi IP sembravano indirizzi privati domestici. Gli hacker stavano bussando alla sua porta accidentalmente (o intenzionalmente) pensando che si trattasse di una rete domestica. Questo è qualcosa che un singolo sensore in un'altra posizione avrebbe perso.

Perché è importante

Il documento afferma che, utilizzando Holoscope, i ricercatori di sicurezza possono ottenere una visione globale e unificata degli attacchi informatici senza dover costruire un'infrastruttura massiccia, costosa e personalizzata per ogni nuovo progetto. È leggero (non consuma troppa potenza del computer), aperto (chiunque può usare il codice) e automatizzato (si ripara da solo).

In breve: Holoscope è un toolkit che permette a diverse organizzazioni di configurare facilmente "telecamere di sicurezza" e "trappole esca" in tutto il mondo, connetterle in modo sicuro e condividere automaticamente i dati per comprendere meglio come operano i criminali informatici.

Sommario tecnico

Sintesi Tecnica: Holoscope – Piattaforma di Telescopio e Honeypot Aperta e Leggera

Problematica
Le infrastrutture di monitoraggio della sicurezza sono critiche per identificare le minacce informatiche, tuttavia le implementazioni tradizionali di network telescope (darknet) e honeypot sono spesso confinate a singoli domini di rete. Questa limitazione restringe la visibilità a specifici sistemi autonomi (AS), località geografiche o dimensioni di prefisso, creando una visione frammentata dell'attività malevola. Sebbene esistano osservatori distribuiti, la loro costruzione è complessa a causa delle difficoltà nella condivisione sicura dei dati, nella gestione interorganizzativa, nella scalabilità e nella necessità di automazione in ambienti eterogenei e con risorse limitate. Le soluzioni esistenti spesso si affidano a hardware preconfigurato, tecnologie proprietarie o mancano di un framework unificato per il rilevamento sia passivo (telescopio) che attivo (honeypot).

Metodologia e Architettura
Gli autori introducono Holoscope, una piattaforma distribuita e cloud-native progettata per semplificare il dispiegamento e la gestione di sensori esposti su Internet attraverso diverse organizzazioni. L'architettura si basa su tre livelli primari:

1. Livello di Connettività Sicura: Utilizzando WireGuard, Holoscope stabilisce una VPN point-to-point tra ogni sensore e un server centrale. Questa astrazione normalizza il networking in ambienti eterogenei, mitigando i problemi relativi a NAT, firewall e indirizzamento IP dinamico, prevenendo al contempo la visibilità diretta tra i sensori per limitare il movimento laterale.
2. Livello di Orchestrazione: Per garantire flessibilità e reattività, la piattaforma adotta K3s (una distribuzione leggera di Kubernetes). Questo livello gestisce applicazioni containerizzate (Docker), occupandosi dello scheduling dei carichi di lavoro, dell'auto-riparazione (self-healing) e del mantenimento dello stato. Consente alla piattaforma di operare efficientemente su hardware con risorse limitate (es. 4 GB di RAM, 4 vCPU) fornendo al contempo ridondanza tramite nodi etcd replicati.
3. Livello Modulare: Le applicazioni sono distribuite come moduli indipendenti. La piattaforma utilizza Ansible per l'Infrastructure-as-Code (Iaac) al fine di automatizzare l'onboarding, la configurazione e gli aggiornamenti dei sensori. Helm viene impiegato per creare deployment parametrizzati e riutilizzabili che si adattano alle configurazioni specifiche del sensore (es. nomi delle interfacce di rete, intervalli IP).

Moduli Chiave
Holoscope offre una suite di applicazioni modulari:

• Darknet (Passiva): Attiva i sensori su intervalli di IP non utilizzati tramite routing statico, assegnazione diretta della NIC o ridirezione ARP trasparente a Livello-2. Coordina l'azione con il modulo di Network Enforcement per bloccare tutto il traffico in uscita, preservando la natura passiva del telescopio.
• Honeypot (Attiva): Supporta honeypot containerizzate. Per mitigare i rischi associati all'esecuzione di codice vulnerabile, la piattaforma utilizza l'isolamento Kubernetes, Falco per il monitoraggio del runtime e un modulo specializzato di Network Enforcement. Questo modulo gestisce l'instradamento del traffico e l'esposizione delle porte a livello di kernel (tramite iptables), impedendo al pod dell'honeypot di accedere al namespace di rete root dell'host, pur permettendo un controllo granulare sulla ridirezione del traffico e sul rate limiting.
• Traffic Collector & Log Sync: Utilizza tcpdump per la cattura dei pacchetti e Rsync per l'aggregazione centralizzata dei log, con policy di ritenzione dei dati configurabili.
• Data Analysis: Esegue compiti computazionali (che vanno dall'aggregazione di metriche all'ML/AI) sui sensori con maggiore potenza disponibile.

Deployment e Risultati
Gli autori hanno distribuito Holoscope in 10 organizzazioni in Europa (Italia), Brasile e USA (Microsoft Azure), coinvolgendo università, fornitori di servizi e infrastrutture cloud. Il deployment copre 11.520 IP.

• Overhead delle Risorse: I benchmark su VM dedicate (2 vCPU, 2 GB RAM) hanno mostrato che la piattaforma introduce circa 300 MB di RAM e un utilizzo della CPU del 3–10% per ogni sensore. Il nodo master di K3s richiede leggermente più risorse (0.6–1 GB di RAM, ~25% di CPU).
• Insight sul Traffico: L'analisi di tre mesi di dati (luglio–ottobre 2025) ha rivelato:
  • Evoluzione Temporale: Gli attori attivi (honeypot) hanno aumentato significativamente il volume del flusso di traffico rispetto alle darknet passive.
  • Similitudine dei Mittenti: I sensori italiani all'interno dello stesso AS condividevano oltre il 50% dei mittenti, mentre i blocchi contigui ne condividevano fino al 91%. I sensori brasiliani condividevano circa il 64%. Significativamente, il sensore basato su Azure negli USA mostrava un'affinità maggiore con i sensori europei (58%) rispetto a quelli brasiliani (43%), suggerendo che i sensori basati su cloud attirano attori malevoli simili a quelli che colpiscono le reti accademiche/aziendali europee.
  • Targeting delle Porte: Le darknet hanno visto principalmente traffico sulle porte 22, 23 e 2000. Gli honeypot attivi hanno mostrato pattern distinti, come un'alta attività sulla porta 179 (BGP). Un sensore (E) ha mostrato un'anomalia con oltre il 40% del traffico diretto alla porta 9200 (Elasticsearch), indicando campagne DDoS specifiche.

Significatività e Claim
Il paper sostiene che Holoscope fornisca un framework scalabile, riproducibile e sicuro per la costruzione di osservatori di cybersecurity collaborativi. La sua importanza risiede in:

1. Visibilità Unificata: Permette l'aggregazione di dati da molteplici punti di osservazione eterogenei, rivelando la diversità spaziale e i pattern di attacco che i deployment a dominio singolo trascurano.
2. Efficienza Operativa: Sfruttando l'IaC e le tecnologie cloud-native, riduce l'intervento manuale, garantisce un deployment coerente e supporta l'orchestrazione dinamica in ambienti con risorse limitate.
3. Flessibilità: Il design modulare consente l'integrazione facile di nuovi sensori e applicazioni (es. analisi DNS o dei certificati) senza interrompere l'infrastruttura core.

Gli autori concludono che l'operatività di un'infrastruttura distribuita di questo tipo richiede una robusta resilienza del cluster e un'automazione completa per prevenire errori di configurazione e garantire la qualità dei dati. Il lavoro futuro mira ad espandere le capacità sperimentali e a disseminare artefatti azionabili (dataset, blocklist) alla più ampia comunità della cybersecurity.