problema para as corporações no combate a estes crimes digitais, já que não existem fronteiras para este tipo
estar em outro país.
scobertas primeiramente pelos administradores, e sim pelos atacantes.
ataques que estão surgindo, para assim corrigirem as falhas existentes em seus sistemas e não correrem o risco
s comprometidas.
ataques em um ambiente totalmente controlado para este fim.
Honeypots, sendo alguns livres (Honeyd e Valhala) o outros comerciais (Specter e KFSensor) sendo que cada um tem suas características, vantagens e
estudo.
código aberto e que existe versão tanto para sistemas *nix quando para Windows.
configuração em texto claro e não possui um sistema visual para sua gerência ou para análise dos logs que ele produz o que po
não ser muito agradável para todos. Ainda mais no caso
Segundo Clinfford Stoll, em agosto
de 1986 ele e outros administradores
de re
de do Lawrence Berkley Laboratory perceberam que alguém estava atacando e obtendo acesso a sua re
de. Porém eles não tentaram interromper os ataques para manter o invasor longe, e sim resolveram
deixá-lo continuar o ataque enquanto eles monitoravam a ação do invasor, mas as máquinas que sofreram o ataque não eram preparadas para o fim
de monitoramento, eram máquinas
de uso do instituto, com arquivos e serviços verda
deiros.
No ano
de 1991 Bill Cheswick relatou que ao perceber que um computador da AT&T Bell Laboratories estava sofrendo um ataque resolveu fazer algo parecido com o
descrito por Stool, mas este preparou especialmente
uma máquina para ser invadida, assim po
deria melhor controlar os acessos e permissões do invasor, além
de não comprometer assim os arquivos e sistemas reais da re
de.
Porém foi em 1998 que Fred Cohen
desenvolveu e distribuiu gratuitamente pela internet a ferramenta chamada The
Deception Toolkit. Esta ferramenta tinha o obSegundo Clinfford Stoll, em agosto
de 1986 ele e outros administradores
de re
de do Lawrence Berkley Laboratory perceberam que alguém estava atacando e obtendo acesso a sua re
de. Porém eles não tentaram interromper os ataques para manter o invasor longe, e sim resolveram
deixá-lo continuar o ataque enquanto eles monitoravam a ação do invasor, mas as máquinas que sofreram o ataque não eram preparadas para o fim
de monitoramento, eram máquinas
de uso do instituto, com arquivos e serviços verda
deiros.
No ano
de 1991 Bill Cheswick relatou que ao perceber que um computador da AT&T Bell Laboratories estava sofrendo um ataque resolveu fazer algo parecido com o
descrito por Stool, mas este preparou especialmente
uma máquina para ser invadida, assim po
deria melhor controlar os acessos e permissões do invasor, além
de não comprometer assim os arquivos e sistemas reais da re
de.
Porém foi em 1998 que Fred Cohen
desenvolveu e distribuiu gratuitamente pela internet a ferramenta chamada The
Deception Toolkit. Esta ferramenta tinha o objetivo
de simular vulnerabilida
des em softwares conhecidos, emitindo respostas específicas para cada tentativa
de invasão que a ferramenta sofresse, para assim tornar o sistema mais real para que o atacante não perceba que caiu em
uma armadilha. Neste modo surgiu o que po
de ser consi
derado o primeiro honeypot
de aplicação.
Mesmo com os conceitos
de honeypots serem da época
de Stoll e Cheswick foi apenas no ano
de 2002 que foi concedido ao termo honeypot
uma definição clara, sendo
definido como recurso
de segurança cujo valor está na sua sondagem, ataque ou comprometimento.
Com
uma definição tão genérica como esta se po
de utilizar outros equipamentos para este fim e não apenas computadores.
O valor
de um honeypot está no fato que nenhum serviço
de uso comum é associado e ele, sendo que sua existência não é divulgada, então nenh
uma tentativa
de conexão com ele será esperada, assim qualquer tentativa
de ativida
de com ele será consi
derada
uma possível tentativa
de ataque.
2.1 Propósito de um honeypot
Existem dois propósitos para os quais os honeypots são utilizados: honeypots
de pesquisa e honeypots
de produção:
Honeypots
de pesquisa: são utilizados como meio
de captura
de capturar informações que serão utilizadas para i
dentificar rapidamente novos malwares, novas ferramentas e novas táticas utilizadas pelos atacantes. Com isto a informações e novos alertas são divulgados mais rapidamente, proporcionando maior segurança para os responsáveis pelas re
des.
Honeypots
de produção: utilizados diretamente para a segurança
de organizações. Este tipo
de honeypot po
de funcionar
de três formas distintas: prevenção,
detecção e resposta.
• Prevenção: este tipo
de honeypot po
de prevenir ataques. Ele consegue
detectar scans pela re
de e fornecer respostas mais lentas ou respostas pré-
determinadas pelo administrador, com isto po
dendo fazer com que o atacante perca o interesse no alvo. Utilizando este artifício o invasor terá maiores dificulda
des
de i
dentificar falhas reais no sistema. Então este sistema tem também a função
de confundir o atacando.
•
Detecção: este honeypot é importante para que quando se
detectar um ataque os administradores possam respon
der rapidamente quanto à ação que
deve ser tomada, po
dendo interromper o ataque ou minimizar os possíveis danos. A vantagem do honeypot é que ele consi
dera suspeita qualquer ativida
de que tente envolvê-lo.
• Resposta: para se po
der respon
der a um ataque é necessário ter informações claras para se po
der conhecer como um atacante agiu e as ferramentas usadas por ele. Em um sistema
de produção é complicado
de se obter estas informações pois além das informações do ataque também existem os logs dos serviços reais que estão sendo utilizados pela organização, como por exemplo login do usuário no servidor, e-mails enviados e recebidos (no caso
de um servidor
de e-mails). Além disto, um servidor em produção não po
de ser
desligado a qualquer momento e com isto a quantida
de de informação
desnecessária para este fim apenas aumenta, dificultando a análise. Contudo os honeypots captaram apenas as ativida
des necessárias e po
dem ser
desligados a qualquer momento sem interferir nos serviços reais da organização.
2.2 Vantagens e desvantagens
Honeypots possuem um conceito bem simples,
demonstrando que qualquer dispositivo que armazene logs possa ser utilizado para este fim. Mas esta simplicida
de trás vantagens e
desvantagens aos honeypots.
2.2.1 Vantagens
Pouca necessida
de de recursos
de hardware já que o honeypot apenas irá registrar as ativida
des maliciosas;
Possibilida
de de i
dentificar tanto as técnicas quanto as ferramentas utilizadas pelo invasor;
Captura
de trafego criptografado, que muitas vezes não consegue ser analisada por um sistema
de IDS convencional;
Análise
de pequena quantia
de dados, já que os logs são apenas das tentativas
de invasão, sem estarem misturados com os logs
de sistemas
de produção.
É um sistema simples, pois apenas é necessária a configuração do ambiente para começar o monitoramento, sem necessitar o
desenvolvimento
de algoritmos complexos.
2.2.2 Desvantagens
A visão dos ataques fica restrita a apenas as ações em que o honeypot esteja diretamente envolvido, a menos que ocorra algum tipo
de interação dos sistemas reais com o honeypot.
Po
de ocorrer
de aparecerem falsos positivos e falsos negativos análise dos logs caso o honeypot não tenha sido bem configurado;
Um honeypot mal configurado também po
de ser utilizado pelo invasor para ter acesso à re
de real.
2.3 Níveis de interatividade
Os honeypots possuem níveis
de interativida
des diferentes, sendo esta interação relativa ao nível
de liberda
de que o invasor terá durante o ataque.
Estas classificações
de níveis são diretamente relacionadas quanto às informações que serão coletadas e quanto ao risco
de segurança que o honeypot causa na estrutura real da re
de.
Pelos níveis
de interativida
des existem três classificações: baixa interativida
de, média interativida
de e alta interativida
de
2.3.1 Alta interatividade: este tipo
de honeypots permite ao atacante interagir com um sistema operacional e serviços reais. Os serviços não são simulados, não são utilizados ambientes especiais e nada é restringido. Este honeypot traz maior risco ao sistema e é mais complexo
de ser criado, porém oferece
uma maior possibilida
de de coleta
de dados.
2.3.2 Média interatividade: um honeypot
de média interativida
de permite que ao atacante
uma interação maior com o sistema, pois nem todos os serviços são totalmente emulados permitindo acesso a pastas e arquivos do sistema real, mas sem acesso aos arquivos críticos do sistema. Um honeypot com serviços
deste nível é o Valhala que permite que os ataques ao seu serviço
de FTP acessem arquivos colocados em
uma determinada pasta no sistema real, po
dendo estes arquivos ser visualizados, copiados ou removidos.
2.3.3 Baixa interatividade: neste nível estão os honeypots
de aplicação, nos quais o atacante não tem nenh
uma interação com o sistema real, pois todo serviço que o invasor terá acesso serão totalmente emulados. Estes são os mais fáceis
de instalar, configurar e dar manutenção.
Exatamente pelo fato
deste tipo
de honeypot não permitir a interação com o sistema real e esta classificação a que apresenta o menor risco
de ser utilizado, sendo o mais indicado para organizações ou pessoas que estão começando a trabalhar com estes sistemas
de análise
de vulnerabilida
des. jetivo
de simular vulnerabilida
des em softwares conhecidos, emitindo respostas específicas para cada tentativa
de invasão que a ferramenta sofresse, para assim tornar o sistema mais real para que o atacante não perceba que caiu em
uma armadilha. Neste modo surgiu o que po
de ser consi
derado o primeiro honeypot
de aplicação.
Mesmo com os conceitos
de honeypots serem da época
de Stoll e Cheswick foi apenas no ano
de 2002 que foi concedido ao termo honeypot
uma definição clara, sendo
definido como recurso
de segurança cujo valor está na sua sondagem, ataque ou comprometimento.
Com
uma definição tão genérica como esta se po
de utilizar outros equipamentos para este fim e não apenas computadores.
O valor
de um honeypot está no fato que nenhum serviço
de uso comum é associado e ele, sendo que sua existência não é divulgada, então nenh
uma tentativa
de conexão com ele será esperada, assim qualquer tentativa
de ativida
de com ele será consi
derada
uma possível tentativa
de ataque.
2.1 Propósito de um honeypot
Existem dois propósitos para os quais os honeypots são utilizados: honeypots
de pesquisa e honeypots
de produção:
Honeypots
de pesquisa: são utilizados como meio
de captura
de capturar informações que serão utilizadas para i
dentificar rapidamente novos malwares, novas ferramentas e novas táticas utilizadas pelos atacantes. Com isto a informações e novos alertas são divulgados mais rapidamente, proporcionando maior segurança para os responsáveis pelas re
des.
Honeypots
de produção: utilizados diretamente para a segurança
de organizações. Este tipo
de honeypot po
de funcionar
de três formas distintas: prevenção,
detecção e resposta.
• Prevenção: este tipo
de honeypot po
de prevenir ataques. Ele consegue
detectar scans pela re
de e fornecer respostas mais lentas ou respostas pré-
determinadas pelo administrador, com isto po
dendo fazer com que o atacante perca o interesse no alvo. Utilizando este artifício o invasor terá maiores dificulda
des
de i
dentificar falhas reais no sistema. Então este sistema tem também a função
de confundir o atacando.
•
Detecção: este honeypot é importante para que quando se
detectar um ataque os administradores possam respon
der rapidamente quanto à ação que
deve ser tomada, po
dendo interromper o ataque ou minimizar os possíveis danos. A vantagem do honeypot é que ele consi
dera suspeita qualquer ativida
de que tente envolvê-lo.
• Resposta: para se po
der respon
der a um ataque é necessário ter informações claras para se po
der conhecer como um atacante agiu e as ferramentas usadas por ele. Em um sistema
de produção é complicado
de se obter estas informações pois além das informações do ataque também existem os logs dos serviços reais que estão sendo utilizados pela organização, como por exemplo login do usuário no servidor, e-mails enviados e recebidos (no caso
de um servidor
de e-mails). Além disto, um servidor em produção não po
de ser
desligado a qualquer momento e com isto a quantida
de de informação
desnecessária para este fim apenas aumenta, dificultando a análise. Contudo os honeypots captaram apenas as ativida
des necessárias e po
dem ser
desligados a qualquer momento sem interferir nos serviços reais da organização.
2.2 Vantagens e desvantagens
Honeypots possuem um conceito bem simples,
demonstrando que qualquer dispositivo que armazene logs possa ser utilizado para este fim. Mas esta simplicida
de trás vantagens e
desvantagens aos honeypots.
2.2.1 Vantagens
Pouca necessida
de de recursos
de hardware já que o honeypot apenas irá registrar as ativida
des maliciosas;
Possibilida
de de i
dentificar tanto as técnicas quanto as ferramentas utilizadas pelo invasor;
Captura
de trafego criptografado, que muitas vezes não consegue ser analisada por um sistema
de IDS convencional;
Análise
de pequena quantia
de dados, já que os logs são apenas das tentativas
de invasão, sem estarem misturados com os logs
de sistemas
de produção.
É um sistema simples, pois apenas é necessária a configuração do ambiente para começar o monitoramento, sem necessitar o
desenvolvimento
de algoritmos complexos.
2.2.2 Desvantagens
A visão dos ataques fica restrita a apenas as ações em que o honeypot esteja diretamente envolvido, a menos que ocorra algum tipo
de interação dos sistemas reais com o honeypot.
Po
de ocorrer
de aparecerem falsos positivos e falsos negativos análise dos logs caso o honeypot não tenha sido bem configurado;
Um honeypot mal configurado também po
de ser utilizado pelo invasor para ter acesso à re
de real.
2.3 Níveis de interatividade
Os honeypots possuem níveis
de interativida
des diferentes, sendo esta interação relativa ao nível
de liberda
de que o invasor terá durante o ataque.
Estas classificações
de níveis são diretamente relacionadas quanto às informações que serão coletadas e quanto ao risco
de segurança que o honeypot causa na estrutura real da re
de.
Pelos níveis
de interativida
des existem três classificações: baixa interativida
de, média interativida
de e alta interativida
de
2.3.1 Alta interatividade: este tipo
de honeypots permite ao atacante interagir com um sistema operacional e serviços reais. Os serviços não são simulados, não são utilizados ambientes especiais e nada é restringido. Este honeypot traz maior risco ao sistema e é mais complexo
de ser criado, porém oferece
uma maior possibilida
de de coleta
de dados.
2.3.2 Média interatividade: um honeypot
de média interativida
de permite que ao atacante
uma interação maior com o sistema, pois nem todos os serviços são totalmente emulados permitindo acesso a pastas e arquivos do sistema real, mas sem acesso aos arquivos críticos do sistema. Um honeypot com serviços
deste nível é o Valhala que permite que os ataques ao seu serviço
de FTP acessem arquivos colocados em
uma determinada pasta no sistema real, po
dendo estes arquivos ser visualizados, copiados ou removidos.
2.3.3 Baixa interatividade: neste nível estão os honeypots
de aplicação, nos quais o atacante não tem nenh
uma interação com o sistema real, pois todo serviço que o invasor terá acesso serão totalmente emulados. Estes são os mais fáceis
de instalar, configurar e dar manutenção.
Exatamente pelo fato
deste tipo
de honeypot não permitir a interação com o sistema real e esta classificação a que apresenta o menor risco
de ser utilizado, sendo o mais indicado para organizações ou pessoas que estão começando a trabalhar com estes sistemas
de análise
de vulnerabilida
des.
Com a evolução tecnológica e a maior necessidade de informações sobre novos ataques os honeypots precisaram evoluir a forma que agir e detectar os ataques sem comprometer a discrição necessária para que os atacantes não percebam que caíram em uma armadilha. Com isto os honeypots evoluíram para as Honeynets e para os Honeypots Distribuídos.
3.1 Honeynets
As honeynets podem ser caracterizadas então como um conjunto de honeypots que formam uma rede com o objetivo ser comprometida.
Podemos classificar como honeynets quando vários honeypots são colocados em uma mesma rede sendo que todos utilizam o mesmo gateway que será o responsável por analisar o tráfego da rede.
A vantagem da utilização de honeynets é que os serviços ficam distribuídos em máquinas diferentes criando assim um ambientes com maior realismo, dificultando que o atacante perceba que caiu em uma armadilha.
A primeira vista pode parecer que uma rede de honeypots irá acarretar em um alto custo de implementação por necessitar de várias máquinas, e conseqüentemente vários hardwares, porém com a utilização de máquinas virtuais para a formação da honeynet será necessário apenas um hardware. Frise-se que este hardware não necessitará ser dedicado unicamente para este fim, podendo ser utilizado também para outras VMs com serviços reais na rede.
3.2 Honeypots Distribuídos
Outra evolução que os sistemas de honeypots são os honeypots distribuídos que se trata de uma rede de honeypots de aplicação fisicamente distribuídas com o objetivo de cobrir o maior número possível de IPs.
Com a possibilidade de cobrir uma quantia maior de IPs e assim detectar uma maior quantia e variedade de ataques foram criados projetos como o Consórcio Brasileiro de Honeypots, que monitora mais de 10.000 IPs e possui 47 nodos de detecção espalhados pelo Brasil, sendo que desde projeto participam universidades, organizações do governo federal, empresas privadas e de telecomunicações).
Este é um projeto organizado pelo Comitê Gestor da Internet no Brasil (CGI.BR) e disponibiliza através do site do projeto um sumário das estatísticas do trafego analisado, sendo que as estatísticas podem ser mensais, semanais, diárias, das últimas 24 horas ou em tempo real (BRAZILIAN HONEYPOTS ALLIANCE).
