Estratégias com Utilização de Honeypots
Quando você pensa qualquer coisa sobre as camadas de segurança em relação às suas necessidades de negócios, provavelmente esse pensamento envolve firewalls, sistemas de autenticação, prevenção de intrusão, antivírus e outros controles de segurança igualmente conhecidos. No entanto, há uma suspeita de que poucos pensam a respeito de "honeypots". Os honeypots tornam-se perfeitos "canários" de segurança de rede, e podem melhorar a defesa de qualquer organização.
Como um profissional da área de segurança da informação, a grande maioria já ouviu falar de um honeypot, que funciona como uma armadilha digital para travar ataques a computadores em ação. Em essência, os honeypots são sistemas que imitam recursos que possam atrair um atacante, quando na realidade eles são sistemas falsos, criados para conter e controlar ataques. Trata-se de um utilitário, que tem a função de, propositalmente, simular falhas de segurança de um sistema e colher informações sobre o invasor. Dessa forma, ele passa a ser uma espécie de armadilha para os invasores. O HoneyPot, não oferece nenhum tipo de proteção.No mesmo contexto, um honeypot é apenas uma coleção de diferentes honeypots.
Reconhecimento e Percepção Sobre os mais Diversos Tipos de Ataques
Há uma enorme variedade de honeypots, sendo cada um projetado para reconhecer e observar os mais diversos tipos de ataques. Alguns ataques de captura de rede (Honeyd), ataques a aplicações Web (Glastopf), e alguns que são projetados para coletar e observar malware (Dionaea). Para maiores informações e esclarecimento de dúvidas, é possível conferir o "Projeto Honeynet", a partir de uma lista completa de diferentes tipos de honeypots.
Estes diferentes honeypots também possuem diferentes níveis de profundidade. Por exemplo, um honeypot de baixa interação só poderia emular serviços básicos de rede, talvez apenas apresentando uma faixa de serviço e prompt de comando, mas não poderia oferecer muita interação com potenciais atacantes (o que os torna mais fácil de serem detectados). Considerando que honeypots de alta interação podem imitar sistemas de servidores completos, eles tem a capacidade de enganar crackers para realizar seus ataques, o que lhe permite analisá-los de forma muito mais aprofundada.
Com uma variedade para escolher, sendo cada um deles com seus diferentes níveis de capacidade, os honeypots podem parecer um pouco mais complexos e, talvez, bastante robustos para uma pequena organização. No entanto, não haverá a necessidade de que o honeypot seja repleto de funções mais complexas, quando o propósito em questão é bastante simples. Um "production honeypot" é um sistema de manutenção relativamente baixo, principalmente usado para detectar ataques (ao invés de emulá-los e analisá-los em sua totalidade). A produção de honeypots gera grandes "canaries network", derivando do exemplo citado no início desta publicação, relacionado às minas de carvão. Ao longo dos anos, esses honeypots evoluíram bastante e tornaram-se muito mais fáceis para que seja feito o processo de implantação.
Dessa forma, enquanto a maioria dos honeypots começou como linha de comando do Linux, houve a exigência de pacotes para a instalação e configuração manual; novas soluções surgiram, tornando estes pacotes mais user-friendly, mesmo para aqueles que estão iniciando sua experiência com o uso do sistema Linux.
Distribuições em Modo Live CD Projetadas para Honeypots e Honeynets
Por exemplo, recentemente uma série de distribuições que opera em modo Live CD, foram liberadas especificamente para honeypots e honeynets, obedecendo os seus parâmetros de desenvolvimento. Ao invés de ter que instalar uma distribuição Linux (distro) a partir do zero e configurar tudo sozinho, essas distros honeypot em modo "Live" tem tudo configurado e pronto para usar. Dessa maneira, tudo o que você tem a fazer é arrancar a partir de uma chave USB, ou de spin-up de uma máquina virtual. E o melhor de tudo, é que essas distros honeypot são livres; três grandes exemplos incluem o HoneyDrive, o Active Defense Harbinger Distribution (ADHD) e Stratagem.
Se a conveniência de distros honeypot "Live" não era suficiente, os mais recentes projetos Honeynet também tornaram as ferramentas de linha de comando mais antigas muito mais fáceis de usar. Por exemplo, o Projeto Nova adiciona uma interface gráfica, e muitos outros recursos extras para o popular projeto Honeyd. Dessa forma, o Projeto Nova torna o Honeyd muito mais acessível para o indivíduo médio de TI, tornando-o simples para a implantação de um honeypot de produção, mesmo para uma organização de pequeno porte. E o melhor de tudo: Nova vem pré-instalado em distribuições como o ADHD, então tudo que você tem a fazer é dar um boot no ADHD, iniciar o Nova, e assim, estará pronto para fazer esta experiência.
Portanto, com todas essas opções fáceis e gratuitas, não há desculpa para não tentar usar pelo menos um honeypot. Em face disso, é sugerido que seja iniciado pela combinação mencionada acima. A pessoa deve usar o ADHD ISO para criar uma unidade USB inicializável ou máquina virtual. Quando inicializar o ADHD, você verá um link "Usage Documentation" na sua área de trabalho. Ao clicar duas vezes sobre o mesmo, ele irá abrir um arquivo que compartilha todas as informações que você precisa saber para começar a trabalhar com alguns dos pacotes de honeypot, incluindo Nova.
Mas, se você executar Nova com suas configurações padrão, ele define três máquinas de um honeypot falso, com um servidor Linux, um servidor Windows e um servidor BSD, passando a monitorá-los para conexões de rede. Estes honeypots básicos agem como aqueles "canários" em minas de carvão, avisando sobre toda e qualquer atividade perigosa. Se Nova detectar conexões incomuns voltadas para essas máquinas, você saberá que alguém estará bisbilhotando sua rede. Além disso, Nova também irá monitorar outros tipos de tráfego de ataque também, e vai avisá-lo quando ele encontrar os endereços IP que agem de forma suspeita.
Depois de configurar este honeypot simples, tudo que você tem a fazer é, ocasionalmente, monitorá-lo em relação a qualquer atividade estranha. No entanto, depois de ver o que esta configuração simples pode fazer, você pode até achar que ficou intrigado com as capacidades de honeypots. Se assim for, não há muita coisa que você possa explorar em ADHD e Nova. Por exemplo, ao invés de ficar com a configuração padrão do Nova, será possível adicionar um monte de nós falsos que imitam a configuração real do servidor.
Além de tudo isso, também haverá a possibilidade de você também explorar os outros tipos de honeypots, como o Web Application Honeypot, Weblabyrinth, ou file system honeypots, como Artillery.
Honeypots e a Segurança no Ambiente Organizacional
Querendo ou não, a iniciativa de explorar profundamente todos os honeypots disponíveis, é uma decisão exclusivamente sua. Mas você, realmente, deve considerar a instalação de pelo menos um componente básico em todo esse contexto. Vale ressaltar que todas as grandes violações de dados públicos, ao longo dos últimos anos, mostraram que nunca haverá defesas impermeáveis. Por isso, não importa quantas paredes você construa em torno de sua informação, a fim de protegê-la; os atacantes encontrarão alguma fraqueza e vão fazer de tudo para ocasionar um vazamento de dados. É exatamente por isso que honeypots podem desempenhar um papel crucial na estratégia de segurança da sua organização, funcionando como uma advertência, uma espécie de "canário digital" para alertar sobre um perigo iminente.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2110&p=2