HONEYPOT E HONEYNET – SISTEMAS DE SEGURANÇA PROJETADOS PARA INVASORES

HONEYPOT E HONEYNET – SISTEMAS DE SEGURANÇA PROJETADOS PARA INVASORES

Eduardo Viana Pessoa^[1]

Maria Betânia Ricci Boer^[2]

RESUMO: Este artigo tem como objetivo abordar sobre sistemas de segurança especialmente desenvolvidos para atrair invasores, permitindo que seus comportamentos e técnicas de invasões sejam analisados em um ambiente virtual, possibilitando a coleta de informações confidenciais que podem comprometer sua privacidade e incrementar a segurança interna da corporação.

Palavras-chave:  Honeypot. Honeynet. Invasores. Segurança da Informação.

1 INTRODUÇÃO

Nesse cenário moderno, a segurança da informação passa a ocupar um status de destaque, cuja importância não está apenas nas ferramentas para a detecção de invasão e proteção antivírus, mas num arcabouço de medidas voltadas para a prevenção, detecção, resposta, recuperação e continuidade (DANTAS, 2011).

A segurança da informação é uma área de estudo que vem ganhando grande notoriedade no cenário global corporativo por ser de fundamental importância para o funcionamento e privacidade de qualquer empresa. Infelizmente, nem todos os gestores entendem sua importância e procuram se informar sobre o assunto após serem vítimas de algum crime cibernético ou terem dados confidenciais de suas empresas roubados.

As principais caraterísticas da segurança da informação são a confidencialidade, integridade e disponibilidade. O princípio da confidencialidade protege a informação garantindo que a mesma não seja divulgada para nenhum usuário, entidade ou processo que não esteja autorizado a acessá-la. A integridade proíbe que qualquer informação seja alterada ou excluída sem autorização. Já a disponibilidade, faz com que as entidades, usuários ou processos autorizados sempre possuam acesso às informações quando necessário.  

Atualmente, existem diversas ferramentas, técnicas e recursos que podem ser utilizados em uma empresa para que suas informações confidenciais e todo o seu tráfego de dados sejam protegidos ou tenham pelo menos um nível de segurança aceitável. Para empresas que entendem a real importância da segurança da informação e possuem uma equipe de técnica de profissionais especializados, um mecanismo de segurança muito importante para o monitoramento e blindagem da empresa chamado honeypot pode ser utilizado.

Primeiro de tudo, um honeypot é um sistema de computador. Existem arquivos, diretórios nele como um verdadeiro computador. No entanto, o objetivo do computador é atrair hackers para ele assistir e monitorar o seu comportamento. Então podemos defini-lo como um sistema falso que parece um sistema real. (AKKAYA, D.; THALGOTT, F., 2010).

Bom, se considerarmos apenas a tradução dessa palavra estamos nos referindo a um “pote de mel”. Normalmente considera-se que um pote de mel aberto irá atrair não só abelhas, mas ursos, formigas, e outros animais que gostam do adocicado sabor desse alimento. Se pudermos definir o conceito de honeypot em apenas uma palavra, ela seria “armadilha” (ASSUNÇÃO, 2009).

Um honeypot é um recurso computacional construído para ser atacado, comprometido e testado, em um ambiente que possibilita o gerenciamento e o registro de todas as ações do invasor. O objetivo não é impedir a presença de hackers, mas sim enganá-los com um sistema cujo informações falsas fazem os invasores acreditarem que estão no sistema real.  

As informações e ações coletadas do invasor são de extrema importância para a equipe de segurança da empresa, pois além dos registros, a equipe pode preparar alguma armadilha para o hacker, que muitas vezes acaba deixando rastros que permitem posteriormente que autoridades policiais façam o rastreio da sua localização e descubram sua verdadeira identidade.

Os honeypots podem ser classificados basicamente em dois tipos, sendo eles: os de baixa e alta interatividade. Sistemas de segurança de baixa interatividade são mais difíceis de instalar, coletam uma ampla variedade de informações, mas necessitam de mecanismos de contenção para que não sejam comprometidos e utilizados para atacar outras redes.

Diferentemente dos honeypots de baixa interatividade, os serviços e aplicações não são emulados. Aqui, os serviços e aplicações são reais e não são únicos, pois podem ser instalados em uma ou diversas máquinas, simulando um ambiente corporativo ou educacional, que também pode ser chamado de honeynet.

Honeynets são honeypots de alta interação. De fato, é difícil conceber uma solução que ofereça um maior nível de interação. O conceito de Honeynet é simples: crie uma rede de sistemas de produção padrão, exatamente como você encontraria na maioria das organizações hoje em dia. Coloque essa rede de sistemas atrás de algum tipo de dispositivo de controle de acesso (como um firewall) e observe o que acontece (SPLITZNER, 2002).

Os invasores podem sondar, atacar e explorar qualquer sistema dentro da Honeynet, fornecendo a eles sistemas operacionais e aplicativos completos para interagir. Nenhum serviço é emulado e nenhum ambiente enjaulado é criado (SPLITZNER, 2002).

Com relação a aplicabilidade, deve ser levado em consideração o objetivo e os resultados que se pretende alcançar. Em uma rede de produção é recomendado a instalação do honeypot de baixa interatividade, que além de ser simples de ser instalado, não requer uma equipe completa de funcionários para operá-lo, deixando também de oferecer riscos a corporação.

Informações limitadas serão coletadas e utilizadas para implementações e melhorias de segurança na rede de produção, que é onde estão as verdadeiras máquinas e aplicações da empresa. Quando o alto risco a instituição é eminente, recomenda-se que seja instalado um honeypot de alta interatividade (honeynet) em uma rede de pesquisa. Se o objetivo é estudar profundamente o comportamento dos invasores, analisando suas técnicas, ferramentas e vulnerabilidades exploradas, esta é a melhor opção, porém a instituição deverá possuir profissionais qualificados, tempo e boas técnicas de contenção.

...