Honeypots - A Seguranca Atraves Do Desfarce

Introdução

A obra em questão teve como finalidade mostrar os conceitos inerentes a técnica conhecida como Honeypot, origem, desenvolvimento, assim como descrever as técnicas de abordagem da mesma e suas abordagens práticas.

Resumo

Resumidamente um Honeypot é um sistema de segurança que disfarça seus valores ao ser testado, atacado ou comprometido, permitindo que utilizemos uma honeypot para deter atacantes, detectar ataques, capturar e analisar ataques automatizados como worms além de fornecer informações importantes sobre a comunidade hacker.

A primeira fonte sobre Honeypot é de 1990 do livro de Clifford Stoll (“ The cuckoo`s Egg”) onde o mesmo relata os eventos ocorridos durante 10 meses, de 1986 a 1987, após ataque de um Hunter o qual decidiu monitorar.

A primeira ferramenta desenvolvida foi a “Deception Toolkit(DTK)” por Fred Cohen, em novembro de 1997, usada em sistema Unix. Para Windows NT a primeira ferramenta comercial foi a CyberCop desenvolvida por Alfred Huger.

Em 1999 foi formado um grupo de pesquisa sobre o tema de modo a trocaram experiências. Em 2001 lançaram a série de artigos “Know Your Enemy” que traziam suas experiências e pesquisas.

As pesquisas sobre Honeypots são baseadas em 3 principais áreas as quais têm descrição abaixo:

 Honeypots Dinâmicas: São honeypots que se adaptam ao sistema, ou seja, caso o sistema receba um configuração Linux por exemplo serão criadas novas honeypots para Linux automaticamente;

 HoneyTokens: Não são computadores e sim um tipo de entidade digital, tais como: um número de cartão de crédito, um banco de dados, um ologin falso,etc...

A principal aplicação está no estudo do comportamento do atacante, quando este compromete o sistema, e no valor de atração adicionado ao ambiente, por exemplo. Honeypots contendo número de cartão de crédito sã muito atrativas;

 Honeypots Farms: ao invés de termos várias Honeypots temos somente uma que recebe os atacantes redirecionados após ações contra a rede real.

Os Honeypots são classificados em 2 categorias: Produção e Pesquisa

Honeypots de Produção: São sistemas que aumentam a segurança de uma organização específica e ajudam a mitigar riscos, requerem poucas funcionalidades(mais simples).

A detecção se refere a alertar atividades não autorizadas, a mesma é importante pois mais cedo ou mais tarde a prevenção falhará, seja por causa de uma configuração do firewall ou uma nova vulnerabilidade de um serviço oferecido pelo sistema.

Todo tráfego direcionado para uma honeypot é suspeito e deve ser analisado.

Uma honeypot é de grande valor para a resposta dada ao incidente, uma vez que a análise de um ataque é facilitada pois a coleta de evidências é simples e livre de ruídos. O sistema também pode ser imediatamente desconectado da rede, diferente de um sistema de produção real que fornece serviços que não podem ficar offline.

Honeypot de Produção: oferecem uma plataforma de estudo visando compreender a comunidade hacker,exemplo: qual a ferramenta utilizada para testar o sistema? Qual exploit utilizado para comprometê-lo?

Um HoneyPot de peqsuisa pouco acrescenta a sua organização uma vez que estão focadas nas ações do atacante e não apenas na sua detecção.

As Honeypots são divididas em níveis(classificação de Lance Spitzner):

1. Nível Baixo

Serviços emulados pela honeypot, o atacante possui mínima interação com a honeypot e por isso são poucos os dados gerados...informa apenas tentativa de conexão.

2. Nível Médio

Os serviços oferecidos ainda são emulados mas estes já respondem as requisições do atacante como serviços reais.

Desta forma mais dados sobre o atacante são obtidos, devido ao maior grau de interação os riscos também aumentam.

...