Entretanto, nesse contexto, ele observa que os sistemas honeypot publicamente conhecidos não são o caminho certo a ser trilhado, devido aos atacantes poderem facilmente identificá-los. Ao desenvolver o seu próprio sistema de smart honeypot, foi possível identificar três princípios que são essenciais para fazer um honeypot de forma eficaz. A explicação destas regras estão neste podcast, juntamente com algumas dicas sobre implantação de honeypot. Para quem não sabe, os honeypots são parte integrante da segurança e visam passar por sistemas e serviços reais, desprotegidos e vulneráveis, de modo a capturar informação sobre o atacante e os métodos que este utiliza para atacar um sistema. Este processo é realizado sem que o atacante perceba que está lidando com um honeypot, e que está revelando informação que pode comprometê-lo perante as autoridades competentes.
Conhecendo Honeypots, Tipos e Surgimento
Desta forma, são apresentados e discutidos os dois tipos existentes de honeypots:
- Honeypots de baixa interatividade
- Honeypots de alta interatividade
Além disso, são apresentadas também as suas vantagens e desvantagens de implementação, processo de gerenciamento e manutenção. A utilização de honeypots, possibilita a proteção de redes e serviços de produção em IPv4 e IPv6, permitindo obter informação crucial para a identificação de atacantes. Este mecanismo possibilita também o desenvolvimento de novos métodos de defesa, inerentes ao constante desenvolvimento tecnológico.
Honeytokens
De forma convencional, os honeypots e honeynets são associados a computadores, recursos físicos utilizados para monitorar e/ou bloquear ataques; a real definição de um honeypot, é a de ser um recurso de segurança criado para ser monitorado, atacado ou comprometido, não o restringindo a um item físico. Qualquer informação que possa ser infiltrada nos processos de informação, que colabore com o objetivo inicial de um honeypot, pode ser chamada como tal. Além disso, esse tipo de honeypot não-físico foi convencionado por Honeytoken. E o que é afinal, um Honeytoken? Um Honeytoken pode ser uma conta de usuário com falsos privilégios, uma planilha, uma abertura em um banco de dados, uma apresentacão em PowerPoint, ou um login falso, por exemplo. Portanto, qualquer uso de informação disponibilizada através de um Honeytoken é uma atividade não autorizada. Dessa forma, o Honeytoken é uma técnica antiga e extremamente simples,
sendo indicada principalmente para detecção de ameaças internas. Sendo assim, podemos dizer que uma conta aparentemente
privilegiada, contendo senha fraca, pode sim ser disponibilizada na rede; se os sistemas de moni-toramento e detecção de intrusos estiverem preparados, o uso de tal conta pode ser imediatamente detectado, ajudando a identificar alguém tentando usar essa conta, ou seja, isso será catacterizado como "acesso não permitido". Além do mais, os Honeytokens, possuem muitos empecilhos, pois a caracterização do uso indevido é feita através de sistemas de detecção de conteúdo, e assim, a utilização de um sistema de criptografia ou compactação de dados podem sim, atrapalhar esse processo analítico.
Honeyfarms
Em ambientes corporativos de grande porte, com milhares de redes distribuídas pelo mundo, o uso de honeypots é inviável devido ao custo exigido nos recursos e em relação aos profissionais. O desafio aumenta ainda mais se forem utilizado "honeynets". Os honeypots de baixa interação capturam poucos dados, de grande valor sem dúvida alguma,
mas nada comparado às honeynets, que possuem maior flexibilidade, são muito mais poderosas e também mais complexas, consumindo muitas horas de trabalho, principalmente na análise de argumentação. Portanto, o acompanhamento de milhares de pontos de honeynet de uma rede consumiria tempo excessivo. Então, uma solução viável é a utilização do conceito de Honeyfarm, que ao invés de espalhar inúmeros honeypots pela rede, simplificaria totalmente o processo, concentrando-os em um único lugar. Assim, toda atividade realizada sem que houvesse autorização seria redirecionada, e os atacantes passariam a ser encaminhados para um honeypot contido na "Honeyfarm", achando que estão interagindo com um ponto de uma rede local.
Honeypots Dinâmicos
Atualmente, a utilização de honeypots é bastante trabalhosa, não importando qual tipo utilizado, seja ele de baixo ou alto nível, real ou virtual. A configuração de honeypots exige bastante conhecimento e disponibilidade, pois tudo é manual; a partir daí, é necessário analisar quais sistemas operacionais serão anexados e se serão os mesmos da rede corporativa. A definição de quais os serviços que serão permitidos é de igual importância, já que qualquer erro, por menor que seja, pode comprometer a rede, tornando-a suspeita e sem efeito. Também é muito importante ressaltar que o acompanhamento dos honeypots é inevitável, pois exige atualizações constantes; novos sistemas são adicionados, antigos são modificados ou removidos e os honeypots devem acompanhar tais modificações para que possam refletir, de forma adequada, a rede de produção.
Quantidade de Montagem dos Honeypots
Resumindo, os Honeypots Dinâmicos são honeypots que, uma vez conectados ao sistema, automaticamente determinam quantos honeypots deverão ser montados, de qual forma devem montá-los e como eles deveriam ser para se misturarem ao sistema. Além disso, estes honeypots se adaptam observando as mudanças realizadas no ambiente. Por exemplo, quando um Sistema Linux fosse adicionado à rede de produção, o sistema automaticamente seria incorporado ao honeypot; ou quando ocorresse a remoção de uma Rede Novell, esta desapareceria do honeypot; entre outros. Todavia, essa implementação possui muitos pontos críticos, por exemplo: devido ao honeypot mapear a sua rede corporativa inteira, ele poderia, eventualmente, omitir algum sistema e, desse forma, todas as tentativas de acesso enviadas a esse sistema não obteriam retorno; além disso, também as atualizações não poderiam ser feitas em tempo real, e sim em um intervalo de tempo que seria pré-estabelecido. Assim, no processo de mapeamento da rede o honeypot poderá utilizar uma ferramenta de obtenção de impressões digitais passiva, que determinaria o número de sistemas, os tipos de sistemas operacionais, os serviços oferecidos, como estão se comunicando entre si e com qual freqüência.
Definindo um Honeypot
Em outros termos, honeypot é uma ferramenta de estudo de segurança, cuja função principal é deter atacantes, detectar ataques, capturar e analisar ataques automatizados, como worms, além de fornecer informações importantes sobre a comunidade do cybercrime. Ele é um sistema que possui falhas de segurança, sejam elas reais ou virtuais, que são colocadas de maneira proposital, a fim de que seja invadido e que o resultado desta invasão possa ser estudado de forma minuciosa. Trata-se de uma maneira de conhecer o atacante e saber quais seriam as suas intenções. Além do mais, um honeypot tem como finalidade coletar códigos maliciosos, detectar, identificar varreduras e ataques automatizados, acompanhar as vulnerabilidades, motivar os atacantes, correlacionar informações com outras fontes, auxiliar os sistemas de detecção de intrusão, e manter atacantes afastados de sistemas importantes, direcionando a sua atenção para sistemas falsos.
Honeypots de Baixa Interatividade
A partir de um honeypot de baixa interatividade, são instaladas ferramentas para emular sistemas operacionais e serviços com os quais o atacante irá interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento. Além do mais, um honeypot de baixa interatividade é simples e de fácil gerenciamento, o atacante não possui controle do sistema e possui ações limitadas. Porém, nesse caso, é bem mais difícil de enganar um atacante experiente. O Back Officer Friendly, The Deception ToolKit (DTK), Specter, Honeyd, e LaBrea Tarpit, são exemplos de ferramentas utilizadas para implementar honeypots de baixa interatividade.
Back Officer Friendly
Back Officer Friendly. Esse é classificado como um honeypot de baixa interatividade que foi originalmente desenvolvido para detectar quando qualquer um tenta escanear um computador pelo Back Office, programa de controle remoto de microcomputadores para sistemas Windows 95/98. Com ele instalado em uma máquina, qualquer pessoa com um cliente em questão e que saiba a senha do servidor pode se conectar à máquina em questão e efetuar diversas operações. Desde então, o Back Officer Friendly passou a entrar em processo evolutivo, no sentido de detectar, também, tentativas de conexão a outros serviços tais como Telnet, FTP, SMTP, POP3 e IMAP2. Dessa maneira, quando o Back Officer Friendly receber uma conexão atrelada a um desses serviços, ele enviará respostas falsas ao atacante, atrasando-o, fazendo com que ele perca tempo, dando à pessoa um tempo necessário para que ela possa defender-se de outras tentativas de ataque.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2303