Salve amigos!

Hoje venho explicar para vocês uma técnica desenvolvida, geralmente para fins de estudo, em que são simulados serviços de pouca interação. O intuito principal de um honeypot é descobrir como é feito um ataque, estudando suas técnicas e maneiras usadas pelo hacker, o que ajuda formular estratégias de prevenção mais eficientes. Atualmente há honeypots e honeynets (redes de honeypots) por todo o mundo. O honeypot pode ser de dois tipos: de produção e de pesquisa.

O de produção visa tentar diminuir o prejuízo causado por falha de segurança em uma empresa, adicionando valor à solução. Eles detectam atividades maliciosas e informam ao administrador da rede sobre a atividade (não impedindo que o atacante chegue à rede). Geralmente o hacker não consegue invadir o honeypot devido ao seu software que oferece baixa interatividade. O honeypot emula um serviço, um shell (no Linux), uma máquina com Windows XP, 2003, Vista e obtém informações um pouco limitadas sobre os dados trocados e também um pouquinho da interação do hacker com a máquina atacada, guardando tudo sobre o ataque e sua origem. Geralmente eles estão posicionados dentro da empresa.

O de pesquisa é de alta interatividade, ou seja, uma máquina mal-configurada (propositalmente) que possui várias ferramentas para monitoração, para ver o que que o atacante fez para ter acesso à máquina ou à rede (seguindo-o passo a passo). Neste caso o hacker interage com o sistema operacional da máquina e não com um emulador. Geralmente é usado um servidor de logs, já que os logs do computador invadido podem estar comprometidos.

Essas duas soluções ajudam a melhorar a segurança de uma rede. Para escolher um dos dois, basta saber o que você quer monitorar e descobrir sobre seu atacante. Essas foram algumas dicas sobre esta tecnologia muito usada e talvez pouco divulgada. Para informações mais a fundo sobre esta técnica acesse: http://www.honeynet.org.br

Este texto foi postado no meu blog em 14/07/2009 --- Rafael Iguatemy: Honeypots

Rafael Iguatemy