NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Honeynet: eficácia no mapeamento das ameaças virtuais - Parte 2
30 JUN 2003

Honeynet: eficácia no mapeamento das ameaças virtuais - Parte 2






Arquivo do Clipping 2003

30 de junho de 2003

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Na segunda e última parte desta reportagem, você conhecerá as particularidades que envolvem a criação e a manutenção de uma honeynet. Além disso, especialistas em segurança apontam as principais vantagens e desvantagens na implantação desta tecnologia.

Para finalizar, a Módulo Security Magazine disponibilizou ainda toda a bibliografia utilizada para realização desta reportagem. Assim, o profissional que tiver interesse pelo tema pode utilizar este material como uma boa fonte para execução dos primeiros passos de uma honeynet. Confira.

Particularidades do Honeynet.BR

Em documento divulgado em novembro de 2002, os especialistas do INPE e NBSO relatam que o sistema operacional OpenBSD foi escolhido como a plataforma principal da sub-rede de administração do projeto. "Existem sérios riscos de uma máquina da sub-rede de administração ser comprometida, com resultados desastrosos para a contenção de tráfego, por exemplo. O sistema operacional OpenBSD foi escolhido por ter um grande enfoque em segurança. Outro fator importante foi a qualidade do seu filtro de pacotes (pf): implementação robusta de stateful inspection, clareza na especificação de regras complexas, normalização de tráfego, geração de logs em formato libpcap e limitação de banda. Além do ótimo filtro de pacotes, o bom suporte para a implementação de uma bridge transparente também foi importante na escolha do sistema", cita Klaus Steding-Jessen, do NBSO.

Ainda no documento, relata-se que "diferentemente de outras honeynets que se tem conhecimento, os principais mecanismos de contenção e geração de alertas da Honeynet.BR foram desenvolvidos por membros do projeto...". Assim, Klaus nos revela três dos principais mecanismos desenvolvidos: sessionlimit, mecanismos de alerta e sistema de monitoração de atividades.

"O sessionlimit foi desenvolvido para interagir com o filtro de pacotes pf, inserindo e retirando regras de filtragem conforme necessário. Essa ferramenta demonstrou-se muito útil em barrar seletivamente ataques e tentativas de DoS contra outras redes, sem interferir, contudo, com outras atividades dos invasores, como download de ferramentas e troca de informações", relata.

Com relação aos mecanismos de alerta, Klaus explica que eles são métodos para alertar sobre atividades maliciosas em andamento, em algum honeypot. "Atualmente os alertas são enviados por e-mail e via mensagens SMS para telefones celulares dos membros do grupo". Por último, o especialista explica que o sistema de monitoração de atividades serve para capturar comandos digitados nos honeypots.

Vantagens e Desvantagens

No paper "Honeypots definitions and value of honeypots", o especialista Lance Spitzner cita as vantagens e desvantagens da implantação de um honeypot. Inicialmente, Spitzner aponta seis vantagens para implantação dessa tecnologia:

  • Geração de logs pequenos e precisos, contendo somente as atividades realizadas sem autorização ou maliciosas;
  • Descoberta de novas ferramentas e táticas;
  • Uso de recursos mínimos;
  • Compatibilidade com ambientes criptográficos e IPv6;
  • Geração de informação detalhada, que poucas tecnologias conseguem rastrear;
  • Conceito simples, sem a necessidade de desenvolvimento de algoritmos específicos, por exemplo.

Entre as desvantagens, ele afirma que um honeypot, assim como outras tecnologias, possui algumas fraquezas e uma delas é o risco de ser controlado pelo invasor. Como atrair um invasor sem que ele perceba que está sendo estudado?

"Um fato interessante a observar é que não é necessário atrair os invasores. Mesmo a rede mais obscura, num canto mais obscuro da Internet, é constantemente sondada em busca de máquinas vulneráveis. Este comportamento é bastante discutido no white paper Know Your Enemy - The Tools and Methodologies of the Script Kiddie", relata Cristine Hoepers.

Sobre a possibilidade de um invasor tomar controle de um honeypot, a especialista diz que é necessário saber lidar com os riscos. "Por isso sempre alertamos que ao colocar um honeypot ou ao implantar uma honeynet é necessário que se tenha plena consciência dos riscos que estão sendo assumidos. Se o seu honeypot for controlado pelo invasor, ele pode usá-lo como ponto de partida de ataques a outras redes. Por isso sempre reforçamos que um mecanismo de contenção eficiente é a base para que um honeypot/honeynet não seja utilizado como fonte de ataques a outras redes ou à rede da própria instituição", explica.

Ainda no paper "Honeypots definitions and value of honeypots", Spitzner cita outra desvantagem no uso de honeypots, quando fala de sua visão limitada, pois "o invasor só interage com aquele sistema, não sendo possível capturar ataques contra outros sistemas". Hoepers concorda com o especialista, mas acrescenta um ponto importante nessa história.

"Isto é verdade. Porém, essa não é uma grande desvantagem, visto que, em função do uso extremamente difundido de ataques automatizados, o que se vê em uma honeynet/honeypot dá uma boa idéia sobre o que ocorre na Internet como um todo. Além disso, se o objetivo é colocar um honeypot para estudar os ataques ou para ter idéia de quais estão sendo direcionados para sua rede, o impacto da visão limitada é reduzido", relata.

A especialista lembra também que um honeypot não é uma tecnologia para ser usada em substituição aos sistemas de detecção de intrusão. "Mas sim uma tecnologia que pode auxiliar na compreensão dos ataques e na captura de inteligência. Nessa linha, o ideal é a monitoração de honeynets e honeypots distribuídos e o cruzamento de informações entre eles, o que faz parte da pesquisa sendo feita pela Honeynet.BR e pela Honeynet Research Alliance", indica.

Resultados

Neste ponto aparecem os principais argumentos que justificam a importância de se direcionar recursos para criação e manutenção de uma honeynet. O projeto dos especialistas do INPE e NBSO, por exemplo, conseguiu detectar variantes de pragas virtuais, além da ação de programas maliciosos.

"Desde o início do projeto foi possível detectar diversos worms diferentes, incluindo a primeira detecção do Slapper B, cujas informações obtidas pelo projeto foram a base para as informações contidas em alerta da ISS, algumas variantes de programas de malware que exploram máquinas infectadas pelo Kuang, programas de pop-up spam, e rootkits diversos. Os rootkits são todos enviados para os autores do chkrootkit, de modo a cooperar na atualização da ferramenta", revela Klaus Jessen. O especialista cita ainda que os dados coletados pelo projeto auxiliaram também o NBSO no processo de tratamento e correlação de alguns incidentes específicos.

Com menos de um mês em atividade, o honeynet da RAVEL já detectou ataques de worms e portscans. "Alguns ajustes ainda estão sendo realizados e os resultados se limitam a alguns Port Scans e ataques de worms para servidores IIS. Esperamos com o tempo sofrer ataques mais elaborados e direcionados aos nossos sistemas", explica Alexandre Andrucioli.

Próximos passos

Neste mês, os especialistas do Honeynet.BR apresentarão alguns resultados parciais obtidos pelo projeto, incluindo as varreduras mais comuns e a origem dos ataques, na Conferência Anual do FIRST. Essas informações estão descritas no artigo "Honeynets Applied to The CSIRT Scenario".

Segundo Klaus, do NBSO, além da apresentação, cinco novos projetos estão em andamento: adição de novos recursos para controle de conteúdo na ferramenta sessionlimit; desenvolvimento de ferramentas multi-plataforma para monitoração de atividades dos invasores; sistema para desvio de ataques para máquinas específicas; investimento na implantação de mais honeypots distribuídos, de modo a ampliar a coleta de dados de inteligência; e criação, em conjunto com a Research Alliance, de um mecanismo de contenção robusto e facilmente configurável, que possa ser disponibilizado ao público.

Neste último item, o especialista acrescenta. "A intenção é tornar a configuração da contenção de tráfego mais simples, com o intuito de estimular a implantação de honeynets em diversos pontos da Internet".

Já o mestrando Alexandre enumera as próximas ações do projeto da RAVEL. "O primeiro passo desse trabalho foi a construção do ambiente em nosso laboratório. Como próximos passos temos a participação na aliança criada pelo grupo Honeynet Project, o estudo do perfil dos atacantes, o estudo e classificação de ataques e a análise estatística dos ataques".

Bibliografia

Para finalizar, a Módulo Security Magazine disponibiliza por aqui toda a bibliografia utilizada para realização desta reportagem. Assim, o profissional que tiver interesse pelo tema pode utilizar este material como uma boa fonte para execução dos primeiros passos de uma honeynet:

Papers

"An Evening with Berferd"

"Honeypots: Definitions and Value of Honeypots"

"Honeypots: Simple, Cost-Effective Detection"

"Know Your Enemy: Honeynets"

"Know Your Enemy - The Tools and Methodologies of the Script Kiddie"

"Honeynets Applied to The CSIRT Scenario"

"Honeynet.BR: Desenvolvimento e Implantação de um Sistema para Avaliação de Atividades Hostis na Internet Brasileira"

Sites

"Honeynet Research Alliance"

"Honeynet Project"

"Challenges"

"Honeynet.BR"

Quem perdeu a primeira parte desta reportagem,clique aqui.

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso