Quando falamos sobre a área de Segurança dentro da Tecnologia da Informação, é comum que existam termos que até já ouvimos falar, mas não sabemos ao certo o que significam. Por isso, nessa série de artigos, vamos abordar alguns termos comuns de segurança.
A invasão de redes e sistemas é uma realidade que ocorre todos os dias. A cada dia surgem novas ameaças, por isso, as empresas devem sempre estar em busca de recursos que garantem uma maior segurança de seus dados. Para conhecer melhor os atacantes, surgiu então a ideia de criar algo que fosse atraente para eles, surgindo assim o honeypot.
O que vem a ser o honeypot?
Honeypot é uma ferramenta ou um sistema criado que contém vulnerabilidades e pode conter até dados falsos. É como se fosse uma “isca” para fisgar atacantes, onde você configura o computador de modo a deixá-lo vulnerável a invasões.
Quando um invasor tenta acessar seu sistema e consegue realizar a invasão com sucesso, ele realmente acredita que conseguiu invadir uma aplicação, mas na verdade ele está em um honeypot: um ambiente simulado justamente para enganar o invasor.
Com a utilização do honeypot, todos os passos do invasor são vigiados, permitindo o registro e controle de todas as atividades que ele venha a fazer. Com isso, é possível saber quais ferramentas foram utilizadas para a invasão e quais brechas o invasor está utilizando. Todos estes passos são enviados para a pessoa que está monitorando o honeypot.
Com isto, os invasores podem ser combatidos de forma mais eficiente, pois conseguimos estudar as informações que foram captadas, a fim de podermos criar meios e técnicas para barrar o ataque - verdadeiro - de novos invasores.
Curso Rede de Computadores - Segurança de Redes Wireless
Conhecer o cursoNíveis de serviço
Um honeypot pode ser classificado em dois níveis de serviços: o de baixa interatividade e o de alta interatividade, onde cada um permite um certo grau de interatividade com o sistema.
Baixa Interatividade: nos honeypots de baixa interatividade, são instaladas ferramentas para emular sistemas operacionais e serviços.
Neste caso, é simulado apenas parte do sistema: o sistema real subjacente é inacessível, não permitindo que o invasor interaja com o sistema real. A instalação e configuração é relativamente fácil, pois tem uma arquitetura simples com um funcionamento básico.
Alta interatividade: por outro lado, nos honeypots de alta interatividade, os invasores interagem com o sistema operacional e serviços reais.
É um sistema operacional completo rodando os sistemas de produção, sendo totalmente acessíveis. O atacante pode ganhar total controle sobre esses sistemas, podendo oferecer um grande risco ao sistema, por isso sua implantação acaba sendo mais complexa.
Para evitar riscos, o honeypot deve ser implementado em um local onde se tenha um grande controle da rede através de métodos de proteção e detecção. Com isso, os atacantes acabam perdendo tempo com ataques não efetivos e se torna possível coletar uma quantidade imensa de informações dos atacantes.
Tipos de honeypots
Pesquisa - São ferramentas programadas para observar as ações dos atacantes, permitindo análises detalhadas de suas motivações, ferramentas utilizadas e vulnerabilidades que foram exploradas.
É bastante utilizada com o intuito de estudar o padrão de cada invasor, pois com essas informações pode-se fazer um estudo mais aprofundado para que a equipe possa verificar quais partes os atacantes estão mais tentando acessar e, com isso, tomar os devidos cuidados.
Produção - São utilizadas em redes de produção como complemento ou no lugar de sistemas para detectar, analisar ou ainda desviar ataques contra ativos de rede. Pode ser utilizado por empresas e instituições que visam proteger suas redes. Tem o objetivo de analisar e detectar atacantes na rede.
HoneyNet
Quando falamos de honeypots, é comum que também surja o termo “honeynet”. Uma honeynet é um conjunto de honeypots. Estes simulam uma rede de produção verdadeira, mas configurada para que todas as atividades que passam por ela sejam gravadas, monitoradas e até controladas.
Algumas ferramentas…
Atualmente, existem muitas ferramentas que são utilizadas para esse propósito. Temos como exemplo o Deception Toolkit (DTK), o Cyber Cop Sting, o Honeyd, o KFsensor, o Nepenthes, o Dionaea, o BackOfficer Friendly (BOF), o Specter e o Valhala.
Considerações finais…
Logo, podemos ver que a utilização de honeypots é de grande ajuda, mas sempre devemos utilizá-los em paralelo com outras ferramentas ao mesmo tempo em que trabalhamos com outros meios de prevenção convencionais.
Assim, conseguiremos evitar ainda mais que um invasor possa atacar aplicações e redes essenciais, tendo uma segurança ainda maior.