HONEYPOTS
COMO TÉCNICA DE DETECÇÃO DE INTRUSÃO
por Luís Fernando da Silva BittencourtUm honeypot, como o próprio nome sugere: “pote de mel”, é um sistema computacional destinado a ser sondado, atacado e até mesmo invadido. Na realidade é uma armadilha preparada para capturar dados de um possível, ou possíveis, invasor (es) de sistemas. Enquanto algum invasor varre o sistema atrás de informações ou simplesmente para causar prejuízos, ele tem seus dados de origem rastreados (endereço IP) bem como tem documentado em registro de log todas as suas atividades por ocasião da invasão, visando sua localização e responsabilização.
Talvez o exemplo mais conhecido de um honeypot foi o usado por Tsumo Shimomura em 1994 que propiciou a identificação e prisão de Kevin Mitnick. Visando obter dados ilegalmente do Centro Nacional de Supercomputação, situado em Sam Diego – EUA, Mitnick invadiu o computador de Shimomura. Após o fato consumado, este, prevendo uma nova investida, preparou um honeypot que resultou na condenação e prisão por quatro anos de Kevin Mitnick.
Basicamente existem dois tipos de honeypots: de baixa interatividade e alta interatividade.
Honeypot de alta interatividade, ou virtual, é emulado através de software outro computador em um ambiente controlado para tal fim, ou seja, é montado um computador virtual dentro de um computador físico. Tal virtualização é espelhada em um computador real com sistema operacional próprio, editores de texto, navegadores de internet e todas as ferramentas comuns a qualquer equipamento de informática, principalmente com vulnerabilidades conhecidas a fim de que sejam exploradas pelo hacker, para que o mesmo não desconfie de estar entrando na armadilha preparada.
Honeypot de baixa interatividade, ou físico, as ferramentas de detecção são instalados em uma máquina própria para este fim, normalmente sendo o tráfego direcionado mediante configuração no próprio roteador, sempre que o sistema identificar requisições externas diferentes das comuns aos serviços executados. Deve-se ter muito cuidado ao se instalar este tipo de equipamento, pois se mal configurado pode expor a integridade das informações da rede, por exemplo, dados de localização e identificação de outros equipamentos conectados ao honeypot, que poderão serem explorados em novos ataques.
Um bom exemplo de software gratuito de alta interatividade é o Valhala Honeypot,
que pode ser baixado clicando aqui.Bem, até a próxima e não deixem de comentar este artigo.
Comentários