Embed Size (px)
Citation preview
Programa de Mestrado em Engenharia da Informação
Santo André, 07 de Agosto de 2013
Ivan R ibold i Jordão da Si lva Vargas
Honeypots, honeynets
e honeytokens
Currículo
• Ivan Riboldi Jordão da Silva Vargas
– Sargento da Arma de Comunicações – EsSA/EB;
– Técnico em Redes de Computadores – Veris IBTA;
– Tecnólogo em Redes de Computadores – Veris IBTA;
– Especialização em Criptografia e Segurança de Redes – UFF;
– Mestre em Engenharia da Informação – UFABC.
2
Objetivos
• Apresentar os conceitos em torno da tecnologia de
honeypots
• Identificar e compreender as características,
funcionalidades e finalidades dos honeypots
3
Sumário
• Introdução
– Cenário atual
– Justificativa
• Desenvolvimento
– Histórico
– Definições
• Honeypots
• Honeynets
• Honeytokens
– Projetos em andamento
• Conclusões
– Considerações Finais
– Bibliografia
4
Cenário Atual
• Crescimento mundial no número de usuários de Internet:
– 2 bilhões de usuários no mundo
– 80 milhões de usuários no Brasil
• Oferta de novos serviços:
– Portal de notícias, correio eletrônico, compartilhamento de
arquivos, VoIP
• Dependência das novas tecnologias
– Fácil acesso à informação, mobilidade, convergência
• Crimes virtuais
5
Justificativa
• Banalização das ferramentas de ataque à redes e
sistemas de informação e comunicações
• Susceptibilidade das ferramentas de segurança da
informação e comunicações a erros de implantação e
configuração
• Perímetro de segurança com características reativas
• Quanto maior o conhecimento sobre os ataques
existentes, maior a capacidade de defesa
• Mecanismos de defesa não foram desenvolvidos com a
mesma eficiência aplicada na entrega da tecnologia
6
Histórico
• Primeiras publicações
– Clifford Stoll: The Cuckoo’s Egg: Tracking a Spy
Through the Maze of Computer Espionage (1989)
– Bill Cheswick: An Evening with Berferd in Which a
Cracker is Lured, Endured, and Studied (1992)
– Fred Cohen: Ferramenta Deception Toolkit (DTK)
(1997)
– Honeynet Project (1999)
– Lance Spitzner: Learning the Tools and the Tactics of
the Enemy with Honeynets (2000);
7
Definições
• “Honeypots são recursos computacionais dedicados a
serem sondados, atacados ou comprometidos, num
ambiente que permita o registro e controle dessas
atividades” (SPITZNER, 2002)
• “Honeynets são ferramentas de pesquisa, que
consistem de uma rede projetada especificamente para
ser comprometida e que contém mecanismos de
controle para prevenir que seja utilizada como base de
ataques contra outras redes” (HOEPERS, STEDING-
JESSEN & MONTES, 2003)
8
Definições
• “Honeytoken”: informação projetada para ser
comprometida e observada, podendo ser um falso
endereço de e-mail, um falso número de cartão de
credito, um falso arquivo, uma falsa entrada em uma
base de dados, entre outros (HONEYNET PROJECT,
2001)
9
Aplicações
• Honeypots de Pesquisa são ferramentas de pesquisa
que podem ser utilizadas para observar o
comportamento de invasores , permitindo análises
detalhadas de suas motivações , das ferramentas
utilizadas e vulnerabilidades exploradas
• Honeypots de Produção podem ser utilizados em redes
de produção como complemento ou no lugar de
sistemas de detecção de intrusão.
10
Honeypots e Honeynets
• Objetivos:
– Prevenção
– Detecção
– Resposta
• Funcionalidades:
– Identificação de varreduras e ataques
– Acompanhamento de vulnerabilidades
– Compreender as motivações dos atacantes
– Auxilio às ferramentas de segurança da informação
– Coleta de códigos maliciosos
– Ludibriar o inimigo
11
Honeypots e Honeynets
• Vantagens:
– Quantidade de dados a analisar é menor e mais precisa.
– Permite minimizar os falso positivos
– Capaz de lidar com conteúdo criptografado
– Descoberta de novas ferramentas, táticas,
comportamentos e motivos
• Desvantagens:
– Visão limitada do tráfego de rede
– Pode ser identificado por parte do atacante
– Risco de ser invadido e utilizado para atacar outros
sistemas
– Ausência de tráfego implica em gastos
12
• Níveis de interação:
– Alta Interatividade
– Média Interatividade
– Baixa Interatividade
13
Honeypots
Maior aprendizagem
Maior complexidade e risco
Instalação, exploração e
manutenção mais fácil
Informações limitadas
Serviços emulados
Risco de uso do sistema
• Baixa interatividade
– Emula serviços e sistemas
– Fácil configuração/manutenção
– Baixo Risco de comprometimento
– Excelentes complementos para IPS
– Atacante não tem acesso ao sistema
operacional real
• Aplicabilidade:
– Detectar e identificar ataques
internos/externos
– Coletar assinaturas de ataques
– Detectar máquinas comprometidas
– Coletar códigos maliciosos
14
Honeypots
• Média interatividade
– Operação similar ao honeypot de
baixa interatividade
– Os serviços emulados podem
responder as requisições dos
atacantes
– Maiores informações sobre os ataques
sofridos
– Maior complexidade de
implementação e manutenção
– Nível de segurança aplicado seja tão
alto quanto em implementações de
honeypots de alta interatividade
15
Honeypots
16
Honeypots
• Alta interatividade
– Serviços legítimos
– Cuidados especiais para evitar que sejam usados para lançamento de ataques
– Coleta de inteligência, análise de tendências, 0-day attacks (novas vulnerabilidades), captura de ferramentas, entre outros
– Difíceis de administrar e manter
• Aplicabilidade
– Análise detalhada de ferramentas e vulnerabilidades exploradas
– Coletar material para análise forense e treinamento de pessoal
Honeynets
17
• Redes com múltiplos sistemas e aplicações
• Possuem mecanismos robustos de contenção
• Possuem mecanismos de captura de dados e geração de
alertas
• Devem permitir o trabalho do invasor
• Não haver poluição de dados
– somente tráfego gerado por “blackhats”, sem testes ou
tráfego gerado pelos administradores
• Controle
Honeynets
18
Honeynet real
Honeynet virtual
Possível utilização
19
• Detectar sondas e ataques automatizados
• Captura de ferramentas, novos worms, entre
outros
• Identificação de ataques internos (honeypots
internos, honeytokens)
• Auxiliar mecanismos de defesa como firewall,
IDS e IPS
• Identificar as máquinas
infectadas/comprometidas
• Utilizar os dados para gerar relatórios
Riscos
20
• Ocorrer o comprometimento
– do sistema operacional
– do software do honeypot
• Atrair atacantes para a rede onde está o honeypot
• Um erro nos mecanismos de controle ou na configuração pode:
– permitir que o honeypot seja usado para prejudicar outras redes
– abrir uma porta para a rede da sua organização
– Um comprometimento associado com sua organização pode afetar a sua imagem
Atenção
21
• Honeypots não são substitutos para:
– Melhores práticas de segurança
– Políticas de segurança
– Firewalls, IPS e IDS
– Gerenciamento de patches
Projetos
22
• The Honeynet Project – Organização internacional de pesquisa em segurança,
– Investigar os últimos ataques
– Desenvolvimento de ferramentas de segurança open source
• Honeynet Research Alliance – Fórum confiável de organizações de pesquisa com honeypot.
– As organizações membros da Aliança de Pesquisa Honeynet não fazem parte do Projeto Honeynet.
• Honeynet.BR – Aumentar a capacidade de detecção de incidentes, correlação
de eventos e análise de tendência no espaço da Internet no Brasil.
• Brazilian Honeypots Alliance – Indústrias, telecom, universidades, governo e militares
Informações adicionais
23
• Honeynet.BR Project – http://www.honeynet.org.br/
• Brazilian Honeypots Alliance – http://www.honeypots-alliance.org.br/
• The Honeynet Project – http://www.honeynet.org/
• Honeynet Research Alliance – http://www.honeynet.org/alliance/
• Honeypots: Tracking Hackers – http://www.tracking-hackers.com/book/
• Know Your Enemy, 2nd Edition – http://www.honeynet.org/book/
Bibliografia
• SPITZNER, L.; Honeypots: tracking hackers. 1st. ed.
Upper Saddle River, New Jersey: Addison Wesley
Professional, 480 p. ISBN 978-0-321-10895-1; 2002.
• HOEPERS, C., STEDING-JESSEN, K. e MONTES, A.;
Honeynet Applied to the CSIRT Scenario; Presented at
15th Annual FIRST Conference on Computer Security
Incident Handling, (Ottawa, Canada), June, 2003.
• HONEYNET PROJECT; Know Your Enemy: Honeynets,
2001.
24
25
Obrigado!
