É uma ferramenta ou sistema criado com objetivo de enganar um atacante e fazê-lo pensar que conseguiu invadir o sistema, quando na realidade, ele está em um ambiente simulado, tendo todos os seus passos vigiados.
“Honeypots são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades.” (Honeynet.Br, 2005)
Spitzer (2002) define um honeypot como sendo um recurso em uma rede, cuja função é de ser atacado e invadido, assim possibilitando um futuro estudo das ferramentas e métodos utilizados no ataque. Esta ferramenta possui falhas de segurança reais ou virtuais, expostas de maneira proposital, possibilitando a invasão da rede.
Para Marcelo e Pitanga (2003), além de capturar as informações sobre o ataque, um honeypot pode mostrar as intenções do ataque e também fazer com que os hackers percam tempo com ataques não efetivos, enquanto os especialistas colhem o máximo de informações para poder melhorar a segurança das organizações.
Tipos de Honeypots
Honeypots de Pesquisa: são ferramentas de pesquisa programadas para observar as ações de atacantes ou invasores, permitindo análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas. Eles são mais utilizados para estudos ou por empresas de proteção contra ataques. Esse tipo de honeypot trabalha fora da rede local da empresa, sendo que, uma configuração mal feita pode acarretar em novos ataques.
Honeypots de Produção: são utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão. Tem como objetivo analisar e detectar atacantes na rede, conseqüentemente tomando as devidas providencias o mais rápido possível. Os honeypots de produção são utilizados por empresas e instituições que visam proteger suas redes.
Níveis de interação do Honeypots
Com afirma Montes (2004) os honeypots podem ser classificados em dois níveis de serviços: o de baixa interação e o de alta interação. Assunção (2008) completa dizendo que estes níveis de serviços são as formas de como os honeypots trabalham.
Baixa Interação: os honeypots de baixa interação são sistemas e serviços de rede que são emulados, onde o sistema real subjacente é inacessível, não permitindo que o atacante interaja com o sistema real.
Sua instalação e configuração são muito fáceis, pois sua arquitetura é simples e seu funcionamento é básico.
Alta interação: os honeypots de alta interação são máquinas que atuam como servidores de serviços de rede reais e totalmente acessíveis. O atacante pode ganhar total controle sobre esses sistemas, podendo oferecer um grande risco ao sistema. O honeypot deve ser implementado em um local onde se tenha um grande controle da rede através de métodos de proteção e detecção. Sua implantação é mais complexa, porém com ele podemos coletar uma vasta quantidade de informações dos atacantes.
Ferramentas Honeypots
No mercado atual, existem várias ferramentas que são utilizadas para a implementação dos honeypots. Dentre elas encontramos o Deception Toolkit (DTK), o Cyber Cop Sting, o Honeyd, o KFsensor, o Nepenthes, o Dionaea, o BackOfficer Friendly (BOF), o Specter e o Valhala. Existem outras, mas as citadas são as mais conhecidas no ramo de segurança.
Honeynets
O conceito de honeynet iniciou em 1999 quando Lance Spitzner, fundador do Honeynet Project, publicou um trabalho “To Build a Honeypot”. O intuito era aprender com as ferramentas usadas as táticas e a motivação dos atacantes.
De acordo com Assunção (2009) uma honeynet é formada por um conjunto de honeypots que simulam uma rede de produção, que é configurada para que as suas atividades possam ser monitoradas, gravadas e, em certo grau, controladas. É uma rede configurada para ser invadida, no qual todo tráfego que entra ou sai do gateway/roteador é considerada uma invasão.
Segundo Azevedo (2010) honeynet é uma rede altamente controlada onde todo pacote que entra ou deixa a honeynet é monitorada, capturado e analisado.
Conforme Honeynet Project (2002), após ser comprometida, ela pode ser estudada para aprender sobre as características dos ataques: as ferramentas utilizadas, as táticas e os motivos que levam os atacantes a cometerem tal imprudência.
Tipos de Honeynets
Segundo Assunção (2008) existem dois tipos de honeynets:
Honeynets Reais: Em uma honeynet real todos os dispositivos que a compõem, incluindo o honeypot, mecanismos de contenção, mecanismo de alerta e mecanismo de coleta de informações são físicos. Exemplificando, uma honeynet real poderia ser composta por diversos computadores, sendo que cada um poderia conter um honeypot, firewall, IDS e IPS, entre outros.As vantagens de utilizar honeynet real é o baixo custo por dispositivo e os atacantes interagem com ambientes reais. As desvantagens são as manutenções que são mais difíceis e trabalhosas, necessidade de mais espaço físico e o custo total tende a ser mais alto.
Honeypot Virtual: Uma honeynet virtual baseia-se na idéia de ter todos os componentes de um honeypot implementados em um número reduzido de dispositivos físicos.
Para concretizar tal idéia, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualizaçãocomo o VMware, VirtualBox entre outros.
A vantagem de se utilizar uma honeynet virtual é a manutenção, pois não há necessidade de um espaço físico maior para os equipamentos e o custo final tende a ser mais baixo. As desvantagens são o alto custo por dispositivo, pois são necessários equipamentos mais robustos para um bom desempenho da honeynet, e o atacante pode ter acesso a outras partes do sistema, pois tudo é compartilhado de um mesmo computador e o mesmo pode perceber que esta interagindo com um ambiente falso, uma rede virtual.
Conclusão
Os Honeypots e Honeynets são recursos que garantem uma melhor segurança das organizações. Seu uso é de muita utilidade para a segurança da informação, visto que, através do estudo detalhado com as informações capturadas dos atacantes, novos meios e técnicas poderão ser criadas contra os ataques de hackers.
Mesmo sendo de grande valor o uso dos Honeypots e Honeynets nunca se deve confiar a segurança da organização apenas a essas ferramentas, lembrando que elas não são meios de proteção direta, mas sim, meios de estudos. Elas devem trabalhar juntas com meios de prevenções convencionais, para evitar que um atacante possa atacar outros sistemas ou redes.
