Uma das áreas que mais gosto dentro da TI é a segurança, infelizmente ainda não tive tempo nem oportunidade de me especializar, mais sempre que posso pesquiso sobre o assunto, aproveitando uma de minhas fuçadas na net, estou escrevendo hoje um artigo sobre potes de mel, não entendeu? continue lendo…
A primeira coisa que qualquer hacker faria antes de tentar invadir uma rede seria recolher informações, procurando por serviços e portas vulneráveis, é exatamente nesse ponto entram em cena os honeypots, tradução para “potes de mel”, eles simulam falhas de segurança no sistema, que na verdade são projetadas para reunir informações sobre um possível invasor e seus métodos de ação.
Como os honeypots podem contribuir para a segurança de meu sistema?
Grande parte dos esforços na implementação de um bom projeto de segurança digital se baseiam na aprendizagem das técnicas utilizadas pelos possíveis adversários. Conhecer seu inimigo e seu modo de ação, pode lhe trazer a oportunidade de escolher a melhor forma de se planejar e definir sua defesa.
Mas quais informações são coletadas nesse processo e como? Existem muitas fontes conhecidas de informação, tais como relatórios de novas vulnerabilidades em aplicações específicas, estudos realizados por analistas independentes, novas técnicas de ataque, ou informações obtidas a partir de ataques corporativos recentes.
Jogue sua isca, montando suas armadilhas em forma de aplicações, o propósito é registrar a atividade suspeita de potenciais invasores, deixando que eles agiam à-vontade, sem perceber que estão sendo monitorados.
Este é o funcionamento básico dos “potes de mel”: aplicações que simulam de forma mais ou menos interativas aplicações ou serviços, registrando as atividades suspeitas que qualquer hacker desavisado realiza sobre elas.
Um conjunto de honeypots que apresentam una arquitetura lógica de rede simulando um conjunto de sistemas, serviços e aplicações relacionadas, recebe o nome de honeynet. Logicamente que neste tipo de ambiente simulado não há nenhuma informação real sobre a dados importantes da organização, mas eles devem parecer interessantes ao ponto motivar o hacker perder tempo tentando “chegar ao pote” e gentilmente fornecer informações sobre suas técnicas e métodos de ataque…
Tipos de HoneyPot
Os Honeypots podem ser classificados com base na sua implantação e com base em seu nível de envolvimento. Com base na implantação, honeypots podem ser classificados como:
Honeypots de pesquisasão normalmente desenvolvidos para capturar ataques de Crackers. Honeypots de pesquisa são difíceis de implementar e manter, eles proporcionam a captura de informações bastantes completas, são usados por grandes corporações, instituições militares ou organizações governamentais.
Honeypots de produção são mais fáceis de usar, porém capturam informações mais limitadas, eles são usados principalmente por empresas ou corporações interessadas em aumentar o nível de segurança em seus sistemas, eles são colocados dentro da rede de produção junto com outros servidores.
Quanto aos Níveis:
1- Baixa Interatividade : Serviços Falsos – escuta TCP/UDP – Respostas Falsas;
2 – Média Interatividade:Ambiente falso – Cria uma ilusão de domínio da máquina;
3 – Alta Interatividade: SO com serviços comprometidos – Não perceptível ao invasor.
Aprenda mais (vídeos):
Básico:
Tutorial sobre Honeypots.
Avançado:
Apresentação, segurança de redes e uso de honeypots por Klaus Steding-Jessen – Analista de segurança do Cert.br/NIC.br, assessor de Segurança e Redes da Campus Party.