Segurança
Por: Robson Lima • 12/11/2015 • Resenha • 3.022 Palavras (13 Páginas) • 133 Visualizações
[pic 1]
CENTRO UNIVERSITÁRIO MONTE SERRAT
HONEYPOTS E HONEYNETS
Santos
Ano 2015
[pic 2]
CENTRO UNIVERSITÁRIO MONTE SERRAT
[pic 3]
Santos
Ano 2015
ONEYPOTS
Introdução
Com o desenvolvimento das comunicações globais e tecnológicas o crime cibernético se propaga. Diariamente se desenvolvem novas técnicas de ataque e o risco é cada vez maior, devido à importância e abrangência de soluções e suportes pela Internet. Neste contexto, é necessário o desenvolvimento de contramedidas para detectar a prevenção de ataques. A maioria das soluções baseia-se em factos e padrões de ataque conhecidos, sendo necessário conhecer quem é o inimigo, que tipo de estratégia utiliza, que ferramentas e o que procura atingir. Existe uma dificuldade de ajuntar todas essas informações. O conhecimento da estratégia de ataque é fundamental esse processo, podendo melhorar e eliminar as vulnerabilidades dos sistemas de informação reunindo o máximo de informação é um dos objetivos de um honeypot (de forma silenciosa, sem alarmar o atacante).
Os honeypots não são a solução perfeita para resolver ou prevenir crimes cibernéticos. Mais ainda, são difíceis de manter e exigem operadores com bons conhecimentos de Sistemas Operacionais e de Segurança de Redes, mas quando estão em boas mãos podem ser uma ferramenta eficaz na recolhimento de informações; caso contrário, um honeypot pode tornar-se mais um sistema infiltrado e um instrumento para a comunidade Hacker.
Honeypots não atuam diretamente na implementação da segurança em redes, ao contrário disso eles atraem os intrusos que podem portanto suscitar algum interesse da comunidade hacker, pela rede onde estão instalados.
História
O honeypot foi desenvolvido com uma única finalidade de ser invadido, permitindo uma análise das ações de um invasor identificando-o na rede. O primeiro relato do uso de honeypots para observar as ações de um invasor é citado em “The Cuckoo's Egg”, livro de Cliff Stoll, um astrônomo e administrador de sistemas computacionais, formado em uma Universidade do Arizona.
As primeiras ferramentas para utilização como honeypots vieram sete anos mais tarde, com a pioneira Deception Toolkit (DTK), desenvolvida por Fred Cohen, em novembro de 1997, usada em sistemas Unix e para os sistemas Windows NT foi comercializada pela CyberCop e desenvolvida por Alfred Huger.
Como surgimento de um grupo de pesquisa em 1991, onde abordaram esse assunto para trocarem informações e experiências e no ano de 2001 lançaram uma série de artigos “Know Your Enemy” que traziam essas informações das pesquisas e que são baseadas em 3 principais áreas que tem descrição abaixo:
Honeypots Dinâmicas - são honeypots que se adaptam ao sistema, caso o mesmo receba uma configuração em Linux em que serão criadas novas HoneyTokens – Não são computadores, mas um tipo de entidade digital.Ex.: Um número de cartão de crédito; um banco de dados; um logon falso, etc.
O estudo é focado no comportamento do atacante quando ele invade o sistema e o valor de atração focado ao ambiente, como em exemplos de honeypots contendo números de cartões de créditos que são bastante atrativas.
Honeypots Farms – Ao contrário de termos vários honeypots temos somente uma que recebe os atacantes que são redirecionados após a ação contra a rede real.
A forma de detecção se refere a alertas de atividades não autorizadas, onde a mesma tem uma importância sobre a prevenção de uma falha que pode ocorre em algum momento dentro de uma configuração de um firewall ou de uma vulnerabilidade de um serviço oferecido no sistema.
Todo o tráfego de dados direcionado a um honeypot é considerado suspeito deve ser analisado.
Uma Honeypots tem grande valor para se dar uma resposta a um incidente, já que uma análise do ataque é facilitada pela coleta de evidências de forma simples e livre de ruídos. O sistema também pode ser desconectado imediatamente da rede, diferente de um ambiente de produção real que pode ficar off-line.
Um honeypot de pesquisa pouco tem a acrescentar em uma organização, uma vez que estão focadas na ação do invasor e não apenas na detecção dele.
As Honeypots estão divididas em níveis classificação Lance Spitzner:
Nível baixo
Serviço emulado a qual o invasor possui uma interação mínima com a honeypot e por isso poucos dados são gerados informando apenas uma tentativa de conexão.
Nível Médio
Os serviços são emulados, mas estes já respondem a requisições do invasor como serviços reais do ambiente de produção e desta forma mais dados do atacante são coletados e devido ao maior grau de interação os riscos também são maiores.
Ferramentas Honeypots
- CyberCop Sting:
O CyberCop Sting é um dos primeiros honeypots comerciais desenvolvidos para organizações. Criado pela empresa CyberCop, este software permite aos gestores monitorar silenciosamente atividades suspeitas em sua rede e identificar possíveis problemas e vulnerabilidades.
O Sting simula uma rede contendo vários tipos diferentes de dispositivos de rede, incluindo servidores Windows-NT, servidores Unix e roteadores. Cada dispositivo da rede virtual tem um endereço IP real e pode enviar e receber pacotes de verdadeira aparência, para emular ainda mais um verdadeiro sistema, para não levantar desconfiança do atacante.
- Honeyd:
O Honeyd é um software que emula vários sistemas operacionais e aplicações, permitindo a criação de hosts virtuais e também o anexo de scripts escritos em Perl para criações de interações em determinadas portas, assim levando os hackers a acreditar que aquela é uma rede real.
Criado pelo pesquisador e engenheiro de software Niels Provos em abril de 2002, o Honeyd é um software de código-aberto, feito para as versões Windows e Linux, onde possibilita a configuração para atender todas as necessidades dos usuários, tanto para pesquisa quanto para produção.
...