Resenha de ArtigoTema ou Fragmento:Honeypots - A segurana atravs do disfarceAtualizao 09 de agosto de 2005 Autores: Tiago Souza Azevedo(tiago@ravel.ufrj.br) ; Ravel - COPPE/UFRJ; GRIS - DCC/UFRJ

IntroduoA obra em questo teve como finalidade mostrar os conceitos inerentes a tcnica conhecida como Honeypot, origem, desenvolvimento, assim como descrever as tcnicas de abordagem da mesma e suas abordagens prticas.ResumoResumidamente um Honeypot um sistema de segurana que disfara seus valores ao ser testado, atacado ou comprometido, permitindo que utilizemos uma honeypot para deter atacantes, detectar ataques, capturar e analisar ataques automatizados como worms alm de fornecer informaes importantes sobre a comunidade hacker.

A primeira fonte sobre Honeypot de 1990 do livro de Clifford Stoll ( The cuckoo`s Egg) onde o mesmo relata os eventos ocorridos durante 10 meses, de 1986 a 1987, aps ataque de um Hunter o qual decidiu monitorar.A primeira ferramenta desenvolvida foi a Deception Toolkit(DTK) por Fred Cohen, em novembro de 1997, usada em sistema Unix. Para Windows NT a primeira ferramenta comercial foi a CyberCop desenvolvida por Alfred Huger.Em 1999 foi formado um grupo de pesquisa sobre o tema de modo a trocaram experincias. Em 2001 lanaram a srie de artigos Know Your Enemy que traziam suas experincias e pesquisas.As pesquisas sobre Honeypots so baseadas em 3 principais reas as quais tm descrio abaixo: Honeypots Dinmicas: So honeypots que se adaptam ao sistema, ou seja, caso o sistema receba um configurao Linux por exemplo sero criadas novas honeypots para Linux automaticamente; HoneyTokens: No so computadores e sim um tipo de entidade digital, tais como: um nmero de carto de crdito, um banco de dados, um ologin falso,etc...A principal aplicao est no estudo do comportamento do atacante, quando este compromete o sistema, e no valor de atrao adicionado ao ambiente, por exemplo. Honeypots contendo nmero de carto de crdito s muito atrativas; Honeypots Farms: ao invs de termos vrias Honeypots temos somente uma que recebe os atacantes redirecionados aps aes contra a rede real.Os Honeypots so classificados em 2 categorias: Produo e PesquisaHoneypots de Produo: So sistemas que aumentam a segurana de uma organizao especfica e ajudam a mitigar riscos, requerem poucas funcionalidades(mais simples).A deteco se refere a alertar atividades no autorizadas, a mesma importante pois mais cedo ou mais tarde a preveno falhar, seja por causa de uma configurao do firewall ou uma nova vulnerabilidade de um servio oferecido pelo sistema.Todo trfego direcionado para uma honeypot suspeito e deve ser analisado.Uma honeypot de grande valor para a resposta dada ao incidente, uma vez que a anlise de um ataque facilitada pois a coleta de evidncias simples e livre de rudos. O sistema tambm pode ser imediatamente desconectado da rede, diferente de um sistema de produo real que fornece servios que no podem ficar offline.Honeypot de Produo: oferecem uma plataforma de estudo visando compreender a comunidade hacker,exemplo: qual a ferramenta utilizada para testar o sistema? Qual exploit utilizado para compromet-lo?Um HoneyPot de peqsuisa pouco acrescenta a sua organizao uma vez que esto focadas nas aes do atacante e no apenas na sua deteco.As Honeypots so divididas em nveis(classificao de Lance Spitzner):

1. Nvel Baixo

Servios emulados pela honeypot, o atacante possui mnima interao com a honeypot e por isso so poucos os dados gerados...informa apenas tentativa de conexo.

2. Nvel Mdio

Os servios oferecidos ainda so emulados mas estes j respondem as requisies do atacante como servios reais.Desta forma mais dados sobre o atacante so obtidos, devido ao maior grau de interao os riscos tambm aumentam.

3. Nvel Alto

Os servios reais no so emulados. Por serem sistema operacionais e mquinas reais o nvel de interao com o atacante muito grande, obtendo assim muitos dados sobre o ataque. Este nvel oferece muito risco uma vez que tendo invadido o sistema o atacante operacional real pode lanar ataques a outras mquinas.

Existem vantagens e desvantagens no uso de honeypots conforme mostradas no quadro abaixo:VantagensDesvantagens

O trfego gerado nas mquinas bastante reduzido devido a ausncia do nvel de rudo que seria produzido numa rede verdadeira ao invs de uma honeypot.Campo de viso direcionado: uma honeypot s consegue visualizar a atividade de um ataque direcionado a ela

Simplicidade em Implementao do honeypotPossibilidade de identificao de uma honeypot: baseada em certas caractersticas ou em erros de implementao.

Retorno rpido do investimento, pois todos os dados gerados so teis a uma organizaoQuanto mais complexa a Honeypot maior o risco oferecido pela mesma

Concluindo as Honeypots so ferramentas para aquisio de conhecimento das ameaas provenientes do ambiente de rede e comportamento da comunidade hacker. Embora no se apliquem como ferramentas de proteo direta a rede so de grande valia para preveno de ameaas e mitigao de riscos.

CrticaO artigo em questo mostra basicamente os conceitos de uma Honeypot, quando foi criada, etc...Explica as principais aplicaes da mesma e suas anlises prticas a uma organizao.Com base nos dados apresentados acredito que o autor conseguiu em parte atingir seu objetivo, pois alguns itens importantes no foram mencionados em seu artigo, tais como os abaixo,retirados de um artigo da Symantec: (http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR_2371.html)Itens como exemplos de ferramentas comerciais que faam este tipo de emulao: O "Honeyd" um exemplo de um honeypot de baixa interao, sendo que sua funo principal monitorar o espao de endereos IPs no utilizados O Symantec Decoy Server e o Honeynet Project so exemplos de honeypots de alta interao.O autor do artigo no citou as vantagens por exemplo do uso de Honeypots devido ao atacante usar criptografia, pois mesmo que ele use os dados sero capturados.Faltou tambm citar que deve-se usar a honeypot como uma tecnologia complementar e no substitui as tecnologias de segurana j existentes.