Вы находитесь на странице: 1из 2

HONEYPOTS PARA DETECO E CONTENO DE BOTNETS

Milani, Thiago G.(IC); Kakuda, Claudio M. 1(O)


milinhamilani@yahoo.com.br
1
Departamento de Fsica, Universidade de So Paulo de So Carlos (USP)
Com o amplo crescimento de equipamentos conectados a rede mundial de
computadores, cresce tambm o nmero de tentativas de ataques, inclusive por botnets.
Com isso os departamentos de segurana de redes das organizaes tem se conscientizado
da necessidade de adotar ferramentas alm das tradicionais (Firewall, Anti-Vrus e
Proxies) para entender e acompanhar esses ataques, o perfil dos atacantes e as ferramentas
utilizadas. Um dos mtodos empregados para esse tipo de compreenso e entendimento o
honeypot.
De acordo com Lance Spitzner, membro-fundador do Projeto Honeynet, um
honeypot um recurso de rede cuja funo de ser atacado e comprometido (invadido).
Significa dizer que um honeypot poder ser testado, atacado e invadido. Os honeypots no
fazem nenhum tipo de preveno, os mesmos fornecem informaes adicionais de valor
inestimvel. (SPITZNER, 2003).
Um honeypot tem a funo de registrar e armazenar informaes sobre ataques a
sua rede, desviando toda a ateno do atacante para o honeypot ao invs das reais
informaes expostas na rede. Diante das diferentes formas de aplicao e implementao
de honeypots, a escolha depender do que esperasse obter, utilizando-se o conceito de nvel
de interao, que determinar a forma com que o honeypot ir interagir com os atacantes.
(SPITZNER, 2003). Esses dois tipos de honeypots so: os de alta-interatividade e os de
baixa-interatividade.
Honeypot de alta-interatividade oferece aos atacantes, tambm conhecidos como
blackhats um sistema operacional real, onde nada emulado ou restrito, assim
armazenando grande quantidade de informaes sobre eles, sendo essa a principal
diferena entre os honeypots de baixa-interatividade.
Nesse modelo de alta interao as oportunidades so maiores, onde podemos aprender
novas tcnicas, descobrir novas ferramentas, identificar vulnerabilidades no sistema
operacional, e saber como funciona a comunicao entre os atacantes.
Ao criar um ambiente assim ele no se diferenciar muito de um sistema real, na
realidade ser igual, porm seu propsito ser atacado e comprometido.
Nesse nvel de interao existe um maior risco, pois, ao entregar uma mquina com
servios reais para um invasor, existe a chance de ele conseguir comprometer esse
computador e obter acesso a outros computadores da rede. Afinal ele ter um sistema
operacional real disposio para fazer o que quiser. (ASSUNO, 2009).
Por sua maior vulnerabilidade da rede esse sistema de honeypot muito mais difcil
de mantes, englobando muitos outros mecanismos como o firewall e IDS que devem ser
bem configurados, para assim minimizar os riscos oferecidos. Esse tipo de honeypot de
alta-interatividade recomendado apenas para pessoas ou organizaes que tenham maior
experincia na rea de Segurana de Redes.
Um honeypot de baixa-interatividade fornece, como o prprio termo j apresenta,
um nvel de interao limitado entre os atacantes e o honeypot. (ANDRADE, 2009)
Honeypot de baixa-interatividade um recurso de segurana que simula vrios
servios, virtualizando vrios tipos de servidores ao mesmo tempo, dando ao atacante um
sistema mais restrito e com menos liberdade. Todos os servios, seja um shell do sistema

CONGRESSO DE INICIAO CIENTFICA, 19 edio, 2011, So Carlos, SP.


Anais de Eventos da UFSCar, v. 7, p. , 2011

ou um servidor de correio, so simulados. O invasor nunca ter acesso ao sistema real,


apenas as verses simuladas dos mesmos (ASSUNO, 2009).
Neste tipo de interao no existe um sistema operacional real, o atacante interage
com uma maquina virtual e com comandos restritos. Esse tipo de honeypot d a
possibilidade de se emular vrios tipos de servios como FTP, POP3, WEB entre outros.
Por exemplo, um honeypot poderia emular um servio FTP onde o atacante poderia obter
login annimo dentro do honeypot, e baixar uma cpia do arquivo do sistema de senha,
uma ttica usada por muitos atacantes. No entanto a conta annima ser a nica com
acesso, e o arquivo de senha no teria validade, pois seria um arquivo falso plantado no
honeypot e usado para iludir o atacante. Nesse e em outros casos, o nvel de interao
limitada a apenas tentativas de login, acesso annimo e a capacidade de baixar o arquivo
de senhas falsas. (JESUS, 2010).
Foram utilizados trs grandes sistemas honeypot de baixa-interatividade para a
elaborao deste trabalho. Essas ferramentas so: Honeyd, KFSensor e Valhala Honeypot.
Honeyd: o software pioneiro quando o assunto honeypots. Ele permite a
criao de hosts virtuais e o anexo de scripts personalizados em Perl para a
criao de interaes em determinadas portas. (ASSUNO, 2009), ele
tambm necessita de IPs disponveis na rede para criar seus scripts de
honeypot. Possui tambm o cdigo fone livre pela GPL. Existem disponveis
as verses para Windows e para Linux.

KFSensor: um honeypot comercial para Windows. Foi um dos primeiros a


se destacar neste segmento e seu desenvolvimento foi implementado pela Key
Focus. (ASSUNO, 2009). Assim como o honeyd, ele trabalha com baixainteratividade simulando respostas ao invs de fornecer dados reais ao
atacante. Uma dos recursos mais interessantes ele a possibilidade de
instalao de senrios em locais estratgicos da rede, que permite monitorar o
trafego e o tempo de respostas remotamente para o computador onde est
rodando o servidor do KFSensor.

Valhala Honeypot: um honeypot desenvolvido totalmente em portugus.


Ele foi desenvolvido para Windows e tem seu cdigo aberto. Possui servios
de um honeypot de baixa-interatividade como de alta-interatividade. Outra
questo que ao contrrio do gratuito honeyd e de outros honeypots
comerciais, o Valhala ainda no suporta utilizao de captura de IPs
disponveis na rede para a criao de hosts virtuais. (ASSUNO, 2009).
necessrio utilizar o endereo IP atual da maquina na qual ir ser instalado o
programa.

As ferramentas acima descritas foram instaladas e testadas para melhor entende-las e


melhor explicar seus funcionamentos.

CONGRESSO DE INICIAO CIENTFICA, 19 edio, 2011, So Carlos, SP.


Anais de Eventos da UFSCar, v. 7, p. , 2011