Honeypots - A seguran ca atrav es do disfarce

Tiago Souza Azevedo (tiago@ravel.ufrj.br) Ravel - COPPE/UFRJ GRIS - DCC/UFRJ 9 de Agosto de 2005

Resumo Este artigo foi desenvolvido como fruto do estudo de honeypots, baseado DE UM MODELO ALna tese de mestrado PROPOSTA E AVALIAC AO TERNATIVO BASEADO EM HONEYNET PARA IDENTIFICAC AO DE ATAQUES E CLASSIFICAC AO DE ATACANTES NA INTERNET[1], e no livro Honeypots: Tracking hackers[2]. Portanto o principal objetivo e o entendimento dos conceitos inerentes a honeypots, sua origem e desenvolvimento, como tamb em, suas caracter sticas e aplica c oes pr aticas.

Conte udo
1 Hist oria 2 Conceitos e Classica c oes 2.1 2.2 Deni c ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Classica c ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 2.2.2 2.3 2.3.1 2.3.2 2.3.3 Honeypots de Produ c ao . . . . . . . . . . . . . . . . . . . Honeypots de Pesquisa . . . . . . . . . . . . . . . . . . . . N vel Baixo . . . . . . . . . . . . . . . . . . . . . . . . . . N vel M edio . . . . . . . . . . . . . . . . . . . . . . . . . . N vel Alto . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 3 3 3 3 4 5 5 5 5 5 6 6 6 1

N veis de Envolvimento . . . . . . . . . . . . . . . . . . . . . . .

3 Vantagens e Desvantagens 3.1 3.2 Vantagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Desvantagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4 Conclus ao

Hist oria

Podemos considerar o in cio do conceito de honeypot com a publica c ao do livro The Cuckoos Egg[3], seguido da publica c ao do artigo An Evening with Berferd in Wich a Cracker is Lured, Endured, and Studied[4], uma vez que antes de 1990, n ao h a informa c oes sobre redes que possuiam o objetivo de atrair atacantes e estud a-los. No livro The Cuckoos Egg[3], Cliord Stoll relata os eventos ocorridos, de um per odo de 10 meses, compreendidos entre 1986 e 1987, no laborat orio Lawrence Berkeley. Ele descobriu ocasionalmente que um atacante, Hunter, havia invadido seu sistema e resolveu monitor a-lo. O artigo de Bill Cheswick, An Evening with Berferd in Wich a Cracker is Lured, Endured, and Studied[4] e mais t ecnico que o livro de Cliord Stoll, por ele ser um prossional de seguran ca e relata as tentativas de ataques ocorridas em um sistema construido para ser comprometido. Sete anos ap os a publica c ao destes trabalhos, come caram a surgir as primeiras ferramentas. A primeira, chamada Deception Toolkit(DTK)[5], foi desenvolvida por Fred Cohen e teve seu primeiro release, DTK version 0.1, em novembro de 1997. Era uma ferramenta free desenvolvida em C e Perl para sistemas Unix. Logo depois, em 1998, a primeira ferramenta comercial, CyberCop Sting, foi desenvolvida por Alfred Huger, para Windows NT. Em 1999 foi formado o Honeynet Project[6], um grupo de pesquisa formado por 30 prossionais de seguran ca dedicado a pesquisar sobre a comunidade hacker e compartilhar suas experi encias. Em 2001 eles lan caram a s erie de artigos Know your enemy[8] que compilava suas experi encias e pesquisas. Recentemente as pesquisas envolvendo honeypots e honeynets s ao baseadas em tr es areas principais: Honeypots Din amicas, Honeytokens e Honeypot Farms. Honeypots din amicas s ao honeypots que uma vez conectadas ao sistema, automaticamente determinam quantas honeypots montar, como mont alas e como elas deveriam ser para se misturarem ao sistema. Al em disso estas honeypots se adaptam observando as mudan cas do ambiente. Se o sistema receber uma nova congura c ao Linux por exemplo, ser ao criadas novas honeypots Linux. Honeytokens s ao honeypots que n ao s ao computadores. S ao um tipo de entidade digital. Um honeytoken pode ser um n umero de cart ao de cr edito, uma planilha Excel, uma apresenta c ao em PowerPoint, um banco de dados, ou um login falso. Honeytokens podem ser diferentes entidades, mas compartilham o conceito de uma honeypot: um recurso de sistema de informa c ao que disfar ca seus valores para uso n ao autorizado deste recurso. A principal aplica c ao dos honeytokens est ao no estudo do comportamento de um atacante, quando este compromete o sistema, e no valor de atra c ao adicionado ao ambiente, por exemplo, honeypots contendo n umeros de cart ao de cr edito s ao muito mais atrativas. 2

O conceito de Honeypot Farms e simples, ao inv es de manter um grande n umero de honeypots ou honeypots espalhadas por v arias redes, mantemos uma u nica rede em um u nico lugar. Os atacantes s ao ent ao redirecionados para esta rede de honeypots ao tentarem qualquer a c ao contra a rede real.

2
2.1

Conceitos e Classica c oes

Deni c ao

Mesmo que as id eias de honeypots tenham surgido h a 15 anos atr as, esta nunca teve uma deni c ao precisa, o que, de certa forma, prejudicou o desenvolvimento do tema. Durante estes 15 anos, v arias pessoas deniram as Honeypots como: sistemas para atrair hackers, sistema para detec c ao de intrus ao, etc. A deni c ao mais aceita e a de Lance Spitzner, autor do livro Honeypot: Tracking Hackers[2], segundo ele uma Honeypot e: a security resource whose values lies in being probed, attacked, or compromised, ou seja, uma honeypot e um sistema de seguran ca que disfar ca seus valores ao ser testado, atacado ou comprometido. Embora esta deni c ao pare ca um tanto vaga, ela permite que utilizemos uma honeypot para deter atacantes, detectar ataques, capturar e analisar ataques automatizados como worms al em de fornecer informa c oes importantes sobre a comunidade hacker.

2.2

Classica c ao

Podemos classicar as honeypots em duas categorias gerais: Honeypots de Produ c ao e Honeypots de Pesquisa. Estas categorias foram primeiro propostas por Marty Roesch, desenvolvedor do Snort[7].

2.2.1

Honeypots de Produ c ao

Honeypots de Produ c ao, s ao sistemas que aumentam a seguran ca de um organiza c ao espec ca e ajudam a mitigar riscos. S ao mais f aceis de construir porque requerem menos funcionalidades. Usualmente possuem as mesmas congura c oes que a rede de produ c ao da organiza c ao e transportam para ela todo o aprendizado obtido com os ataques sofridos. Analisaremos as Honeypots de Produ c ao segundo as categorias de seguran ca denidas por Bruce Schneier em seu livro Secrets and Lies[?]. Schneier divide seguran ca em preven c ao, detec c ao e resposta. Nos termos denidos por Schneier, preven c ao signica manter os invasores fora de sua rede. Fazendo uma analogia com a seguran ca de uma casa, preven c ao signica instalar uma cerca no jardim, fechar as janelas e trancar as portas, ou seja, fazer todo o poss vel para manter do lado de fora qualquer amea ca. Sob este ponto de vista, honeypots tem pouco a acrescentar, uma vez que n ao conseguem barrar os poss veis atacantes, de fato possuem o objetivo 3

oposto. Alguns pesquisadores alegam que Honeypots s ao importantes para a preven c ao, por adicionarem alguns fatores como: o tempo e os recursos gastos na tentativa de ataque a uma honeypot, quando estes recursos poderiam estar sendo direcionados para uma rede de produ c ao; e a preocupa c ao infringida ao atacante por este saber que a rede de uma organiza c ao pode ser na verdade uma honeypot. Estes argumentos s ao v alidos para ataques contra alvos de escolha, onde os atacantes t em um grande n vel de conhecimento e analisam a informa c ao que recebem do alvo para efetuarem o ataque. Para alvos de oportunidade, nos quais o que mais importa para o atacante e a quantidade de alvos atingidos e na maioria das vezes, tais ataques s ao automatizados, uma Honeypot agrega pouco valor de preven c ao. A detec c ao se refere a alertar atividades n ao autorizadas. Seguindo a mesma analogia da seguran ca de uma casa, detec c ao signicaria instalar alarmes pela casa, detectores de movimento, etc. Detec c ao e importante pois mais cedo ou mais tarde a preven c ao falhar a, seja por causa de uma m a congura c ao do rewall ou uma nova vulnerabilidade de um servi co oferecido pelo sistema. na detec E c ao que uma honeypot tem maior import ancia, uma vez que todo tr afego gerado para a Honeypot e suspeito e deve ser vericado. Apenas em alguns casos ser ao gerados falsos positivos, por exemplo no caso de algu em acidentalmente apontar seu browser para o endere co ip da honeypot. A detec c ao tamb em se torna mais f acil pois os logs gerados pela honeypot est ao livres do ru do existente em uma rede de produ c ao real. Embora seja de grande valor, veremos nas pr oximas se c oes que uma honeypot possui a desvantagem de n ao poder detectar tr afego que n ao seja direcionado a ela. Uma vez identicado um ataque, algumas a c oes s ao necess arias como coletar evid encias de como o atacante conseguiu acesso ao sistema, o que ele fez ao sistema, de onde ele conseguiu acesso, e o encaminhamento destas informa c oes ` as autoridades respons aveis. Tais a c oes se referem a resposta dada ao ataque. Uma honeypot se mostra de grande valor para a reposta dada ao incidente, uma vez que a an alise de um ataque e facilitada pois a coleta de evid encias e simples e livre de ru dos. O sistema tamb em pode ser imediatamente desconectado da rede, diferente de um sistema de produ c ao real que fornece servi cos que n ao podem car oine.

2.2.2

Honeypots de Pesquisa

As Honeypots de Pesquisa oferecem uma plataforma de estudo visando compreender a comunidade hacker, n ao apenas estudar as ferramentas utilizadas para a invas ao, que normalmente s ao deixadas no sistema pelo atacante, mas obter informa c oes preciosas como: qual ferramenta utilizada para testar o sis4

tema, qual exploit utilizado para compromet e-lo e cada tecla utilizada ap os a invas ao do sistema. Embora o ganho de conhecimento sobre as a c oes e motiva c oes da comunidade hacker seja enorme, uma Honeypot de Pesquisa pouco acrescenta a uma organiza c ao, pois est ao focadas nas a c oes do atacante e n ao apenas sua detec c ao.

2.3

N veis de Envolvimento

Honeypots possuem diferentes funcionalidades, deste a simples simula c ao de um servi co at e a constru c ao de uma rede de honeypots oferecendo servi cos reais, uma Honeynet. Para distinguir os tipos de honeypots, Lance Spitzner em seu livro[2] criou o conceito de n veis de envolvimento, referente a maneira que a honeypot interage com o atacante.

2.3.1

N vel Baixo

O n vel de envolvimento baixo, equivale a servi cos emulados pela honeypot. Nesse tipo de envolvimento, o atacante possui uma m nima intera c ao com a honeypot e por isso s ao poucos os dados gerados, em geral, informam apenas as tentativas de conex ao.

2.3.2

N vel M edio

No n vel de envolvimento m edio, a intera c ao entre a Honeypot e o atacante e maior, mas n ao equivale a um sistema real. Os servi cos oferecidos ainda s ao emulados, mas estes respondem as requisi c oes do atacante como servi cos reais. Desta forma mais dados sobre o ataque s ao obtidos. Devido ao maior grau de intera c ao com o sistema, os riscos tamb em aumentam.

2.3.3

N vel Alto

No n vel de envolvimento alto, os servi cos s ao reais, n ao emulados. Por serem sistemas operacionais e m aquinas reais, o n vel de intera c ao com o atacante e muito maior e desta forma a quantidade de dados obtidos sobre o ataque e enorme. Em contrapartida, este n vel oferece o maior risco poss vel, uma vez que tendo invadido o sistema, o atacante tem um sistema operacional real para lan car ataques a outras m aquinas.

Vantagens e Desvantagens

As Honeypots possuem vantagens e desvantagens em sua aplica c ao. Nesta se c ao examinaremos tais caracter sticas.

3.1

Vantagens

Como consequ encia de seu conceito, todo tr afego de dados gerados tendo como origem ou destino, m aquinas ou servi cos que perten cam a uma honeypot ou honeynet deve ser tratado como uma amea ca. Por isso tal tr afego e bastante reduzido devido a aus encia do n vel de ru do que seria produzido por uma rede de produ c ao verdadeira. Outra vantagem e a simplicidade. Como Lance Spitzner cita em seu livro[2], n ao existem algoritmos a desenvolver, nenhuma base de assinaturas para manter. Apenas devemos montar uma honeypot em algum ponto da organiza c ao e esperar pelos resultados. O retorno do investimento feito em uma honeypot e r apido. Assim que um ataque e realizado a uma honeypot, todos os dados gerados s ao signicativos ` a organiza c ao.

3.2

Desvantagens

Provavelmente a maior desvantagem de uma honeypot e seu campo de vis ao direcionado. Uma honeypot s o consegue visualizar a atividade de um ataque direcionada ` a ela, desta forma, se o atacante estiver ciente da honeypot e desta forma evit a-la, nenhuma informa c ao ser a agregada. Outra desvantagem que geralmente ocorre em vers oes comerciais ea possibilidade de identica c ao da Honeypot. Esta identica c ao e baseada em certas caracter sticas ou erros de implementa c ao. Por exemplo, uma honeypot que emula um servidor Web pode gerar uma reposta incorreta a uma requisi c ao. Esta resposta incorreta se torna uma impress ao digitalda honeypot facilitando sua identica c ao. Por m temos o risco introduzido pela honeypot, pois se mal congurada, uma Honeypot atacada pode ser utilizada para alvejar outras m aquinas. importante lembrar que quanto mais complexa for a Honeypot maior o risco E oferecido pela mesma.

Conclus ao

HoneyPots e Honeynets s ao ferramentas recentes para a aquisi c ao de conhecimento n ao apenas das amea cas provenientes do ambiente de rede, como tamb em sobre as motiva c oes e comportamento da comunidade Hacker. Embora n ao se apliquem como ferramentas de prote c ao direta ` as redes, s ao de grande import ancia para a preven c ao de amea cas e mitiga c ao de riscos. Mas para operarem corretamente, requerem cuidados minuciosos am de evitar os riscos infringidos. Se tais cuidados forem tomados, Honeypots e Honeynets se tornam ferramentas fant asticas na seguran ca computacional. 6

Refer encias
[1] Proposta E Avalia c ao De Um Modelo Alternativo Baseado Em Honeynet Para Identica c ao De Ataques E Classica c ao De Atacantes Na Internet Alexandre Pina Andrucioli [2] Honeypots: Tracking Hackers - Lance Spitzner [3] The Cuckoos Egg - Cliord Stoll [4] An Evening with Berferd in Wich a Cracker is Lured, Endured, and Studied - Bill Cheswick [5] Deception Toolkit - http://www.all.net/dtk [6] The Honeynet Project - http://www.project.honeynet.org [7] Snort, Open Source Intrusion detection System - http://www.snort.org [8] The Honeynet Project, Know http://www.project.honeynet.org/book/ Your Enemy -