Honeypots, honeynets e honeytokens
Motivação O meu comandante costumava dizer que para se defender do inimigo primeiro é preciso conhecer o inimigo, ou seja, conhecer seus métodos de ataque, suas ferramentas, táticas e objetivos. Essa doutrina militar se aplica facilmente à segurança de rede, assim como foi aplicada ao exército. A comunidade blackhat é o adversário. Nós precisamos nos defender dessa ameaça. Entretanto, para ter sucesso, primeiro temos de conhecer o nosso inimigo. LANCE SPITZNER Know Your Enemy - Revealing The Security Tools, Tactics And Motives Of The Blackhat Community
Histórico 1988 - Clifford Stoll The Cuckoo's Egg LBL - Lawrence Berkeley Laboratory Monitoração das atividades do invasor 1992 - Bill Cheswick / Steven M. Bellovin Gateway preparado para ser comprometido Bell Labs AT&T Aplicações Falsas (FTP, Telnet, SMTP, Finger,...) 1998 - Fred Cohen Ferramenta Deception Toolkit (DTK) Emular diversas vulnerabilidades 1999 - Honeynet Project Grupo de pesquisadores e profissionais da área de segurança Revelar ferramentas, táticas e motivações dos invasores
Definições Honeypot: recurso de segurança criado para ser sondado, atacado e comprometido Um sistema conectado a uma rede de produção pode ser uma máquina real ou uma máquina ou um conjunto de serviços emulados Honeynet: rede de sistemas e aplicativos múltiplos, projetada para ser comprometida e observada Rede altamente controlada Todo o tráfego é monitorado, capturado e analisado Honeytoken: informação projetada para ser comprometida e observada Pode ser um falso endereço de email, um falso número de cartão de crédito, um falso arquivo, uma falsa entrada em uma base de dados, etc
Definições Objetivos: Prevenção Detecção Resposta Funcionalidades: Identificação de varreduras e ataques Acompanhamento de vulnerabilidades Descobrir as motivações dos atacantes Auxílio aos Sistemas de Detecção de Intrusão Coleta de códigos maliciosos Manter atacantes afastados de sistemas importantes
Definições Vantagens: Fluxo de informações para análise é pequeno comparado com a uma rede de produção e conhecidamente malicioso Permite minimizar os falso positivos gerados pelos IDSs Capaz de lidar com conteúdo cifrado Descoberta de novas ferramentas, táticas, comportamentos e motivos Desvantagens: Visão limitada do tráfego de rede Risco de ser invadido e utilizado para atacar outros sistemas Ausência de tráfego implica em gastos sem retorno, já que nada foi monitorado Possibilidade de identificação por parte do atacante
Definições Níveis de interatividade: Número e tipo de funcionalidades que o honeypot provê maior interação maior aprendizado maior interação maior complexidade e risco Honeypots de baixa interatividade: Serviços emulados Sem o acesso a um sistema operacional informações limitadas: interação com serviços Honeypots de alta interatividade: Sistemas operacionais e serviços reais Risco de uso do sistema fonte de informações completa: interação com o sistema
Definições Baixa Interatividade Emulam sistemas e serviços Simples. Fácil gerenciamento Atacante não tem controle Ações limitadas, captura de tráfego Difíceis de iludir atacantes avançados/determinados Alta Interatividade Executam as versões reais Cuidados na instalação e configuração Controle total Captura de mais informações, incluindo ferramentas e comandos Difícil de distinguir de um sistema de produção
Definições Tipos: Honeypot de produção: servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta em uma rede (sensor) normalmente de baixa interatividade Honeypot de pesquisa: servem para monitorar e estudar o comportamento dos atacantes normalmente de alta interatividade
Honeypots BackOfficer Friendly http://www.nfr.com/products/bof/ SPECTER http://www.specter.com Honeyd http://www.citi.umich.edu/u/provos/honeyd/ ManTrap (Decoy Server) http://www.recourse.com Honeynets http://project.honeynet.org/papers/honeynet/ Baixa interatividade Alta interatividade
Honeypots BackOfficer Friendly
Honeypots SPECTER
Honeypots Honeyd create default set default personality "FreeBSD 2.2.1-STABLE" set default default action open add default tcp port 80 "sh /usr/local/honeyd/scripts/web.sh" add default tcp port 22 "sh /usr/local/honeyd/scripts/test.sh" add default tcp port 113 reset add default tcp port 1 reset create windows set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default action reset add windows tcp port 80 "sh /usr/local/honeyd/scripts/web.sh" add windows tcp port 25 block add windows tcp port 23 proxy real-server.trackinghackers.com:23 add windows tcp port 22 proxy $ipsrc:22 set template uptime 3284460 bind 192.168.1.200 windows
Honeypots ManTrap (Decoy Server)
Honeypots Honeynets
Honeynets Honeynets Objetivo: Conhecer o inimigo, suas ferramentas, suas táticas e suas motivações Coletar dados e analisar ferramentas para aperfeiçoamento de sistemas de detecção de intrusão Controle das ações intrusivas Componentes: Componentes alvos: honeypots Componentes de interconexão e contenção de fluxo Componentes de captura, armazenamento e análise
Honeynets Honeynets Honeynet Clássica Uso de sistemas reais Honeynet Virtual Uso de máquinas virtuais
Honeynets http://www.honeynet.org/ Organização voluntária formada por profissionais de segurança Utilizam honeynets para pesquisa de ameaças cibernéticas Início em 1999 com listas de e-mail, evoluindo em junho de 2000 para nome atual
Honeynets Honeynet Research Alliance Fórum de organizações ao redor do mundo que compartilham suas pesquisas sobre as tecnologias da Honeynet, criado em 2002 http://www.honeynet.org/alliance/ Norwegian Honeynet UK Honeynet French Honeynet Project Italian Honeynet ProjectSouth Florida Honeynet Project Georia Technical Institute Azusa Pacific University Paladion Networks Honeynet Project (India) Internet Systematics Lab Honeynet Project (Grécia) Mexico Honeynet (México) Honeynet.BR (Brasil) Irish Honeynet
Honeynets Honeynet.BR Mantida por especialistas do INPE e do NBSO Fase de projeto em dezembro de 2001 entrando em operação em março de 2002 Junho de 2002: o projeto Honeynet.BR foi adicionado à Honeynet Research Alliance
Honeynets Brazilian Honeypots Alliance http://www.honeypots-alliance.org.br Objetivo: aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques na Internet brasileira
Honeynets Brazilian Honeypots Alliance http://www.honeypots-alliance.org.br Ações: Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd) Cobrir a maior parte do espaço de endereços IP da Internet no Brasil Montar um sistema de análise de dados que permita o estudo de correlações e tendências de ataques Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de Computadores (CSIRTs) na difusão destas informações
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeynets Brazilian Honeypots Alliance
Honeytokens Honeytokens Objetivo: Detectar acessos não-autorizados Ex: Inserção do número de cartão de crédito 4356974837584710 em uma base de dados, servidor de arquivos ou outro tipo de repositório Assinatura do Snort para detectar o acesso ao honeytoken: alert ip any any -> any any (msg:"acesso ao Honeytoken Atividade Não Autorizada"; content:"4356974837584710";)
Referências An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied, by Bill Cheswick, 1991 The Cuckoo's Egg, by Clifford Stoll, 1995. Honeynet Research Alliance, a community of organizations actively researching, developing and deploying Honeynets and sharing the lessons learned. Hackers caught in security 'honeypot', By Keith Johnson, The Wall Street Journal Online, December 18, 2000. Fighting the new electronic war, By Robert Lemos, CNET News.com, May 1, 2001. Know Your Enemy: Honeynets, by Honeynet Project, April 23, 2001. To Trap A Thief, by Mathew Schwartz, April 02, 2001.