Honeypot e Honeynet: as vantagens de conhecer o inimigo

A informação é um dos tesouros mais cobiçados atualmente, mais ainda no mundo digital.

Como todo bem valioso, a informação necessita de uma segurança dedicada, eficiente e sofisticada, para que o acesso a este bem seja restrito e controlável.

Sendo a informação um bem muito importante em todos os segmentos, em especial nas empresas, os profissionais de segurança da informação vivem em constante “queda-de-braço” com as comunidades secretas, comumente chamada de clãs, ou, como todos os conhecem, os famosos e tão enfatizados “hackers”.

Dentro deste contexto, as empresas estão se conscientizando que não basta apenas ter uma política de segurança minimizando alguns incidentes indesejáveis, pois a mesma não previne totalmente os ataques.

Segurança da Informação usando Honeypot e Honeynet

Baseado na ideia de que apenas a detecção dos ataques não era o suficiente para garantir a segurança dos ativos, as comunidades de segurança da informação perceberam que era necessário adotar uma nova técnica para conhecer o inimigo, saber quais são suas motivações, métodos, ferramentas e táticas utilizadas para o ataque. Foi a partir desse conceito que surgiu o Honeypot.

O que é Honeypot

Afirma Assunção (2008) que honeypot é uma ferramenta ou sistema criado com objetivo de enganar um atacante e fazê-lo pensar que conseguiu invadir o sistema, quando na realidade, ele está em um ambiente simulado, tendo todos os seus passos vigiados.

Honeypots são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades.” (Honeynet.Br, 2005)

Spitzer (2002) define um honeypot como sendo um recurso em uma rede, cuja função é de ser atacado e invadido, assim possibilitando um futuro estudo das ferramentas e métodos utilizados no ataque. Esta ferramenta possui falhas de segurança reais ou virtuais, expostas de maneira proposital, possibilitando a invasão da rede.

Para Marcelo e Pitanga (2003), além de capturar as informações sobre o ataque, um honeypot pode mostrar as intenções do ataque e também fazer com que os hackers percam tempo com ataques não efetivos, enquanto os especialistas colhem o máximo de informações para poder melhorar a segurança das organizações.

Tipos de Honeypots

Honeypots de Pesquisa

São ferramentas de pesquisa programadas para observar as ações de atacantes ou invasores, permitindo análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas. Eles são mais utilizados para estudos ou por empresas de proteção contra ataques.

Esse tipo de honeypot trabalha fora da rede local da empresa, sendo que, uma configuração mal feita pode acarretar em novos ataques.

Honeypots de Produção

São utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão. Tem como objetivo analisar e detectar atacantes na rede, consequentemente tomando as devidas providencias o mais rápido possível.

Os honeypots de produção são utilizados por empresas e instituições que visam proteger suas redes.

Níveis de interação do Honeypots

Com afirma Montes (2004) os honeypots podem ser classificados em dois níveis de serviços: o de baixa interação e o de alta interação. Assunção (2008) completa dizendo que estes níveis de serviços são as formas de como os honeypots trabalham.

  • Baixa Interação: os honeypots de baixa interação são sistemas e serviços de rede que são emulados, onde o sistema real subjacente é inacessível, não permitindo que o atacante interaja com o sistema real. Sua instalação e configuração são muito fáceis, pois sua arquitetura é simples e seu funcionamento é básico.
  • Alta interação: os honeypots de alta interação são máquinas que atuam como servidores de serviços de rede reais e totalmente acessíveis. O atacante pode ganhar total controle sobre esses sistemas, podendo oferecer um grande risco ao sistema. O honeypot deve ser implementado em um local onde se tenha um grande controle da rede através de métodos de proteção e detecção. Sua implantação é mais complexa, porém com ele podemos coletar uma vasta quantidade de informações dos atacantes.

Ferramentas Honeypots

No mercado atual, existem várias ferramentas que são utilizadas para a implementação dos honeypots. Dentre elas encontramos o Deception Toolkit (DTK), o Cyber Cop Sting, o Honeyd, o KFsensor, o Nepenthes,  o Dionaea, o BackOfficer Friendly (BOF), o Specter e o Valhala. Existem outras, mas as citadas são as mais conhecidas no ramo de segurança.

O que é Honeynet

O conceito de honeynet iniciou em 1999 quando Lance Spitzner, fundador do Honeynet Project, publicou um trabalho “To Build a Honeypot”. O intuito era aprender com as ferramentas usadas as táticas e a motivação dos atacantes.

De acordo com Assunção (2009) uma honeynet é formada por um conjunto de honeypots que simulam uma rede de produção, que é configurada para que as suas atividades possam ser monitoradas, gravadas e, em certo grau, controladas. É uma rede configurada para ser invadida, no qual todo tráfego que entra ou sai do gateway/roteador é considerada uma invasão.

Segundo Azevedo (2010) honeynet é uma rede altamente controlada onde todo pacote que entra ou deixa a honeynet é monitorada, capturado e analisado.

Conforme Honeynet Project (2002), após ser comprometida, ela pode ser estudada para aprender sobre as características dos ataques: as ferramentas utilizadas, as táticas e os motivos que levam os atacantes a cometerem tal imprudência. 

Tipos de Honeynets

Segundo Assunção (2008) existem dois tipos de honeynets:

  • Honeynets Reais: Em uma honeynet real todos os dispositivos que a compõem, incluindo o honeypot, mecanismos de contenção, mecanismo de alerta e mecanismo de coleta de informações são físicos. Exemplificando, uma honeynet real poderia ser composta por diversos computadores, sendo que cada um poderia conter um honeypot, firewall, IDS e IPS, entre outros.

    As vantagens de utilizar honeynet são o baixo custo por dispositivo e os atacantes interagem com ambientes reais. As desvantagens são as manutenções que são mais difíceis e trabalhosas, necessidade de mais espaço físico e o custo total tende a ser mais alto.

  • Honeypot Virtual: Uma honeynet virtual baseia-se na ideia de ter todos os componentes de um honeypot implementados em um número reduzido de dispositivos físicos. Para concretizar tal ideia, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização como o VMware, VirtualBox entre outros.

    A vantagem de se utilizar uma honeynet virtual é a manutenção, pois não há necessidade de um espaço físico maior para os equipamentos e o custo final tende a ser mais baixo. As desvantagens são o alto custo por dispositivo, pois são necessários equipamentos mais robustos para um bom desempenho da honeynet, e o atacante pode ter acesso a outras partes do sistema, pois tudo é compartilhado de um mesmo computador e o mesmo pode perceber que esta interagindo com um ambiente falso, uma rede virtual.

Conclusão

Os Honeypots e Honeynets são recursos que garantem uma melhor segurança das organizações. Seu uso é de muita utilidade para a segurança da informação, visto que, através do estudo detalhado com as informações capturadas dos atacantes, novos meios e técnicas poderão ser criadas contra os ataques de hackers.

Mesmo sendo de grande valor o uso dos Honeypots e Honeynets, nunca se deve confiar a segurança da organização apenas a essas ferramentas, lembrando que elas não são meios de proteção direta, mas sim, meios de estudos. Elas devem trabalhar juntas com meios de prevenções convencionais, para evitar que um atacante possa atacar outros sistemas ou redes.


Orientador: Thiago José Lucas – FATEC – Campus Ourinhos/SP
Academico: Alexandre Lopes
Artigo acadêmico completo disponível aqui


6 Comentários

Carlos Kombo
6

Olá Alexandre!
Estou desenvolvendo minha pesquisa onde preciso implementar o honeyD e estou tendo algumas dificuldadades, você pode me ajudar com isso?

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!