NIC.br

Ir para o conteúdo
24 JUN 2003

Honeynet: eficácia no mapeamento das ameaças virtuais - Parte 1






Arquivo do Clipping 2003

24 de junho de 2003

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Longe de ser apenas uma "realidade" no campo da ficção científica, o uso de mecanismos para observação das atividades de invasores em redes conectadas à internet vem sendo utilizado na prática há um bom tempo no mundo da tecnologia da informação.

Um pouco da história desses mecanismos está descrita no artigo"Honeynet.BR: desenvolvimento e implantação de um sistema para avaliação de atividades hostis na internet brasileira", escrito por especialistas do NBSO e INPE.

Por lá, descobrimos que as primeiras experiências na área datam de 1988, quando o especialista Clifford Stoll faz um relato completo sobre a história da invasão (origem do ataque, motivos e redes-alvo) nos sistemas do Lawrence Berkeley Laboratory (LBL).

Quatro anos depois, em 1992, seria a vez do especialista Bill Cheswick explicar no artigo "An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied" os resultados do acompanhamento de invasões em um dos sistemas da AT&T, projetado especialmente para este fim.

O termo honeypot só surgiria em meados de 1998, quando Fred Cohen desenvolveu a ferramenta Detection Toolkit (DTK), a primeira utilizada para "emulação de diversas vulnerabilidades e coleta de informações sobre os ataques sofridos".

Mas é em 1999, quando um grupo de especialistas em segurança da informação liderado por Lance Spitzner lança o Honeynet Project - uma rede projetada exclusivamente para ser comprometida por ataques -, que o conceito de honeynets ganha repercussão mundial e demonstra a importância do estudo do comportamento dos invasores de uma rede para o desenvolvimento de novas ferramentas e sistemas de defesa.

Mas o que é uma honeynet e um honeypot?

Inicialmente, é preciso esclarecer as definições de honeynet e honeypot. Antes de se basear nas simples traduções ao pé-da-letra "rede de mel" e "pote de mel", respectivamente, saiba que ambos os termos abrangem um conteúdo muito mais amplo.

"Honeypot é um recurso de segurança preparado especificamente para ser sondado, atacado ou comprometido e para registrar essas atividades. Já Honeynet é uma rede projetada especificamente para ser comprometida e utilizada para observar os invasores. Essa rede normalmente é composta por sistemas reais e necessita de mecanismos de contenção eficientes e transparentes, para que não seja usada como origem de ataques e também não alertar o invasor do fato de estar em uma honeynet", explica a Analista de Segurança Sênior do NIC BR Security Office (NBSO), Cristine Hoepers.

Para quem quiser saber mais sobre esses conceitos, a especialista indica dois artigos: "Honeypots: Definitions and Value of Honeypots", e "Know Your Enemy: Honeynets".

Tipos de Honeypots

Entendidos os conceitos certos dos termos honeypot e honeynet, passemos para a segunda etapa: quais são os tipos de honeypots. Segundo Cristine Hoepers, o Honeynet Project utiliza comumente dois tipos principais:

  • Honeypots de baixa interação (Low-interaction Honeypots): normalmente apenas emulam serviços e sistemas operacionais, não permitindo que o atacante interaja com o sistema.
  • Honeypots de alta interação (High-interaction Honeypots): são compostos por sistemas operacionais e serviços reais e permitem que o atacante interaja com o sistema.

O projeto brasileiro de honeynet - sim, ele existe e falaremos melhor dele a seguir - utiliza honeypots de alta interação. "Eles são sistemas reais, porém com algumas modificações que permitem a captura de todos os dados, inclusive os criptografados. De certo modo, como descrito na literatura, a própria honeynet pode ser considerada como um único honeypot composto por diversos sistemas. Nós, porém, preferimos nos referir a cada sistema individual dentro da honeynet como um honeypot individual", explica a especialista.

Honeynets no Brasil

Para quem ainda não sabe, a internet brasileira já conta com uma honeynet há um bom tempo. Ela se chama Honeynet.BR, criada e mantida em parceria por especialistas do Instituto Nacional de Pesquisas Espaciais (INPE) e do grupo brasileiro de resposta a incidentes de segurança NBSO.

A história desse projeto tem início com uma palestra do especialista Lance Spitzner, um dos criadores do Honeynet Project. "Em junho de 2000, tivemos a chance de assistir uma apresentação de Lance Spitzner sobre o conceito de Honeynets e seu potencial. Depois disso, passamos a acompanhar o progresso do projeto. Outros contatos com ele e com o projeto surgiram, mas ainda não havia uma estrutura para implementar uma honeynet aqui no país", revela Hoepers, do NBSO.

Apesar das dificuldades, a idéia ganharia força a partir de 2001. "Nessa época, o INPE e o NBSO iniciaram uma cooperação maior e, no final daquele ano, surgiu a idéia de implementar um protótipo do projeto como um laboratório do Curso de Pós-graduação em Segurança de Sistemas de Informação do INPE. Deste protótipo, partiu-se para um projeto maior, desenvolvendo pesquisa na área e envolvendo diversos alunos de doutorado e mestrado", relata.

Assim, em março de 2002 começariam as operações do Honeynet.BR. Três meses após o seu lançamento, o projeto receberia um importante reconhecimento. "Devido à orientação do nosso projeto à pesquisa, em junho de 2002 o Projeto Honeynet.BR tornou-se membro da Honeynet Research Alliance, que reúne diversos grupos de várias partes do mundo, todos empenhados em desenvolver a tecnologia de honeynets", diz.

Depois do pioneirismo do Honeynet.BR, a expectativa é que, em pouco tempo, o número de projetos nessa área ganhe novos adeptos no Brasil. Quer um exemplo? No início deste mês, o Laboratório de Redes de Alta Velocidade (RAVEL), ligado à COPPE e contando com o apoio da FAPERJ, colocou em operação um projeto envolvendo uma honeynet.

"A idéia surgiu nas discussões com o Professor Luís Felipe de Moraes e o colega de mestrado Demetrio Cárrion, no Programa de Engenharia de Sistemas e Computação (PESC) da COPPE/UFRJ. Vimos à oportunidade de desenvolver um trabalho semelhante ao conhecido Honeynet Project, estudando de forma mais aprofundada os ataques que ocorrem na Internet", revela Alexandre Pinaffi Andrucioli, mestrando do RAVEL.

Custos e profissionais habilitados

A viabilização de uma honeynet gera custos similares aos gastos numa rede normal. "Os custos são de certa forma similares àqueles envolvidos em manter uma rede conectada à Internet e envolvem conectividade, máquinas, espaço físico etc. Este custo pode ser dividido entre o de manter uma rede administrativa e o de manutenção dos honeypots", explica Klaus Steding-Jessen, Analista de Segurança Sênior do NBSO.

Uma saída para evitar custos elevados no projeto é utilizar software livre. "Na rede administrativa, existe a possibilidade de utilização de software livre para todas as atividades, reduzindo o custo ao hardware. No caso dos honeypots vai depender do sistema operacional e dos aplicativos que se pretende instalar. Caso os honeypots sejam todos baseados em software livre, o custo será reduzido. Porém, se houver a intenção de utilizar sistemas como o Windows, Solaris etc, então os custos com licença de software necessitam ser levados em consideração. Em ambos os casos, o hardware utilizado não necessita ser topo de linha", afirma.

O projeto do RAVEL procurou seguir essa linha. "Para realização do projeto foram necessários um Hub e cinco computadores, sendo uma máquina de gerenciamento e o restante pertencente à rede da Honeynet. Os sistemas operacionais utilizados foram Linux e OpenBSD, e todos os softwares são Open Source, dentre eles o snort, snort-inline, ettercap etc. Pretendemos utilizar outros sistemas operacionais (Windows, Solaris e AIX), mas isso ainda está sendo analisado", conta Alexandre Andrucioli.

Já o Honeynet.BR, por exemplo, iniciou sua operação contando com equipamentos doados. "O nosso projeto, inicialmente, utilizou equipamentos disponibilizados pelo INPE e por membros do projeto. Mas também recebemos doações de equipamentos por parte do Ministério da Ciência e Tecnologia (MCT)", diz.

Além dos equipamentos necessários, outro ponto importante é o perfil do profissional que estará atuando no projeto. Conhecimentos profundos em TCP/IP e Firewall são alguns dos principais requisitos exigidos.

"Para que um profissional implante uma honeynet com mecanismos robustos de contenção de tráfego e para que possa tirar proveito de todas as informações a que terá acesso após tê-la implantado, é essencial que ele possua conhecimentos profundos de TCP/IP, de administração de redes e de tecnologias de firewall. Implantar os mecanismos de contenção de uma honeynet e acompanhar seu funcionamento pode exigir maior experiência do que a implantação e manutenção de uma DMZ (Demilitarized Zone), por exemplo", relata Cristine Hoepers.

A especialista diz que também é interessante que o profissional já tenha algum conhecimento relativo ao funcionamento de ataques e ao processo de resposta a incidentes. E deixa uma dica interessante para os iniciantes interessados. "Nossa recomendação é que iniciem os estudos através da resolução dos Challenges, propostos pelo Honeynet Project. E se tiverem interessem em implantar seu próprio honeypot, é aconselhável que iniciem com a instalação de um honeypot de baixa interação", explica.

Confira a segunda e última parte desta reportagem.