honeypot - defesa contra ataques
TRANSCRIPT
Segundo MARCELO e PITANGA (2003), o Honeypot teve início em 1991 com a publicação do artigo “The Cucko’s Egg” de Cliford Stool, astrônomo do Laboratório Lawrence de Berheley.
A primeira referência à implementação de mecanismos de acompanhamento das atividades de invasores data de 1988, quando Clifford Stoll tornou públicou a história da invasão ocorrida nos sistemas do Lawrence Berkeley Laboratory(LBL).
Durante 10 meses (1986/87), Cliford Stool localizou e encurralou o hacker Hunter e, em outro famoso artigo, “An Evening With Berferd”, onde Bill Cheswicks.
Breve histórico sobre Honeypots
Breve histórico sobre Honeypots
• Bill Cheswicks estudou durante meses as técnicas e criou armadilhas para o hacker Berferd, que através de um bug no sendmail obteve as senhas do sistema. Este artigo é de um grande valor, já que a idéia por trás dos honeypots começou a ser desenhada ali.
• 1992 - o especialista Bill Cheswick explicou no artigo “AnEvening With Berferd In Which a Cracker is Lured, Endured and Studied” os resultados do 18 acompanhamento de invasões de um dos sistemas da AT&T, projetado especialmente para este fim.
• Em 1997 Fred Cohen lançou o DTK, ou Deception Toolkit, o primeiro honeypotque era aberto e gratuito
Breve histórico sobre Honeypots
Clifford Stoll (1988)
The Cuckoo's EggLBL - Lawrence Berkeley
LaboratoryMonitoração das
atividades do invasor
Mais o que são esse Honeypots ?
Honeypot = Pote de Mel
Mais o que são esse Honeypots ?
“Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado
ou comprometido.”
Segundo Lance Spizner como (COMMUNITY, 2001):
Deception Toolkit (DTK)
A primeira ferramenta de código aberto cujo objetivo é explicitamente iludir atacantes . Desenvolvida por 1998 Fred Cohen.
TIPOS DE HONEYPOT
• Honeypots de produção: diminuir os riscos eajudar a proteger as redes das organizações;
• Honeypots de pesquisa: estudar e obter informa-ções da comunidade dos atacantes.
“Marty Roesch (2003)”
Finalidades dos Honeypots
• Coleta de códigos maliciosos
• Identicar varreduras e ataques automatizados
• Acompanhamento das vulnerabilidades
• Motivação dos atacantes
• Auxílio aos sistemas de detecção de intrusão
• Manter atacantes afastados de sistemasimportantes.
Honeypots Os honeypots podem ser considerados de baixa e altainteratividade, indo desde serviços falsos (baixa interatividade)até máquinas com serviços reais (alta interatividade), onde os atacantes podem obter acesso total ao sistema.
Baixa Interatividade: Back Ofcer Friendly, DeceptionToolkit(DTK), Specter, Honeyd, Labrea, Tarpit
Alta Interatividade: UML, VMware, Mantrap, sistemas eaplicativos reais; instalação padrão de sistemasoperacionais; artifícios de monitoração das atividades dosatacantes.
Taxonomia dos Honeypots
Honeypots de Baixa InteratividadeFonte: http://www.tracking-hackers.com/solutions/
Specter
Pode monitorar até quatorze portas de TCP (sete de armadilhas e sete de
serviços).
Armadilhas bloqueiam e registram as tentativas de ataques
DNS, IMAP4, SUN-RPC, SSH, SUB-7, BOK2 e genérica
As portas de serviços interagem com o invasor
FTP, TELNET, SMTP, FINGER, HTTP, NETBUS e POP3
Honeypots de Baixa Interatividade
Specter Pode emular até quatorze sistemas operacionais diferentes
Windows 98, Windows NT, Windows 2000, WindowsXP,Linux, Solaris, Tru64 (Digital Unix), NeXTStep, Irix,Unisys
Possui grande variedade de comfiguração
Características de noticação
Banco de dados dos incidentes
Facilidade no uso
Honeypots de Baixa Interatividade
Specter
Honeypots de Baixa Interatividade
Registra os logs e permite aplicar ltros
Possui simulação de NetBIOS, SMB, FTP, POP3, HTTP,
Telnet, SMTP e SOCKS
Interopera com scripts do Honeyd
Há cópias para avaliação
KFSensor
Honeypots de Baixa Interatividade
KFSensor
Discente : Rafaela Santos da Costa