O que é Honeypot ?


 

Assunção (2008) afirma que honeypot é uma ferramenta ou sistema criado com objetivo de enganar um atacante e fazê-lo pensar que conseguiu invadir o sistema, quando na realidade, ele está em um ambiente simulado, tendo todos os seus passos vigiados.

“Honeypots são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. ” (Honeynet.Br, 2005)

Spitzer (2002) define um honeypot como sendo um recurso em uma rede, cuja função é de ser atacado e invadido, assim possibilitando um futuro estudo das ferramentas e métodos utilizados no ataque. Esta ferramenta possui falhas de segurança reais ou virtuais, expostas de maneira proposital, possibilitando a invasão da rede.

Para Marcelo e Pitanga (2003), além de capturar as informações sobre o ataque, um honeypot pode mostrar as intenções do ataque e também fazer com que os hackers percam tempo com ataques não efetivos, enquanto os especialistas colhem o máximo de informações para poder melhorar a segurança das organizações.

 

Tipos de Honeypots

Honeypots de Pesquisa:  são ferramentas de pesquisa programadas para observar as ações de atacantes ou invasores, permitindo análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas. Eles são mais utilizados para estudos ou por empresas de proteção contra-ataques. Esse tipo de honeypot trabalha fora da rede local da empresa, sendo que, uma configuração malfeita pode acarretar em novos ataques.

Honeypots de Produção:  são utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão. Tem como objetivo analisar e detectar atacantes na rede, consequentemente tomando as devidas providencias o mais rápido possível. Os honeypots de produção são utilizados por empresas e instituições que visam proteger suas redes.

 

Ferramentas Honeypots

No mercado atual, existem várias ferramentas que são utilizadas para a implementação dos honeypots. Dentre elas encontramos o Deception Toolkit (DTK), o Cyber Cop Sting, o Honeyd, o KFsensor, o Nepenthes,  o Dionaea, o BackOfficer Friendly (BOF), o Specter, Valhala e o Insecuritynet 3.x, existem outras, mas as citadas são as mais conhecidas no ramo de segurança.

 

Níveis de interação do Honeypots

Com afirma Montes (2004) os honeypots podem ser classificados em dois níveis de serviços: o de baixa interação e o de alta interação. Assunção (2008) completa dizendo que estes níveis de serviços são as formas de como os honeypots trabalham.

  • Baixa Interação: os honeypots de baixa interação são sistemas e serviços de rede que são emulados, onde o sistema real subjacente é inacessível, não permitindo que o atacante interaja com o sistema real. Sua instalação e configuração são muito fáceis, pois sua arquitetura é simples e seu funcionamento é básico.
  • Alta interação: os honeypots de alta interação são máquinas que atuam como servidores de serviços de rede reais e totalmente acessíveis. O atacante pode ganhar total controle sobre esses sistemas, podendo oferecer um grande risco ao sistema. O honeypot deve ser implementado em um local onde se tenha um grande controle da rede através de métodos de proteção e detecção. Sua implantação é mais complexa, porém com ele podemos coletar uma vasta quantidade de informações dos atacantes.

Um exemplo de honeypot poderia ser um site de internet que possui uma falha de segurança intencional. Quando ele for invadido, o invasor entra nesse ambiente falso em que todas as ferramentas, comandos e dados serão retidos, ao mesmo tempo em que outros recursos – um deles chamado de “Honeywall” (firewall da rede de potes de mel) – impedem que novos ataques tenham sido feitos a partir do honeypot.

Conclusão

Seu uso é de muita utilidade para a segurança da informação, visto que, através do estudo detalhado com as informações capturadas dos atacantes, novos meios e técnicas poderão ser criadas contra os ataques de hackers.

Mesmo sendo de grande valor o uso dos Honeypots nunca se deve confiar a segurança da organização apenas a essas ferramentas, lembrando que elas não são meios de proteção direta, mas sim, meios de estudos. Elas devem trabalhar juntas com meios de prevenções convencionais, para evitar que um atacante possa atacar outros sistemas ou redes.

 
“Um honeypot existe somente para ser invadido”.

 

Matéria completa aqui.

Share on FacebookTweet about this on TwitterShare on LinkedIn


Escreva um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *