RESENHA DE ARTIGO

TEMA OU FRAGMENTO: Honeypots - A segurana atravs do disfarce

Atualizao 09 de agosto de 2005
Autores: Tiago Souza Azevedo(tiago@ravel.ufrj.br) ; Ravel - COPPE/UFRJ;
GRIS - DCC/UFRJ

Introduo
A obra em questo teve como finalidade mostrar os conceitos inerentes a
tcnica conhecida como Honeypot, origem, desenvolvimento, assim como
descrever as tcnicas de abordagem da mesma e suas abordagens prticas.

Resumo
Resumidamente um Honeypot um sistema de segurana que disfara seus
valores ao ser testado, atacado ou comprometido, permitindo que utilizemos
uma honeypot para deter atacantes, detectar ataques, capturar e analisar
ataques automatizados como worms alm de fornecer informaes
importantes sobre a comunidade hacker.
A primeira fonte sobre Honeypot de 1990 do livro de Clifford Stoll ( The
cuckoo`s Egg) onde o mesmo relata os eventos ocorridos durante 10 meses,
de 1986 a 1987, aps ataque de um Hunter o qual decidiu monitorar.
A primeira ferramenta desenvolvida foi a Deception Toolkit(DTK) por Fred
Cohen, em novembro de 1997, usada em sistema Unix. Para Windows NT a
primeira ferramenta comercial foi a CyberCop desenvolvida por Alfred Huger.
Em 1999 foi formado um grupo de pesquisa sobre o tema de modo a
trocaram experincias. Em 2001 lanaram a srie de artigos Know Your
Enemy que traziam suas experincias e pesquisas.
As pesquisas sobre Honeypots so baseadas em 3 principais reas as quais
tm descrio abaixo:

 Honeypots Dinmicas: So honeypots que se adaptam ao sistema,

ou seja, caso o sistema receba um configurao Linux por exemplo
sero criadas novas honeypots para Linux automaticamente;
HoneyTokens: No so computadores e sim um tipo de entidade
digital, tais como: um nmero de carto de crdito, um banco de
dados, um ologin falso,etc...
A principal aplicao est no estudo do comportamento do atacante,
quando este compromete o sistema, e no valor de atrao adicionado
ao ambiente, por exemplo. Honeypots contendo nmero de carto de
crdito s muito atrativas;
Honeypots Farms: ao invs de termos vrias Honeypots temos
somente uma que recebe os atacantes redirecionados aps aes
contra a rede real.
Os Honeypots so classificados em 2 categorias: Produo e Pesquisa
Honeypots de Produo: So sistemas que aumentam a segurana de
uma organizao especfica e ajudam a mitigar riscos, requerem poucas
funcionalidades(mais simples).
A deteco se refere a alertar atividades no autorizadas, a mesma
importante pois mais cedo ou mais tarde a preveno falhar, seja por
causa de uma configurao do firewall ou uma nova vulnerabilidade de
um servio oferecido pelo sistema.
Todo trfego direcionado para uma honeypot suspeito e deve ser
analisado.
Uma honeypot de grande valor para a resposta dada ao incidente, uma
vez que a anlise de um ataque facilitada pois a coleta de evidncias
simples e livre de rudos. O sistema tambm pode ser imediatamente
desconectado da rede, diferente de um sistema de produo real que
fornece servios que no podem ficar offline.
Honeypot de Produo: oferecem uma plataforma de estudo visando
compreender a comunidade hacker,exemplo: qual a ferramenta utilizada
para testar o sistema? Qual exploit utilizado para compromet-lo?
Um HoneyPot de peqsuisa pouco acrescenta a sua organizao uma vez
que esto focadas nas aes do atacante e no apenas na sua deteco.
As Honeypots so divididas em nveis(classificao de Lance Spitzner):
1. Nvel Baixo

Servios emulados pela honeypot, o atacante possui mnima interao com a

honeypot e por isso so poucos os dados gerados...informa apenas tentativa
de conexo.
2. Nvel Mdio
Os servios oferecidos ainda so emulados mas estes j respondem as
requisies do atacante como servios reais.
Desta forma mais dados sobre o atacante so obtidos, devido ao maior grau
de interao os riscos tambm aumentam.
3. Nvel Alto
Os servios reais no so emulados. Por serem sistema operacionais e
mquinas reais o nvel de interao com o atacante muito grande, obtendo
assim muitos dados sobre o ataque. Este nvel oferece muito risco uma vez
que tendo invadido o sistema o atacante operacional real pode lanar
ataques a outras mquinas.
Existem vantagens e desvantagens no uso de honeypots conforme
mostradas no quadro abaixo:
Vantagens
O trfego gerado nas mquinas
bastante reduzido devido a ausncia
do nvel de rudo que seria produzido
numa rede verdadeira ao invs de
uma honeypot.

Desvantagens
Campo de viso direcionado: uma
honeypot s consegue visualizar a
atividade de um ataque direcionado
a ela

Possibilidade de identificao de
Simplicidade em Implementao do uma honeypot: baseada em certas
honeypot
caractersticas ou em erros de
implementao.
Retorno rpido do investimento, pois
Quanto mais complexa a Honeypot
todos os dados gerados so teis a
maior o risco oferecido pela mesma
uma organizao
Concluindo as Honeypots so ferramentas para aquisio de conhecimento
das ameaas provenientes do ambiente de rede e comportamento da
comunidade hacker. Embora no se apliquem como ferramentas de proteo
direta a rede so de grande valia para preveno de ameaas e mitigao de
riscos.

Crtica

O artigo em questo mostra basicamente os conceitos de uma Honeypot,

quando foi criada, etc...
Explica as principais aplicaes da mesma e suas anlises prticas a uma
organizao.
Com base nos dados apresentados acredito que o autor conseguiu em parte
atingir seu objetivo, pois alguns itens importantes no foram mencionados em
seu artigo, tais como os abaixo,retirados de um artigo da Symantec:
(http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR
_2371.html)
Itens como exemplos de ferramentas comerciais que faam este tipo de
emulao:
O "Honeyd" um exemplo de um honeypot de baixa interao, sendo
que sua funo principal monitorar o espao de endereos IPs no
utilizados
O Symantec Decoy Server e o Honeynet Project so exemplos de
honeypots de alta interao.
O autor do artigo no citou as vantagens por exemplo do uso de Honeypots
devido ao atacante usar criptografia, pois mesmo que ele use os dados sero
capturados.
Faltou tambm citar que deve-se usar a honeypot como uma tecnologia
complementar e no substitui as tecnologias de segurana j existentes.