Para esta atividade é necessário instalar uma ferramenta chamada Honeyd, podemos encontrar com facilidade tutoriais de como instalar a mesma, mas como já foi mencionado, não é este o foco do artigo.
Aqui serão mostrados os resultados de um honeypot de baixa interatividade, o Honeyd, que foi configurado com Sistema Operacional OpenBSD versão 4.5. Essa é uma informação integrante de uma Monografia do Trabalho de Conclusão de Curso de Raphael Franco Gatti, do curso de Engenharia de Computação na Universidade São Francisco. A configuração possui os seguintes serviços:
- Uma estação com Microsoft NT 4.0 Server SP5-SP6, simulando um serviço de IIS 5.0 (porta 80/tcp), SSH (porta 22/tcp) e TELNET (porta 23/tcp).
- Um servidor de e-mail Linux, com scripts simulando um serviço de POP3 (porta 110/tcp), SMTP (porta 25/tcp) e SSH (porta 22/tcp).
- Uma estação com Microsoft Windows XP Professional SP1, que simula algumas portas abertas, sendo que algumas outras foram acrescentadas. Todas essas portas são conhecidas como alvos frequentes de ataques a máquinas Windows.
- Um servidor de compartilhamento de arquivos FreeBSD 4.6, que está configurada com os seguintes serviços com a porta aberta: HTTP (80/tcp) e DNS (53/udp). E utilizando um script o serviço de FTP (porta 21/tcp).
- Uma estação com Microsoft Windows XP Home, onde está sendo utilizado um script com a finalidade de simular uma linha de comando do DOS com backdoors usados atualmente por diversos worms: Blaster, Sasser, Dabber e Lovgate. Cada variante de worms está com uma porta específica. Ele registra as linhas de comando digitadas pelos atacantes.
- Uma estação com Microsoft Windows XP Professional, simulando um backdoor instalado através do vírus MyDoom utilizando o script "mydoom.pl" com 4 portas. Ele salva os arquivos baixados para a máquina e registra todas as tentativas de usar a funcionalidade de proxy do backdoor.
Resultados: após realizar as configurações do Honeypot foi dado início ao experimento feito somente na rede interna da Unversidade São Francisco. Foram identificadas algumas tentativas de ataque utilizando Telnet para acessar uma máquina virtual específica. Segue os logs:
2009-11-23-20:00:50.0556 honeyd log started ------
2009-11-24-20:44:13.9460 tcp(6) S ATACANTE 35493 10.3.0.20 23 [Linux 2.6]
2009-11-24-20:44:14.0565 tcp(6) - ATACANTE 35493 10.3.0.20 23: 58 PA [Linux 2.6] .........
2009-11-26-20:31:24.1636 honeyd log stopped
Nesta parte do registro mostra as atividades feitas pelo atacante colocando o login e senha.
honeyd[10298]: Running with root privileges.
honeyd[10298]: Connection request: tcp (ATACANTE:35493 - 10.3.0.20:23)
honeyd[10298]: Connection established: tcp (ATACANTE:35493 - 10.3.0.20:23) <-> perl /usr/share/honeyd/scripts/router-telnet.pl
honeyd[10298]: E(ATACANTE:35493 - 10.3.0.20:23): Attempted login:root/net
Foi realizada uma tentativa de ataque utilizando o prompt de comando do DOS que estava sendo simulado, com a tentativa de executar um Ping mortal.
2009-11-25 19:49:26 +0200: cmdexe.pl[303031]: connection from ATACANTE to 10.0.0.10
2009-11-25 19:50:26 +0200: cmdexe.pl[303031]: cmd: dir
2009-11-25 19:50:27 +0200: cmdexe.pl[303031]: cmd: cd win
2009-11-25 19:50:27 +0200: cmdexe.pl[303031]: cmd: ping -l- 6500 -t 10.0.0.10
2009-11-25 19:50:38 +0200: cmdexe.pl[303031]: cmd:
2009-11-25 19:51:03 +0200: cmdexe.pl[303031]: cmd:
help 2009-11-25 19:51:03 +0200: cmdexe.pl[303031]: Forced exit of cmdexe.pl (eg,^C in a connection)
Para análise dos resultados obtidos pela ferramenta Honeyd, foi utilizado o Honeydsum v. 0.3 para geração das estatísticas.
Conclusão
É importante salientar que apesar de ser uma ferramenta utilizada para melhorar sistemas de segurança, ela não é em si uma ferramenta de segurança. Por tanto, deve ser utilizada com cuidado, pois uma má configuração pode facilitar que ela seja usada como ponte para efetuar ataques a outras pessoas ou encontrar brechas de segurança na rede onde ela se encontra.
A ferramenta pode se mostrar muito útil e grande fonte de informações, se bem utilizada. O objetivo não será capturar o atacante nem rastrear o mesmo, mas somente, como visto anteriormente, deve ser utilizada para coleta de dados e bolar estratégias e até mesmo formas de contenção de ataques.