Segundo MARCELO e PITANGA (2003), o Honeypot teve início em 1991 com a publicação do artigo “The Cucko’s Egg” de Cliford Stool, astrônomo do Laboratório Lawrence de Berheley.

A primeira referência à implementação de mecanismos de acompanhamento das atividades de invasores data de 1988, quando Clifford Stoll tornou públicou a história da invasão ocorrida nos sistemas do Lawrence Berkeley Laboratory(LBL).

Durante 10 meses (1986/87), Cliford Stool localizou e encurralou o hacker Hunter e, em outro famoso artigo, “An Evening With Berferd”, onde Bill Cheswicks.

Breve histórico sobre Honeypots

Breve histórico sobre Honeypots

• Bill Cheswicks estudou durante meses as técnicas e criou armadilhas para o hacker Berferd, que através de um bug no sendmail obteve as senhas do sistema. Este artigo é de um grande valor, já que a idéia por trás dos honeypots começou a ser desenhada ali.

• 1992 - o especialista Bill Cheswick explicou no artigo “AnEvening With Berferd In Which a Cracker is Lured, Endured and Studied” os resultados do 18 acompanhamento de invasões de um dos sistemas da AT&T, projetado especialmente para este fim.

• Em 1997 Fred Cohen lançou o DTK, ou Deception Toolkit, o primeiro honeypotque era aberto e gratuito

Breve histórico sobre Honeypots

Clifford Stoll (1988)

The Cuckoo's EggLBL - Lawrence Berkeley

LaboratoryMonitoração das

atividades do invasor

Mais o que são esse Honeypots ?

Honeypot = Pote de Mel

Mais o que são esse Honeypots ?

“Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado

ou comprometido.”

Segundo Lance Spizner como (COMMUNITY, 2001):

Deception Toolkit (DTK)

A primeira ferramenta de código aberto cujo objetivo é explicitamente iludir atacantes . Desenvolvida por 1998 Fred Cohen.

TIPOS DE HONEYPOT

• Honeypots de produção: diminuir os riscos eajudar a proteger as redes das organizações;

• Honeypots de pesquisa: estudar e obter informa-ções da comunidade dos atacantes.

“Marty Roesch (2003)”

Finalidades dos Honeypots

• Coleta de códigos maliciosos

• Identicar varreduras e ataques automatizados

• Acompanhamento das vulnerabilidades

• Motivação dos atacantes

• Auxílio aos sistemas de detecção de intrusão

• Manter atacantes afastados de sistemasimportantes.

Honeypots Os honeypots podem ser considerados de baixa e altainteratividade, indo desde serviços falsos (baixa interatividade)até máquinas com serviços reais (alta interatividade), onde os atacantes podem obter acesso total ao sistema.

Baixa Interatividade: Back Ofcer Friendly, DeceptionToolkit(DTK), Specter, Honeyd, Labrea, Tarpit

Alta Interatividade: UML, VMware, Mantrap, sistemas eaplicativos reais; instalação padrão de sistemasoperacionais; artifícios de monitoração das atividades dosatacantes.

Taxonomia dos Honeypots

Honeypots de Baixa InteratividadeFonte: http://www.tracking-hackers.com/solutions/

Specter

Pode monitorar até quatorze portas de TCP (sete de armadilhas e sete de

serviços).

Armadilhas bloqueiam e registram as tentativas de ataques

DNS, IMAP4, SUN-RPC, SSH, SUB-7, BOK2 e genérica

As portas de serviços interagem com o invasor

FTP, TELNET, SMTP, FINGER, HTTP, NETBUS e POP3

Honeypots de Baixa Interatividade

Specter Pode emular até quatorze sistemas operacionais diferentes

Windows 98, Windows NT, Windows 2000, WindowsXP,Linux, Solaris, Tru64 (Digital Unix), NeXTStep, Irix,Unisys

Possui grande variedade de comfiguração

Características de noticação

Banco de dados dos incidentes

Facilidade no uso

Honeypots de Baixa Interatividade

Specter

Honeypots de Baixa Interatividade

Registra os logs e permite aplicar ltros

Possui simulação de NetBIOS, SMB, FTP, POP3, HTTP,

Telnet, SMTP e SOCKS

Interopera com scripts do Honeyd

Há cópias para avaliação

KFSensor

Honeypots de Baixa Interatividade

KFSensor

Discente : Rafaela Santos da Costa