RSS-VS4Net VS4NetRSS http://www.vs4net.com.br/netnews.xml Artigos e dicas sobre hardware, software e segurança digital. pt-br edicao@vs4net.com.br webmaster@vs4net.com.br Os artigos do VS4NetNews estão sob uma licença GNU. VS4Net Sistemas de Controle http://www.vs4net.com.br/print_honeypot.php http://www.vs4net.com.br/imagens/print.gif HoneyPot - Você precisa de um ? Thu, 27 Mar 2008 10:07:16 -0300 http://www.cert.br/docs/whitepapers/honeypots-honeynets/ webmaster@vs4net.com.br Colunas Honeypots e Honeynets: Definições e Aplicações

Autores: Cristine Hoepers, Klaus Steding-Jessen e Marcelo H. P. C. Chaves
Versão: 1.1 -- 10/08/2007

Sumário

1. Honeypot

Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido [2].

Existem dois tipos de honeypots: os de baixa interatividade e os de alta interatividade.


1.1. Honeypots de baixa interatividade

Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.

O honeyd [4,5] é um exemplo de ferramenta utilizada para implementar honeypots de baixa interatividade.


1.2. Honeypots de alta interatividade

Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.

Exemplos de honeypots de alta interatividade são as honeynets [6,7] e as honeynets virtuais [8].

2. Honeynet

Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes [3].

Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" [1].

Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando análises detalhadas das ferramentas utilizadas, de suas motivações e das vulnerabilidades exploradas.

Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para geração de alertas.

Existem dois tipos de honeynets: as honeynets reais (ou simplesmente honeynets) e as honeynets virtuais.


2.1. Honeynets reais

Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos.

Para exemplificar, uma honeynet real poderia ser composta pelos seguintes dispositivos:

  • diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados;
  • um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados;
  • um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados;
  • um computador atuando como repositório dos dados coletados;
  • hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.

As vantagens deste tipo são: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais.

As principais desvantagens são: manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.


2.2. Honeynets virtuais

Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) [9] ou o UML (User Mode Linux) [10]. Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo.

As honeynets virtuais ainda são subdivididas em duas categorias: de auto-contenção e híbridas. Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dados, geração de alertas e os honeypots (implementados através de um software de virtualização) estão em um único computador. Na segunda, os mecanismos de contenção, captura e coleta de dados e geração de alertas são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.

As vantagens das honeynets virtuais são: manutenção mais simples; necessidade de menor espaço físico para os equipamentos, e custo final tende a ser mais baixo.

As principais desvantagens são: alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas (muitos componentes concentrados em um único ponto); o software de virtualização pode limitar o hardware e sistemas operacionais utilizados; o atacante pode obter acesso a outras partes do sistema, pois tudo compartilha os recursos de um mesmo dispositivo (no caso da categoria de auto-contenção), e possibilidade do atacante descobrir que está interagindo com um ambiente virtual.

3. Abrangência

Um honeypot/honeynet traz como grande vantagem o fato de ser implementado de forma que todo o tráfego destinado a ele é, por definição, anômalo ou malicioso. Portanto é, em teoria, uma ferramenta de segurança isenta de falso-positivos, que fornece informações de alto valor e em um volume bem menor do que outras ferramentas de segurança, como por exemplo um IDS.

A grande desvantagem é que, diferente de um IDS de rede, por exemplo, um honeypot/honeynet só é capaz de observar o tráfego destinado a ele, além de poder introduzir um risco adicional para a instituição.

É importante ressaltar que honeypots/honeynets devem ser utilizados como um complemento para a segurança da rede de uma instituição e não devem ser encarados como substitutos para:

  • boas práticas de segurança;
  • políticas de segurança;
  • sistemas de gerenciamento de correções de segurança (patches);
  • outras ferramentas de segurança, como firewall e IDS.

4. Aplicabilidade

O valor dos honeypots/honeynets baseia-se no fato de que tudo o que é observado é suspeito e potencialmente malicioso, e sua aplicação depende do tipo de resultado que se quer alcançar.

Honeypots de baixa interatividade oferecem baixo risco de comprometimento e são indicados para redes de produção, quando não há pessoal e/ou hardware disponível para manter uma honeynet, ou quando o risco de um honeypot de alta interatividade não é aceitável.

Normalmente, o uso de honeypots de baixa interatividade também está associado aos seguintes objetivos:

  • detectar ataques internos;
  • identificar varreduras e ataques automatizados;
  • identificar tendências;
  • manter atacantes afastados de sistemas importantes;
  • coletar assinaturas de ataques;
  • detectar máquinas comprometidas ou com problemas de configuração;
  • coletar código malicioso (malware).

honeypots de alta interatividade são indicados para redes de pesquisa. Podem ser utilizados para os mesmos propósitos que os honeypots de baixa interatividade, mas introduzem um alto risco para instituição, e são justificáveis quando o objetivo é estudar o comportamento dos invasores, suas motivações, além de analisar detalhadamente as ferramentas utilizadas e vulnerabilidades exploradas. É importante lembrar que o uso de honeypots de alta interatividade demanda tempo, pessoal mais qualificado e técnicas de contenção eficientes.

Segue uma tabela comparativa que pode auxiliar na decisão sobre que tipo de honeypot deve ser implementado em uma instituição.

Tabela Comparativa
Características Honeypot de baixa
interatividade		 Honeypot de alta
interatividade/Honeynet
Instalação fácil mais difícil
Manutenção fácil trabalhosa
Risco de comprometimento baixo alto
Obtenção de informações limitada extensiva
Necessidade de mecanismos de contenção não sim
Atacante tem acesso ao S.O. real não (em teoria) sim
Aplicações e serviços oferecidos emulados reais
Atacante pode comprometer o honeypot não (em teoria) sim

5. Posicionamento na Rede

Para operar, um honeypot/honeynet necessita de um bloco de endereçamento IP da instituição, que seja roteável e que não esteja sendo utilizado. Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da instituição. Não deve fazer parte de qualquer rede ou segmento de rede previamente sendo utilizado.

É fortemente recomendado que não haja poluição de dados como, por exemplo, o administrador do honeypot/honeynet acessando-o via rede para realizar procedimentos de manutenção, ou realizando varreduras no bloco de endereçamento IP do honeypot/honeynet para verificar se os serviços estão realmente funcionando, entre outros. Caso contrário, pode ser extremamente difícil distinguir entre os eventos que fazem parte dos procedimentos de administração e manutenção e os eventos gerados por atividades maliciosas.

Também é muito importante que não haja qualquer tipo de filtragem para o bloco de endereçamento IP alocado para o honeypot/honeynet, pois assim existem mais chances de se observar técnicas utilizadas pelos atacantes antes desconhecidas, ataques novos, etc.

6. Referências

7. Referências Adicionais

]]> Você sabe oque é Phishing ? Thu, 27 Mar 2008 10:07:16 -0300 http://br.groups.yahoo.com/group/phishalerta/ webmaster@vs4net.com.br Colunas Phishing é um tipo de fraude eletrônica projetada para roubar informações valiosas particulares. Em um phishing (também conhecido como phishing scam, ou apenas scam), uma pessoa mal-intencionada envia uma mensagem eletrônica, geralmente um e-mail, recado no site Orkut ("scrap"), entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informações sensíveis (números de cartões de crédito, senhas, dados de contas bancárias, entre outras) ou baixar e executar e arquivos que permitam o roubo futuro de informações ou o acesso não autorizado ao sistema da vítima. (extraído da Wikipédia)

]]>