NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Especialistas brasileiros lançam Consórcio Brasileiro de Honeypots
05 ABR 2004

Especialistas brasileiros lançam Consórcio Brasileiro de Honeypots






Arquivo - Clipping 2004

05 de abril de 2004

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Desde março de 2002, o espaço virtual brasileiro já conta com uma honeynet operando no monitoramento das atividades dos invasores em redes conectadas à internet. Estamos falando do projeto Honeynet.BR, criado e mantido em parceria por especialistas do Instituto Nacional de Pesquisas Espaciais (INPE) e do grupo brasileiro de resposta a incidentes de segurança NIC BR Security Office (NBSO).

O sucesso do projeto foi imediato. Em junho de 2002, a Honeynet.BR se tornaria membro da Honeynet Research Alliance, organização internacional que reúne diversos grupos de várias partes do mundo (do Paquistão a Portugal, por exemplo).

Mas o espírito pioneiro desses especialistas iria ainda mais longe. Com a evolução do projeto, surgiu-se a idéia da criação de um Consórcio Brasileiro de Honeypots. "A idéia de criar este consórcio foi uma evolução natural do projeto Honeynet.BR. Os objetivos principais sempre foram os de desenvolver a tecnologia de honeypots e honeynets e de coletar e analisar informações referentes a ataques no espaço Internet brasileiro", explicam Klaus Steding-Jessen e Cristine Hoepers, Analistas de Segurança Sênior do NBSO.

Assim, a coordenação é feita em conjunto pelo NBSO e pelo CenPRA e nove instituições participam deste novo projeto, através da alocação de recursos e pessoal para a instalação e manutenção destes honeypots em suas redes.

"Operacionalmente o projeto funciona através da instalação de múltiplos honeypots de baixa interatividade no espaço Internet brasileiro e do processamento centralizado dos dados capturados por esses honeypots. Cada instituição participante tem a chance de capacitar-se na tecnologia de honeypots, é livre para adaptá-los conforme as suas necessidades e para utilizar como quiser os dados capturados em seus honeypots", explicam os especialistas.

Pelo baixo risco oferecido à rede das instituições, menor necessidade de acompanhamento e maior facilidade de configuração e manutenção, os responsáveis pelo projeto decidiram utilizar somente honeypots de baixa interatividade. "Além disso, o padrão de instalação e configuração desenvolvido no projeto permite a fácil instalação, configuração e manutenção de um grande número de honeypots", revelam.

Objetivos

Segundo Klaus e Hoepers, o Consórcio Brasileiro de Honeypots tem como um dos seus principais objetivos auxiliar o aumento do nível de segurança e resposta a incidentes da internet no Brasil, através da detecção de atividades maliciosas, correlação de eventos e determinação de tendências de ataques.

Mas os objetivos do projeto não param por aí. Os especialistas citam ainda o compartilhamento das informações obtidas com grupos de resposta a incidentes, notificação aos administradores de redes envolvidas em atividades maliciosas e a fomentação da capacitação de pessoal e a disseminação do uso da tecnologia de honeypots.

Benefícios para internet no país

Correlação de incidentes e um melhor mapeamento dos ataques na Internet brasileira. Esses são os primeiros resultados que o consórcio trará para a web brasileira. "Através dos dados obtidos, é possível que o NBSO identifique máquinas brasileiras envolvidas em atividades maliciosas e notifique os responsáveis por estas redes. Estas atividades incluem, por exemplo, máquinas realizando varreduras ou infectadas por worms", revelam Klaus e Hoepers.

Além disso, a dupla destaca que o projeto também contribui diretamente para a capacitação profissional. "Muitas das instituições participantes têm através do projeto a oportunidade de adquirir ou aprimorar conhecimentos sobre as áreas de honeypots, detecção de intrusão, firewalls e análise de artefatos. Cabe ainda lembrar que a simples participação no projeto faz com que as elas se aproximem e outras possibilidades de cooperação sejam exploradas", ressaltam.

O pioneirismo brasileiro

Os especialistas do NBSO relatam que outros projetos no exterior já trabalham com a coleta e centralização de dados de registros de eventos de sensores de sistemas IDS, de honeypots e também de firewall.

Porém, eles destacam três características que tornam o projeto brasileiro pioneiro na área:

1) "Todas as instituições envolvidas seguem um padrão de configuração, permitindo um controle maior em casos de atualizações e alterações e facilitando a instalação e configuração - fator que também auxilia o gerenciamento de um grande número de honeypots";

2) "Todos os dados são centralizados, incluindo conteúdos de pacotes e artefatos coletados. Como o formato de dados é padrão a correlação fica facilitada";

3) Todas as informações são utilizadas por um CSIRT (o NBSO) para contactar as redes originadoras de atividades maliciosas e, além de alertá-las sobre os problemas, prover informações sobre segurança de redes e como proceder para encerrar a atividade maliciosa. "Pelo que sabemos, já existem alguns CSIRTs operando redes de sensores, mas até agora os dados capturados estão sendo mantidos apenas para fins estatísticos e usados para o aumento da consciência de segurança e não para alertar as redes originadoras das atividades", ressaltam.

Os resultados

Como primeiro resultado, Klaus e Hoepers citam que os dados obtidos através do Consórcio são todos processados de forma centralizada e as informações coletadas - a respeito de ataques - são utilizadas pelo grupo para notificação de incidentes para as redes que originaram estes ataques.

"Outra grande contribuição do projeto para a comunidade em geral tem sido o repasse de malwares coletados nos honeypots para empresas de softwares antivírus - em várias ocasiões foram geradas novas assinaturas de worms e vírus a partir dos dados coletados pelo projeto", revelam.

Os especialistas explicam ainda que diversos integrantes do projeto estão trabalhando no desenvolvimento de ferramentas de análise e de captura de informações em honeypots de baixa interatividade. "Várias destas ferramentas são inéditas e estão sendo utilizadas por outros grupos envolvidos em pesquisas com honeypots", ressaltam.

Por fim, as instituições participantes também utilizam dados coletados em seus honeypots para a determinação de problemas em suas redes, como máquinas infectadas ou comprometidas. "Estes dados têm se mostrado bastante úteis, devido ao baixo número de falsos positivos", dizem.

Próximos passos

A primeira expectativa dos coordenadores do projeto é que o número de instituições participantes seja duplicado nos próximos meses. "Já estamos em contato com diversas instituições, inclusive algumas empresas, que estão em fase final de associação ao projeto", explicam Klaus e Hoepers.

Além disso, eles apontam o desenvolvimento de várias ferramentas de análise e visualização gráfica dos dados coletados. "A partir do próximo mês, o NBSO passará a manter estatísticas trimestrais das notificações feitas com base nos dados obtidos pelo projeto, de modo a dividir com a comunidade as informações obtidas a respeito das atividades maliciosas observadas no espaço Internet brasileiro", revelam.

Saiba mais:

Consórcio Brasileiro de Honeypots

Projeto Honeynet.BR

Grandes nomes - Entrevista com Lance Spitzner

Trabalho acadêmico - "Análise de Intrusões através de Honeypots e Honeynets"

Honeynet: eficácia no mapeamento das ameaças virtuais - Parte 1

Honeynet: eficácia no mapeamento das ameaças virtuais - Parte 2

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso