Avaliação da Ferramenta de Segurança da Informação Honeypot
Evaluation Tool Securtiy Information Honeypot
Evaluación herramienta de Seguridad de la Información Honeypot
Fabrício dos Santos Rodrigues1
Thiago Rafael de Souza2
Cristiano Antônio Diniz3
Resumo: Esse artigo tem como tema os Honeypots, artifício que funciona como uma armadilha para
4
que os atacantes “pensem” que estão invadindo um ambiente real e com informações ou recursos
que sejam relevantes para serem utilizadas para algum fim. O objetivo desse estudo é reunir
informações que permitam os usuários conhecer medidas de segurança básicas que devem ser
tomadas no que diz respeito a utilização sistemas informatizados. Trata-se de uma pesquisa do tipo
bibliográfica.
Palavras-chave: Honeypot, Honeynets, Engenharia Social.
Abstract: This article is the subject Honeypots, artifice that acts as a trap for the attackers "think" they
are invading a real environment with information or resources that is material to be used for some
purpose. The aim of this study is to gather information that allows users to know basic safety
measures to be taken regarding the use computerized systems. This is a survey of the literature type.
Keywords: Honeypot, Honeynets, Social Engineering.
Resumen: Este artículo tiene como tema los honeypots, artificio actúa como una trampa para que los
atacantes “piensen” que están invadiendo un entorno real y con informaciones o recursos relevantes
para que sean utilizados para cualquier propósito. El objetivo de este estudio es obtener información
que permite a los usuários saber que han de adoptarse las medidas básicas de seguridad, que deben
adoptarse con respecto a sistemas computadorizados. Esta es uma encuesta de tipo bibliográfica.
Palabras clave: Honeypot, Honeynets, Ingeniería Social.
1 INTRODUÇÃO
Este artigo tem como objetivo abordar o funcionamento dos Honeypots, que
são ferramentas cuja função é simular, de forma intencional, falhas de segurança em
um sistema de computador, tornando o computador vulnerável a ataques advindos
de hackers e crackers, com a finalidade de coletar informações para melhor proteger
1
Graduando do curso Bacharelado em Sistemas de Informação pela Faculdade Infórium de Tecnologia.
[email protected]
2
Graduando do curso Bacharelado em Sistemas de Informação pela Faculdade Infórium de Tecnologia.
[email protected]
3
Pós Graduado em Gestão de Segurança da Informação e professor da Faculdade Infórium de Tecnologia.
[email protected]
4
O verbo pensar será frequentemente utilizado neste artigo, pois o próprio objeto de pesquisa o Honeypot
sugere na sua definição que o agente ao qual se refere esteja numa situação de “pensar”. No desenvolvimento
da leitura deste artigo pode-se compreender a necessidade de se utilizar este verbo como parte do objeto de
estudo.
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
o sistema.
A segurança da informação, exige uma boa forma de proteção, e prover
meios para impedir que vulnerabilidades sejam exploradas por pessoas mal
intencionadas. Formas para se defender destes ataques foram criadas, são
ferramentas que coletam dados de invasores para conseguir entender o
funcionamento dos seus ataques, essas ferramentas são denominadas: Honeypots e
Honeynets.
O termo Honeypot significa “pote de mel”, o mesmo funciona como uma
armadilha para que os atacantes pensem que estão invadindo um ambiente real e
com informações ou recursos que sejam relevantes para serem utilizados com
algum fim.
Um Honeypot bem estruturado é aquele que consegue passar a sensação de
que é um sistema real e que possui serviços que são utilizados por computadores ou
servidores reais, tais como: banco de dados, servidor web, servidor de arquivos,
serviço de transferência de arquivos, entre outros.
Assim, delimitou-se o tema deste estudo a uma abordagem de práticas na
utilização de sistemas de informação e a análise dos benefícios de se utilizar um
Honeypot como forma de coleta de dados e futura ações de proteção.
O objetivo geral desse trabalho é apresentar vantagens e desvantagens
quanto a utilização de honeypots, medidas e práticas de segurança a serem
tomadas em qualquer ambiente informatizado a fim de manter os dados
confidenciais, íntegros e disponíveis.
A pergunta norteadora do estudo é no sentido de verificar se após a utilização
de um Honeypot um sistema operacional está seguro?
Com a crescente utilização dos computadores e o grande volume de
informações que são armazenados diariamente, necessita-se saber se o micro
utilizado nas residências ou nas empresas estão realmente seguros ou se somente
pessoas
autorizadas
tiveram
acesso
às
informações
que
se
encontram
armazenadas nos discos rígidos. Assim, justifica-se esta pesquisa tendo-se em vista
a dependência crescente de tecnologia, uma vez que se armazena, uma série quase
infinita de documentos mesmo que temporariamente, de maneira digital.
Diante disso, questiona-se se uma pessoa que deveria ter acesso a
determinada informação realmente foi a única a ter obtido o acesso. Torna-se
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
primordial detectar e neutralizar pontos de vulnerabilidade que possam ser
explorados para se obter informações de maneira indevida, seja de uma organização
ou de um utilizador comum, muitos utilizadores de computador não têm cuidado com
as informações que estão sendo armazenadas.
Quanto à metodologia trata-se de uma pesquisa do tipo exploratória, pela qual
utilizou-se como técnica a pesquisa bibliográfica, em autores conceituados no
quesito segurança da informação, como Assunção, Mitnick, Thompson e Nakamura.
Para a compreensão deste tema, este trabalho foi dividido em cinco seções. A
seção 1, esta introdução, é indicativa do conteúdo do estudo, a seção 2 estudo da
engenharia social, a seção 3 uma definição geral de Honeypots e Honeynets, a
seção 4 demonstrando a utilização de uma ferramenta de Honeypot, a seção 5
aborda sobre a utilização de Honeypots no Brasil, e a seção 6 as considerações
finais desse trabalho.
2 ENGENHARIA SOCIAL
Torna-se primordial antes da abordagem do tema, tratar do assunto
engenharia social. Existem diversas ferramentas e precauções para deixar os
computadores menos vulneráveis, a única vulnerabilidade que não existe correção
são as que envolvem o fator humano, porém é possível diminuir a ação de
engenheiros sociais através de treinamentos constantes e conscientização de todo o
pessoal envolvido nos processos, conforme é afirmado por Giavaroto e Santos
(2013).
Mitnick (2006) afirma que uma falha cometida por muitos já se encontra no ato
de realizar um backup, uma vez que, ao se realizar um backup pretende-se torná-lo
realmente fácil para ser acessado, enquanto existe espaço disponível suficiente,
realiza-se backup de todas as informações que se dispõe. Então os mesmos
acabam sendo esquecidos com dados valiosos e só se tem a preocupação de
removê-los quando não existe mais espaço no disco local ou na rede, destaca-se
que informações devem ser armazenadas de forma correta, e também em local
adequado, no que diz respeito a uma grande organização, na rede, onde o acesso
pode ser monitorado e o backup fica sendo responsabilidade dos administradores de
rede.
Deve-se preocupar com os dados, assim como o que é armazenado de forma
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
digital, senhas e números de cartões de crédito, dados pessoais, comerciais, emails, contas de sites, todas essas informações ficam armazenadas no computador
e é possível visualizá-las com programas específicos, sendo assim é necessário se
prevenir e adotar boas práticas quanto à utilização de computadores, assim como
qualquer equipamento eletrônico que faça acesso à rede mundial de computadores
(SMITCH, 2007).
Antes de se abordar o Honeypot propriamente dito, apresenta-se a noção de
engenharia social que pode minimizar vulnerabilidades dentro das organizações,
assim como no dia-a-dia das pessoas. Engenharia social, é o termo utilizado para
descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes
abusando da ingenuidade ou confiança do usuário, para obter informações que
podem ser utilizadas para ter acesso não autorizado a computadores ou informações
(SMITH, 2007).
É comum afirmar que o ativo o ativo mais valioso de uma organização são
seus funcionários, a respeito da informática, o ativo mais valioso de uma
organização é a sua propriedade intelectual, bens como designs de produto, lista de
clientes, planos de novos produtos, dados de pesquisa de desenvolvimento dentre
outras informações que podem ser armazenadas mesmo que temporariamente
digitalmente (MITNICK, 2006). Tais informações são tão valiosas que se caírem nas
mãos de outras organizações com negócios semelhantes pode ser fatal,
ocasionando até o fim da organização. E com relação à vida cotidiana, à intimidade
esta pode ser violada e divulgada, fato constrangedor, que vem acontecendo nos
últimos anos conforme vem sendo divulgado em mídias televisivas e diversos portais
na Internet. Além do que pode se ser furtado, e o computador utilizado em algum
tipo de ataque (SMITH, 2007).
Nos dias atuais, com a utilização de redes e mídias sociais, muitas
informações pessoais podem ser facilmente acessadas, o que pode facilitar a vida
dos engenheiros sociais. Com isso deve-se tomar muito cuidado com as práticas de
engenharia social. Todos são suscetíveis a tais práticas de engenharia social, pois
todos já foram manipulados pelos maiores especialistas de engenharia social, os
pais, porém no que diz respeito as informações referentes ao nosso trabalho
devemos ficar sempre atentos, ainda mais em organizações que trabalham com
dados críticos e confidenciais (MITNICK, 2006).
Antes de se abordar de forma mais aprofundada sobre a engenharia social,
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
ressalta-se que existem Hackers e Crackers. Estes dois termos possuem
significados bastante opostos em tecnologia. De uma forma geral, Hackers são
indivíduos que elaboram e modificam softwares e hardwares de computadores, seja
desenvolvendo funcionalidades novas ou adaptando as antigas. Já Cracker é o
termo usado para designar quem pratica a quebra (ou cracking) de um sistema de
segurança (OLHAR DIGITAL, 2013).
Na prática, os dois termos servem para conotar pessoas que têm habilidades
com computadores, porém, cada um dos "grupos" usa essas habilidades de formas
bem diferentes. Os Hackers utilizam todo o seu conhecimento para melhorar
softwares de forma legal e nunca invadem um sistema com o intuito de causar
danos. No entanto, os Crackers têm como prática a quebra da segurança de um
software e usam seu conhecimento de forma ilegal, portanto, são vistos como
criminosos.
Existem muitas técnicas de engenharia social, dentre essas técnicas seis são
muito utilizadas: análise do lixo, internet e redes sociais, contato telefônico,
abordagem pessoal, phishing (e-mails falsos) e a mais difícil de se controlar falhas
humanas (PROFISSIONAIS DE TI, 2013).
Um computador ou sistema computacional é dito seguro se este atende três
requisitos básicos relacionados aos recursos que o compõem, que são
confidencialidade, integridade e disponibilidade. Sendo que a confidencialidade diz
que a informação só está disponível para aqueles que são devidamente autorizados;
a integridade diz que a informação não é destruída ou corrompida e o sistema tem
um desempenho correto; e a disponibilidade diz que os serviços/recursos do sistema
estão disponíveis sempre que forem necessários (SMITH, 2007).
Deve-se ter cuidado com os computadores dentro das organizações assim
como com os computadores domésticos, uma vez que, computadores domésticos
são utilizados para realizar inúmeras tarefas, tais como: transações financeiras,
sejam elas bancárias ou mesmo compra de produtos e serviços; comunicação, por
exemplo, através de e-mails; armazenamento de dados sejam eles pessoais ou
comerciais, tomando os devidos cuidados evita-se a exposição da vida privada
(SMITH, 2007).
Smith (2007, p. 12) relaciona os motivos que devem importar quanto a
segurança do computador doméstico para evitar inconvenientes tais como:
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
a) Suas senhas e números de cartões de crédito fossem furtados;
b) Sua conta de acesso à Internet fosse utilizada por alguém não autorizado;
c) Seus dados pessoais, ou até mesmo comerciais, fossem alterados,
destruídos ou visualizados;
d) Ter seus e-mails visualizados por alguém não autorizado.
Conforme Smith (2007, p. 13) alguém pode querer invadir computadores
domésticos por diversos motivos, sendo eles:
a) Utilizar seu computador em alguma atividade ilícita, para esconder sua real
identidade e localização;
b) Utilizar seu computador para lançar ataques contra outros computadores;
c) Utilizar seu disco rígido como unidade de dados;
d) Meramente destruir informações (vandalismo, utilizados por Crackers);
e) Disseminar mensagens alarmantes e falsas;
f) Ler e enviar e-mails em seu nome;
g) Propagar vírus de computador;
h) Furtar números de cartões de crédito e senhas bancárias (Embora seja fácil
achar na Internet);
i) Furtar a senha da conta de seu provedor, para acessar a Internet se fazendo
passar por você;
j) Furtar dados do seu computador, como por exemplo informações do seu
Imposto de Renda.
Muitas vezes os computadores podem se encontrar completamente
vulneráveis, mas necessariamente isso não significa dizer que ele será ou foi
invadido, isso se deve ao fato que os computadores não estão infectados, conforme
Smith (2007, p.19), para que um computador seja infectado por um vírus, é preciso
que de alguma maneira um programa previamente infectado seja executado. E isto
pode ocorrer de diversas maneiras:
a) Abrir arquivos anexados aos e-mails;
b) Abrir arquivos do pacote office como por exemplo do Word e Excel que
contenham macros;
c) Abrir
arquivos
armazenados
em
outros
computadores,
através
do
compartilhamento de recursos;
d) Instalar programas de procedência duvidosa ou desconhecida, obtidos pela
Internet, de disquetes, ou de CD-ROM;
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
e) Esquecer um disquete no drive A (hardware ainda muito utilizado em
servidores) ou pendrive que contenham vírus quando o computador é ligado;
f) Por alguma página na internet.
Uma vulnerabilidade pode ser definida como uma falha no projeto ou
implementação de software ou sistema operacional, é quando explorada por um
atacante resulta na violação de segurança do computador (SMITH, 2007).
Deve-se tomar diversos tipos de precauções quanto a utilização de sistemas
informatizados, fazer prevenções para evitar situações onde informações podem ser
divulgadas ou sistemas utilizados por pessoas não autorizadas. Quanto à utilização
doméstica de sistemas informatizados, para se prevenir qualquer tipo de problema, é
preciso tomar cuidado para evitar que seu equipamento seja infectado, e para isso é
aconselhável, não utilizar softwares piratas e sempre manter os softwares e o
Sistema Operacional atualizado. Utilizar um software de antivírus sempre atualizado,
utilizar um firewall (software responsável por aplicar políticas de segurança) e
sempre desconfiar de links ou e-mails duvidosos. Já no ambiente corporativo além
de todas essas preocupações outra medida que pode ser adotada com o intuito de
proteção é a implantação de um Honeypot assim como Honeynets (SMITCH, 2007).
3 HONEYPOTS E HONEYNETS
O termo Honeypot pode ser definido apenas em uma palavra, que é a palavra
armadilha, já uma Honeynet é uma ferramenta de pesquisa que consiste em uma
rede projetada especificamente para ser comprometida, e que contém mecanismos
de controle para prevenir que seja utilizada como base de ataques contra outras
redes, nada mais é do que um tipo de Honeypot, porém denominado de Honeypot
de pesquisa (ASSUNÇÃO, 2009).
Existem duas formas de se poder implementar um Honeypot: real ou virtual. A
Honeynet real seriam vários elementos de uma rede convencional como servidores,
computadores, switches e roteadores funcionando de uma maneira que o Honeypot
pudesse ser implementado. Essa é uma solução de um custo financeiro mais
elevado, visto que o objetivo é montar uma rede real. A outra forma seria uma
Honeynet virtual, dessa forma poderia ser criada em um único host várias máquinas
virtuais simulando um ambiente real e a um custo muito inferior ao da Honeynet real
(ASSUNÇÃO, 2009).
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
O Honeypot, após ser definido onde irá ficar localizado na rede, deverá ser
capaz de colher informações sobre o atacante sem deixar que o ataque seja
espalhado pela rede, ou seja, o ataque tem que se findar na rede da Honeynet.
Definido como é feito um ataque, seus objetivos e quais vulnerabilidades são
exploradas, as empresas e usuários, poderão se prevenir de forma a defender seus
ativos de acessos não autorizados (ASSUNÇÃO, 2009).
No mercado existem diversas ferramentas que podem ser utilizadas como
Honeypot, como ferramenta para pesquisa deste estudo utilizar-se-á o Valhala, por
ser uma ferramenta gratuita que fornece uma gama de funcionalidades.
A funcionalidade de detecção de intrusos baseada em Honeypots de forma
gratuita, simples e sem muita complexidade de implementação. O programa
foi desenvolvido para o sistema Windows, mas pode rodar em distribuições
Linux através da utilização do software de emulação Wine, que como todo
software livre, o seu código está à disposição para ser estudado e
melhorado por todos que o desejarem (ASSUNÇÃO, 2009, p. 89).
Um Honeypot precisa ter alguns serviços rodando no ambiente como se fosse
de um Sistema Operacional real e, o Valhala, consegue simular os serviços de
HTTP, FTP, SMTP, POP3, TELNET, TFTP, FINGER e PROXY. Ele possui também
algumas funções que podem ser exploradas, como: monitorar, parar, limpar, salvar,
opções, configurar, modo console (ASSUNÇÃO, 2009).
O menu de opções do Valhala oferece uma grande diversidade de
configuração para ser utilizada no Honeypot. Ele permite configurar alertas de
tentativas de invasão por e-mail, onde envia os logs capturados na tela principal para
um e-mail específico; permite enviar logs para um servidor remoto, essa função pode
ser habilitada para poder centralizar em um único servidor os logs de várias consoles
do Honeypot Valhala, facilitando assim a verificação dos logs; permite configurar
portas do modo console; salvar logs em um diretório específico; atualizar
configurações pelo servidor; habilitar portas extras; apagar a tela de logs após enviar
o e-mail de notificação; tocar som ao capturar tentativas de ataques; desabilitar as
portas-padrão de Trojans; permite iniciar juntamente com o Sistema Operacional
Windows; auto monitoramento; modo oculto e banner padrão das portas extras
(ASSUNÇÃO, 2009).
A ferramenta Valhala foi desenvolvida por Marcos Flávio Araújo Assunção5, o
5
Marcos Flávio Araújo Assunção é um autor de nove livros sobre segurança digital, analista de
vulnerabilidades, professor universitário e palestrante.
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
mesmo pondera que há alguns riscos e aspectos legais na utilização dos Honeypots.
Utilizar um honeypot é muito interessante do ponto de vista da facilidade de
se detectar invasões e poder, assim, melhorar os sistemas existentes de
detecção de intrusos. Mas é importante ressaltar que também é uma faca
de dois gumes, caso o honeypot configurado esteja comprometido e o
invasor consiga utilizá-lo para atacar outras redes, isso pode causar um
grande problema. Portanto é importante pesar e balancear quando utilizar
os serviços de baixa interatividade, que não oferecem praticamente risco
algum, com aqueles de alta interatividade que, apesar de ajudarem a
recolher mais informações interessantes, podem fazer o feitiço virar contra o
feiticeiro.
Outra questão muito comentada sobre os honeypots é em relação ao
aspecto jurídico de sua utilização. Algumas pessoas alegam que um
honeypot induz alguém a fazer algo errado e isso de forma alguma é
verdade. Um pote de mel não está induzindo ninguém a realizar nada de
errado, até porque muitas vezes ele é um computador como qualquer outro
da rede, apenas a finalidade de colocá-lo ali é que foi diferente. O honeypot
não está sendo exibido para ninguém, o invasor entrou porque quis
(ASSUNÇÃO, 2009, p. 27).
Existem dois tipos de Honeypots, os de pesquisa e os de produção, sendo
características dos mesmos:
a) Honeypots de pesquisa: este não tem como objetivo primário ser utilizado
como um sistema de detecção de intrusos ou denominado Intrusion Detection
System (IDS), refere-se a meios técnicos de descobrir em uma rede quando
está tendo acessos não autorizados que podem indicar a ação de um hacker,
ou funcionários mal intencionados. Com o acentuado crescimento das
tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede
torna-se cada vez mais difícil a implantação de sistema de detecção de
intrusos. O que ele pretende é realmente ser atacado várias vezes e, com
isso, estudar todos os detalhes de cada ataque. Cada arquivo que o invasor
acessar, cada senha que ele digitar, cada comando, absolutamente tudo será
salvo e estudado (ASSUNÇÃO, 2009).
b) Honeypots de produção: é o oposto do anterior. Sua intenção é praticamente
apenas detectar intrusos na rede e tomar as providências contra os invasores
o mais rápido possível. É o que normalmente seria utilizado em alguma
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
empresa ou instituição que deseja proteger sua rede. No Honeypot de
produção deve ser utilizado um ambiente de baixa interação, pois são
simulados e não oferecem nenhum risco ao sistema real e se o atacante
descobrir a armadilha, não há problema (ASSUNÇÃO, 2009).
Um sistema de detecção de intrusos pode ser utilizado como fonte de
aprendizado sobre novos ataques, além de desempenhar sua função principal, que é
a detecção, porém os Honeypots podem ensinar muito mais. Um Honeypot não
contém dados ou aplicações importantes para organização, seu único propósito é
passar-se por um legítimo equipamento presente na organização que é configurado
para interagir com um Hacker ou Cracker em potencial, com o objetivo de identificar
as técnicas utilizadas para futura análise e estudo (NAKAMURA, 2007).
Pode-se fazer um paralelo entre técnicas de guerras e o Honeypot, onde
ambos têm a função de distrair o adversário, levá-lo a uma armadilha, armar uma
emboscada ou enviar informações falsas a ele. Essas ações são parte do arsenal de
técnicas utilizadas nos dois casos (NAKAMURA, 2007).
Os Honeypots possuem uma grande importância em um ambiente onde
técnicas inovadoras precisam ser detectadas e aprendidas, e também para
adquirir informações primordiais para o aprimoramento da defesa, como a
frequência de ataques, as técnicas mais utilizadas e as tendências de
ataques. Além de prover informações sobre o ataque, um Honeypot pode
mostrar as intenções do ataque e também fazer com que o Hacker perca
tempo em
ataques
não efetivos, enquanto a organização obtém
informações sobre ele e sobre formas de melhorar a prevenção. Isso é
conseguido porque o Honeypot faz com que o Hacker tenha uma percepção
errada
das
medidas
de
segurança
adotadas
pela
organização
(NAKAMURA, 2007, p. 264).
Honeypots podem ser de diferentes tipos, existem uns mais sofisticados que
outros, o que exige um maior esforço da equipe de trabalho que administra o
sistema de Honeypot, que são classificados como:
a) Sacrificial Lambs: são sistemas disponibilizados praticamente com a sua
configuração-padrão, para serem atacados. O perigo está no fato de ele
poder ser usado como um ponto de origem para novos ataques, como
alertou Nakamura anteriormente.
b) Facades: emulam serviços ao invés de disponibilizarem servidores reais
para serem atacados. Não podem ser usados como ponto de origem para
novos ataques e também proveem pouca informação sobre o ataque, pois
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
não existem vulnerabilidades nos serviços emulados. Assunção (2002)
define este tipo de Honeypot como sendo de baixa interatividade.
c)
Shield: o Honeypot recebe os tráfegos considerados suspeitos, baseado
nos serviços. O Firewall ou o roteador direciona todo o tráfego não
condizente com cada sistema para o Honeypot, que passa a receber as
informações do atacante. Por exemplo, um servidor Web recebe todo o
tráfego HTTP, porém outros tráfegos para o mesmo servidor são
redirecionados para o Honeypot. O ponto negativo é que não é possível
obter informações sobre ataques HTTP nesse exemplo, pois o tráfego é
enviado ao servidor real, não ao Honeypot. Caso existam outros sistemas
na DMZ, é possível obter as informações. De acordo com Cunha (2008) a
sigla para de DeMilitarized Zone ou “zona desmilitarizada”, em português.
DMZ é uma pequena rede situada entre uma rede confiável e uma não
confiável, geralmente entre a rede local e a Internet. (NAKAMURA, 2007, p.
265).
A função de uma DMZ é manter todos os serviços que possuem acesso
externo (tais como servidores HTTP, FTP, SMPT, POP3, IMAP e etc.) separados da
rede local, o que limita o dano em caso de comprometimento de algum destes
serviços por um invasor. Para que esse objetivo seja atingido os computadores
presentes em uma DMZ não contém nenhuma forma de acesso à rede local
(ESCREVER ASSIM, 2012).
4 UTILIZANDO UM HONEYPOT
O Valhala Honeypot é um aplicativo que foi desenvolvido por Marcos Flávio
em 2009, sendo um aplicativo totalmente em português. O Valhala Honeypot foi
desenvolvido com o objeto de fornecer funcionalidade de detecção de intrusos
baseada em Honeypots de forma gratuita, simples e sem muita complexidade de
implementação. O programa foi desenvolvido para sistemas Windows, funciona em
distribuições Linux através de softwares de emulação. O Valhala tem seu código
aberto para poder ser estudado e melhorado por qualquer um que desejar.
O Valhala Honeypot possui diversas funções, como pode ser visto na figura 1,
das quais podemos destacar:
a) Monitorar: utilizado para poder colocar o problema em operação. Quando
acionado, este botão ativa todos os serviços configurados, aguardando as
tentativas de acesso não autorizados.
b) Parar: esta função serve para interromper os serviços anteriormente ativados.
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
Nesse momento o sistema irá parar de receber conexões e tentativas de
ataques. Esta função pode ser utilizada quando se altera algum tipo de
serviço, pois para colocá-la em ação é necessário parar o sistema e em
seguida iniciar o monitoramento novamente através da opção monitorar.
c) Configurar: local onde são configurados os servidores, diferente do menu de
opções que é onde se configura os itens gerais do programa.
d) Modo console: opção utilizada para realizar a centralização dos logs em um
único servidor. Quando se cria vários Honeypots utiliza-se um único servidor
para centralizar os logs utilizando essa opção.
Figura 1 - Tela Inicial da Ferramenta Valhala Honeypot
Fonte: Elaboração do autor, capturada da ferramenta Valhala Honeypot 1.8
O aplicativo permite configurar seu próprio e-mail para receber notificações
quando houver tentativas de invasão no sistema monitorado, além de poder enviar
os logs para outro servidor, como pode ser visto na figura 2. Esta opção é útil
quando se tem mais de um Honeypot Valhala instalado e deseja-se centralizar os
logs em um único servidor.
No menu de opções do Valhala que pode ser visto na figura 2, pode-se
destacar as seguintes funcionalidades:
a) Alertar tentativas de invasão por e-mail: permite enviar os logs capturados na tela
principal para um e-mail que foi especificado anteriormente a cada período de
tempo. Todas as configurações podem ser alteradas e se deve utilizar uma conta
de e-mail real.
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
b) Enviar os logs para o servidor: envia cada um dos logs capturados
imediatamente para um servidor. Esse servidor deve ter o endereço IP ou o seu
nome devidamente configurado, assim como a sua porta correta. O servidor que
irá receber os logs deve estar configurado corretamente e com o Modo Console
habilitado para que consiga receber esses dados.
c) Portas do modo console: local onde se configura as portas que serão utilizadas
para recebimento dos logs pelo servidor. Existem duas opções:
I.
Recebimento de log: é a porta utilizada para receber as tentativas de
invasão de outros clientes que estão rodando na rede.
II.
Envio de configurações: é a porta utilizada para que os clientes que
desejam obter novas configurações possam se conectar. Neste caso um
único servidor irá passar todas as configurações realizadas e alteradas
para os demais servidores utilizando esta porta.
d) Salvar logs no diretório: utilizado para especificar um diretório onde os logs serão
automaticamente salvos em arquivos diários. É uma opção recomendada no
lugar de salvar os logs manualmente utilizando o menu principal do programa.
e) Atualizar as configurações pelo servidor: para as cópias do Valhala que se deseja
que tenham as suas configurações automaticamente atualizadas com base em
um computador servidor, basta especificar o IP (ou nome) e a porta desta
máquina. Assim, sempre que o programa foi inicializado, ele buscará novas
configurações no servidor.
f) Limpar a tela de logs a cada x linhas: limpa o conteúdo da tela principal, onde
são capturadas as tentativas de invasão. Se tiver configurado o envio das
configurações por e-mail, servidor ou para salvar os logs em disco, não tem
necessidade de ficar eternamente com esses logs na tela principal. Dessa forma
pode-se configurar que a cada quantidade específica de linhas capturadas com
tentativas de ataque, o conteúdo da tela será limpo.
g) Habilitar portas extras: permite habilitar portas extras para serem monitoradas.
Para entender a vantagem dessas portas é necessário entender uma das
principais fases de um processo de ataque: a varredura. O processo de
varredura de portas visa encontrar e detectar portas de serviço ativas em um
sistema. Portanto, sem ativar as portas extras, o invasor irá descobrir apenas as
portas de serviços padrão do Valhala.
h) Apagar tela de logs ao enviar e-mail: o conteúdo de toda a tela de logs é enviado
por e-mail dentro do intervalo de tempo configurado no envio. Essa opção faz
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
com que o conteúdo da tela seja apagado após o envio dos logs.
i) Tocar som ao capturar tentativas: esta opção habilita um som do computador
para avisar que uma tentativa de invasão ocorreu.
j) Desabilitar portas-padrão de trojans: por padrão, o Valhala abre portas de cavalo
de Troia conhecidos para que durante o processo de varredura o atacante pense
que aquele trojan existe na máquina. Para desabilitar este serviço, esta opção
deve estar marcada.
k) Iniciar com o Windows: para não precisar abrir manualmente o programa toda
vez que o sistema operacional for iniciado, esta opção pode ser marcada para
iniciar o mesmo automaticamente. Para ajudar ainda mais no processo de
monitoramento, a opção auto monitorar também deve ser ativada e assim o
programa irá iniciar com o monitoramento ativo.
l) Auto monitorar: como explicado anteriormente, essa opção vai fazer com que ao
abrir o Valhala não seja necessário clicar em Monitorar para iniciar o processo de
monitoração.
m) Modo oculto: por padrão, o Valhala sempre aparece na tela a cada tentativa de
invasão, mesmo que seja ocultado manualmente. Com o Modo Oculto habilitado
a tela não irá aparecer.
n) Banner padrão das portas extras: quando uma conexão for realizada por um
invasor em uma das portas extras, ele espera receber um banner para tentar
identificar o serviço. Esse processo é conhecido como enumeração. Nesta opção
pode se colocar o que deseja que seja enviado quando alguém se conectar em
alguma das portas.
Figura 2 - Visão Geral das Opções Gerais
Fonte: Elaboração do autor, capturada da ferramenta Valhala Honeypot 1.8
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
A versão do Honeypot Valhala 1.8, conforme pode ser visto na figura 3
permite configurar alguns serviços. Entre os serviços estão Servidor Web, Servidor
Finger, Servidor POP3, Servidor FTP, entre outros. Segue uma pequena descrição
dos serviços:
a) Servidor Web: permite que o invasor acesse as páginas de hypertext no
computador que está rodando o Valhala Honeypot. Ele é um serviço real, de
alta interatividade e não apenas simulado. Entretanto, não possui um alto
nível de risco ao ser utilizado. A monitoração do servidor WEB irá detectar
todas as páginas que o invasor tentar acessar. Isto é comum de ser feito de
forma manual ou através de um programa de detecção de falhas.
b) Servidor FTP: o FTP, ou protocolo de transferência de arquivos, é um serviço
que vai permitir ao invasor pegar e inserir arquivos em um computador, por
isso, ele é um serviço real de alta interatividade e deve ser utilizado com
cuidado. O ideal é que quando for utilizar este serviço, ele deve ser executado
em uma máquina virtual.
c) Servidor Finger: o serviço Finger é de baixa interatividade. Em outras
palavras, ele é simulado e não fornece informações reais do sistema. Seu
objetivo de uso é devido ao fato de que o Finger é um dos clássicos serviços
que normalmente são checados ao se tentar um ataque, especialmente em
sistemas Unix-like. Era um servidor muito disseminado antigamente, mas
devido a problemas de segurança, atualmente, é pouco utilizado. Ainda
assim, muitos garotos que estão começando e que leem materiais antigos
sobre hacking, aprendem sobre o Finger e procuram por servidores na
internet com este serviço habilitado. O Finger permite realizar a consulta de
quais usuários estão conectados ao servidor e também capturar informações
sobre um usuário específico, conhecendo dados como: nome de usuário,
quantas vezes o usuário entrou no sistema, etc.
d) Servidor POP3: O serviço POP é o responsável pelo recebimento de
mensagens de e-mail. Ele também é de baixa interatividade, ou seja, não
fornece acesso a mensagens verdadeiras que estejam armazenadas no
computador. O objetivo desse serviço é enganar o invasor e incitá-lo a tentar
descobrir a senha de algum e-mail que ele pense estar armazenado no
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
servidor.
e) Servidor SMTP: Esse é o serviço responsável pelo envio de e-mail. É um
serviço que se utiliza também de baixa interação, especialmente para evitar
que os spammers se utilizem do Valhala. Ele mostra que um e-mail foi
enviado, porém essa mensagem nunca chegará ao seu destino. É um dos
serviços que contém configuração mais simples.
f) Servidor Telnet: Ele dá acesso a um shell de comandos do MS-DOS para o
invasor. Mesmo assim ele não é um serviço de alta interação, e sim de baixa.
Todos os comandos são simulados e criados para tentar interagir o melhor
possível com o usuário. Um ambiente desses pode ser facilmente descoberto
por um invasor com um pouco mais de experiência, mas oferece também uma
grande vantagem: a segurança de que a máquina não poderá ser
comprometida, pois o acesso ao shell real nunca será utilizado.
g) Servidor TFTP: É um serviço de alta interação permitindo transferência real
de arquivos entre máquinas distintas da mesma forma como o FTP.
Diferentemente de todos os outros serviços no Valhala que utilizam o
protocolo TCP para transporte, ele utiliza o protocolo UDP, que não é
orientado à conexão. Isso faz com que o TFTP seja um serviço considerado
inseguro, já que não exige nome de usuário ou senha para se conectar a um
sistema. Mas por outro lado, não há como listar os arquivos disponíveis em
um servidor TFTP. De fato, esse servidor permite apenas pegar ou colocar
um arquivo.
h) Servidor Proxy: O Valhala apresenta um serviço simples de proxy, que
funciona mais como um direcionamento. O invasor conecta-se em uma porta
e você o direciona para um determinado IP na porta que desejar. Portanto, o
serviço de proxy é de alta interatividade.
Figura 3 - Serviços que podem ser habilitados
Fonte: Elaboração do autor, capturada da ferramenta Valhala Honeypot 1.8
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
Essas funções visam fazer com que o Honeypot se pareça o mais próximo
possível com um sistema real, para fazer com que o atacante pense estar atacando
um sistema de produção real que contenha serviços muito utilizados nas
organizações.
5 UTILIZAÇÃO DE HONEYPOTS NO BRASIL
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no
Brasil (CERT.br), opera uma rede de Honeypots chamada de “Projeto Honeypots
Distribuídos”, esse projeto tem como objetivo principal aumentar a capacidade de
detecção de incidentes, fazer uma correlação de eventos e determinação de
tendências de ataques no espaço da Internet no Brasil. São desenvolvidas as
seguintes atividades para atingir esse objetivo, segundo o CERT.br:
a) É mantida uma rede distribuída de Honeypots de baixa interatividade cobrindo uma
quantidade razoável do espaço de endereços IPv4 da Internet no Brasil;
b) Foi desenvolvido um sistema que notifica, diariamente, os grupos de tratamento de
incidentes (CSIRTs) das redes responsáveis por originar ataques aos Honeypots;
c)
São mantidas estatísticas públicas:
I.
Gráficos diários dos fluxos de rede do tráfego direcionado a todos os
Honeypots;
II.
Gráficos gerados a cada hora com o sumário do tráfego TCP e UDP
direcionado aos Honeypots, incluindo as tendências observadas.(CERT.br,
2011).
Figura 5 - Localização dos Honeypots operados pelo CERT.br
Fonte: CERT.br
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
O monitoramento da rede se torna muito importante para todos os usuários no
Brasil, já que diversas situações podem ser analisadas pelo CERT.br, o caso mais
bem sucedido de utilização dos Honeypots pelo CERT.br divulgado foi capturar o
vírus Slapper, vírus este que foi responsável por derrubar páginas web hospedadas
em servidores Apache no ano de 2002, bem no início do projeto. Desde 2004, o
CERT.br está desenvolvendo pesquisas para criar Honeypots para celulares, e é
provável que se até o presente ano de 2014 nenhum especialista já tenha o seu
próprio Honeypot de bolso, em breve teremos, o que é uma enorme sensação de
segurança para todos que navegam pela internet independentemente do dispositivo
que utilizam (GLOBO.COM, 2011).
6 CONSIDERAÇÕES FINAIS
Foi possível verificar com este trabalho, que é necessário tomar cuidado com
as informações que são armazenadas por meios digitais, principalmente aquelas que
podem ser vitais para as organizações, para as quais se trabalha ou para àquelas
que dizem respeito à vida privada.
Precisa-se então prover meios de descobrir como os atacantes de sistemas
fazem para poder se apoderar de informações tão importantes, e uma maneira de se
fazer isso é através do uso de Honeypots, armadilhas, que podem fazer com que os
atacantes “pensem” estar invadindo um sistema de verdade de uma organização ou
um computador pessoal.
Com o Honeypot pode-se visualizar o que o atacante está procurando e assim
o responsável pela rede pode-se prevenir e verificar formas de defesas mais
eficientes contra ataques externos. Pode-se também verificar se os principais
dispositivos de segurança como firewall, antivírus, filtros de web, entre outros, são
realmente eficazes e podem, de fato, diminuir a possibilidade de invasão de
estações de trabalho de uma rede de computadores.
Atualmente os setores de TI tem uma preocupação muito grande em
conseguir alinhar os interesses de negócio da empresa com seus investimentos.
Geralmente a TI não é vista como um setor que provê retorno financeira, ou seja,
lucros, para o negócio principal da empresa e por causa disso tem uma grande
dificuldade em aprovar orçamentos, que em muitos casos são muito altos. Nos
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
orçamentos anuais, uma das preocupações principais, e dependendo do segmento
da organização, é obrigatório ser a preocupação principal, a questão da segurança
dos dados, tanto da empresa quanto dos clientes. Com a utilização de um sistema
de Honeypot, pode-se direcionar e comprovar os investimentos diretamente nos
pontos mais vulneráveis e mais atacados.
A utilização desses dispositivos possui alguns benefícios como o custo, que
pode ser praticamente zero, pois a própria infraestrutura da empresa, com seus
maquinários, permite se montar um Honeypot (ASSUNÇÃO, 2009). Outro benefício
é o fato de que quase não se encontra falso-positivo nesses tipo de sistema, visto
que se é um Honeypot, ele não está divulgado na rede e qualquer tipo de tentativa
de acesso pode ser considerado um ataque, o risco de um sistema desse também é
muito baixo porque ele é preparado para não deixar o ataque se alastrar na rede, ou
seja, o administrador pode ficar tranquilo quando um ataque, por mais que seja
muito organizado e de força bruta, seja realizado dentro de um ambiente de
Honeypot, que é controlado.
Um fator interessante no uso do Honeypot é que dentro das configurações
corretas, o mesmo se torna uma armadilha totalmente segura, onde o invasor
“pensará” estar invadindo um sistema real, porém não há nenhum dado de valor
relevante para ser roubado, nesse caso, todos os passos do atacante serão
monitorados pelo Honeypot e em seguida esses dados podem ser usados para
prevenir ataques a outros sistemas, de forma que possa resolver as vulnerabilidades
que antes existiam.
Em uma organização que deseja proteger seu ambiente corporativo digital é
de suma importância verificar a possibilidade de se inserir no seu ambiente de rede,
mesmo que controlado, como em uma DMZ, por exemplo, um Honeypot. Devido à
grande potencialidade em ser atacada, as organizações podem se defender quando
um ataque é feito num sistema de Honeypot, pois após um ataque, é possível
reformular estratégias de soluções para os sistemas que estão em produção de
verdade.
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
REFERÊNCIAS
ASSUNÇÃO, Marcos Flavio Araújo. Guia do Hacker Brasileiro. 2. Ed. Florianópolis:
Visual Books, 2002;
ASSUNÇÃO, Marcos Flávio Araújo. Honeypots e Honeynets: aprenda a detectar e
enganar invasores. Florianópolis, Visual Books, 2009;
CERT.BR, Honeypots e Honeynets: Definições e Aplicações. Disponível em:
<http://www.cert.br/docs/whitepapers/honeypots-honeynets/#1> Acesso em 30 de
junho de 2014;
CERT.BR,
Distributed
Honeypots
Project.
Disponível
em:
<http://honeytarg.cert.br/honeypots/index-po.html> Acesso em 30 de junho de 2014;
CUNHA, Jean Carlos. O que é DMZ “Conceito”. Disponível
http://jeancarloscunha.wordpress.com/2008/11/14/o-que-e-dmzconceito/>
em 30 de junho de 2014;
em: <
Acesso
ESCREVER ASSIM, Redes - Conheça o que é uma rede DMZ. Disponível em:
http://escreveassim.com.br/2012/08/03/rede-dmz/ > Acesso em 10 de outubro de
2014;
GIAVAROTO, Sílvio César Roxo; SANTOS, Gerson Raimundo dos. Backtrack
Linux:
Auditoria e teste de invasão em redes de computadores, 1. Ed. Rio de Janeiro:
Editora Ciência Moderna Ltda., 2013;
GLOBO.COM, Honeypots fisgam hackers e monitoram técnicas de ataque na web.
Disponível em: <http://g1.globo.com/tecnologia/noticia/2011/10/honeypots-fisgamhackers-e-monitoram-tecnicas-de-ataque-na-web.html/> Acesso em 30 de junho de
2014;
MITNICK, Kevin; SIMON, William - A Arte de Enganar. MAKRON, 2003;
MITNICK, Kevin; SIMON, William - A Arte de Invadir. MAKRON, 2006;
NAKAMURA, Emilio Tissato; GEUS, Paulo Lício. Segurança de Redes em
Ambientes Cooperativos. São Paulo: Novatec, 2007;
OLHAR DIGITAL, Qual a diferença entre hacker e cracker? Disponível em:
<http://olhardigital.uol.com.br/noticia/38024/38024> Acesso em 30 de junho de 2014;
Profissionais TI, Engenharia Social: as técnicas de ataques mais utilizadas.
Disponível em: <http://www.profissionaisti.com.br/2013/10/engenharia-social-astecnicas-de-ataques-mais-utilizadas/> Acesso em 27 de abril de 2014;
SMITH. Hackers Segredos e Confissões. E-book de distribuição na Internet, 2007.
THOMPSON, Marco Aurélio. O Livro Proibido do Curso de Hacker. Salvador,
ABSI – Associação Brasileira de Segurança na Internet, 2004.
Revista Pensar Tecnologia, v. 4, n. 1, jan. 2015
Download

Avaliação da Ferramenta de Segurança da Informação Honeypot