Honeypots, honeynets e honeytokens

Tamanho: px

Começar a partir da página:

Download "Honeypots, honeynets e honeytokens"

Fábio Corte-Real Martins
5 Há anos
Visualizações:

1 Santo André, 07 de Agosto de 2013 Programa de Mestrado em Engenharia da Informação Honeypots, honeynets e honeytokens Iva n Riboldi J ordão da Silva Va rgas

2 Currículo Ivan Riboldi Jordão da Silva Vargas Sargento da Arma de Comunicações EsSA/EB; Técnico em Redes de Computadores Veris IBTA; Tecnólogo em Redes de Computadores Veris IBTA; Especialização em Criptografia e Segurança de Redes UFF; Mestre em Engenharia da Informação UFABC. 2

3 Objetivos Apresentar os conceitos em torno da tecnologia de honeypots Identificar e compreender as características, funcionalidades e finalidades dos honeypots 3

4 Sumário Introdução Cenário atual Justificativa Desenvolvimento Histórico Definições Honeypots Honeynets Honeytokens Projetos em andamento Conclusões Considerações Finais Bibliografia 4

5 Cenário Atual Crescimento mundial no número de usuários de Internet: 2 bilhões de usuários no mundo 80 milhões de usuários no Brasil Oferta de novos serviços: Portal de notícias, correio eletrônico, compartilhamento de arquivos, VoIP Dependência das novas tecnologias Fácil acesso à informação, mobilidade, convergência Crimes virtuais 5

6 Justificativa Banalização das ferramentas de ataque à redes e sistemas de informação e comunicações Susceptibilidade das ferramentas de segurança da informação e comunicações a erros de implantação e configuração Perímetro de segurança com características reativas Quanto maior o conhecimento sobre os ataques existentes, maior a capacidade de defesa Mecanismos de defesa não foram desenvolvidos com a mesma eficiência aplicada na entrega da tecnologia 6

7 Histórico Primeiras publicações Clifford Stoll: The Cuckoo s Egg: Tracking a Spy Through the Maze of Computer Espionage (1989) Bill Cheswick: An Evening with Berferd in Which a Cracker is Lured, Endured, and Studied (1992) Fred Cohen: Ferramenta Deception Toolkit (DTK) (1997) Honeynet Project (1999) Lance Spitzner: Learning the Tools and the Tactics of the Enemy with Honeynets (2000); 7

8 Definições Honeypots são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades (SPITZNER, 2002) Honeynets são ferramentas de pesquisa, que consistem de uma rede projetada especificamente para ser comprometida e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes (HOEPERS, STEDING- JESSEN & MONTES, 2003) 8

9 Definições Honeytoken : informação projetada para ser comprometida e observada, podendo ser um falso endereço de , um falso número de cartão de credito, um falso arquivo, uma falsa entrada em uma base de dados, entre outros (HONEYNET PROJECT, 2001) 9

10 Aplicações Honeypots de Pesquisa são ferramentas de pesquisa que podem ser utilizadas para observar o comportamento de invasores, permitindo análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas Honeypots de Produção podem ser utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão. 10

11 Honeypots e Honeynets Objetivos: Prevenção Detecção Resposta Funcionalidades: Identificação de varreduras e ataques Acompanhamento de vulnerabilidades Compreender as motivações dos atacantes Auxilio às ferramentas de segurança da informação Coleta de códigos maliciosos Ludibriar o inimigo 11

12 Honeypots e Honeynets Vantagens: Quantidade de dados a analisar é menor e mais precisa. Permite minimizar os falso positivos Capaz de lidar com conteúdo criptografado Descoberta de novas ferramentas, táticas, comportamentos e motivos Desvantagens: Visão limitada do tráfego de rede Pode ser identificado por parte do atacante Risco de ser invadido e utilizado para atacar outros sistemas Ausência de tráfego implica em gastos 12

13 Honeypots Níveis de interação: Alta Interatividade Maior aprendizagem Maior complexidade e risco Média Interatividade Risco de uso do sistema Serviços emulados Instalação, exploração e manutenção mais fácil Baixa Interatividade Informações limitadas 13

14 Honeypots Baixa interatividade Emula serviços e sistemas Fácil configuração/manutenção Baixo Risco de comprometimento Excelentes complementos para IPS Atacante não tem acesso ao sistema operacional real Aplicabilidade: Detectar e identificar ataques internos/externos Coletar assinaturas de ataques Detectar máquinas comprometidas Coletar códigos maliciosos 14

Honeypots Média interatividade Operação similar ao honeypot de baixa interatividade Os serviços emulados podem responder as requisições dos atacantes Maiores informações

15 Honeypots Média interatividade Operação similar ao honeypot de baixa interatividade Os serviços emulados podem responder as requisições dos atacantes Maiores informações sobre os ataques sofridos Maior complexidade de implementação e manutenção Nível de segurança aplicado seja tão alto quanto em implementações de honeypots de alta interatividade 15

16 Honeypots Alta interatividade Serviços legítimos Cuidados especiais para evitar que sejam usados para lançamento de ataques Coleta de inteligência, análise de tendências, 0-day attacks (novas vulnerabilidades), captura de ferramentas, entre outros Difíceis de administrar e manter Aplicabilidade Análise detalhada de ferramentas e vulnerabilidades exploradas Coletar material para análise forense e treinamento de pessoal 16

17 Honeynets Redes com múltiplos sistemas e aplicações Possuem mecanismos robustos de contenção Possuem mecanismos de captura de dados e geração de alertas Devem permitir o trabalho do invasor Não haver poluição de dados somente tráfego gerado por blackhats, sem testes ou tráfego gerado pelos administradores Controle 17

18 Honeynets Honeynet virtual Honeynet real 18

19 Possível utilização Detectar sondas e ataques automatizados Captura de ferramentas, novos worms, entre outros Identificação de ataques internos (honeypots internos, honeytokens) Auxiliar mecanismos de defesa como firewall, IDS e IPS Identificar as máquinas infectadas/comprometidas Utilizar os dados para gerar relatórios 19

20 Riscos Ocorrer o comprometimento do sistema operacional do software do honeypot Atrair atacantes para a rede onde está o honeypot Um erro nos mecanismos de controle ou na configuração pode: permitir que o honeypot seja usado para prejudicar outras redes abrir uma porta para a rede da sua organização Um comprometimento associado com sua organização pode afetar a sua imagem 20

21 Atenção Honeypots não são substitutos para: Melhores práticas de segurança Políticas de segurança Firewalls, IPS e IDS Gerenciamento de patches 21

22 Projetos The Honeynet Project Organização internacional de pesquisa em segurança, Investigar os últimos ataques Desenvolvimento de ferramentas de segurança open source Honeynet Research Alliance Fórum confiável de organizações de pesquisa com honeypot. As organizações membros da Aliança de Pesquisa Honeynet não fazem parte do Projeto Honeynet. Honeynet.BR Aumentar a capacidade de detecção de incidentes, correlação de eventos e análise de tendência no espaço da Internet no Brasil. Brazilian Honeypots Alliance Indústrias, telecom, universidades, governo e militares 22

23 Informações adicionais Honeynet.BR Project Brazilian Honeypots Alliance The Honeynet Project Honeynet Research Alliance Honeypots: Tracking Hackers Know Your Enemy, 2nd Edition 23

24 Bibliografia SPITZNER, L.; Honeypots: tracking hackers. 1st. ed. Upper Saddle River, New Jersey: Addison Wesley Professional, 480 p. ISBN ; HOEPERS, C., STEDING-JESSEN, K. e MONTES, A.; Honeynet Applied to the CSIRT Scenario; Presented at 15th Annual FIRST Conference on Computer Security Incident Handling, (Ottawa, Canada), June, HONEYNET PROJECT; Know Your Enemy: Honeynets,

25 Obrigado! 25

Documentos relacionados

Microcurso: Honeypots e Honeynets

Microcurso: Honeypots e Honeynets Antonio Montes Cristine Hoepers Klaus Steding-Jessen Instituto Nacional de Pesquisas Espaciais INPE Ministério da Ciência e Tecnologia NIC BR Security Office NBSO Comitê