Este documento descreve brevemente a história dos honeypots, começando com:
1) Clifford Stoll (1988) que publicou "The Cuckoo's Egg" descrevendo a monitoração de atividades de invasores no Lawrence Berkeley Laboratory.
2) Bill Cheswicks (1992) estudou as técnicas de um hacker no artigo "An Evening With Berferd" onde desenvolveu armadilhas.
3) Fred Cohen (1997) lançou o Deception Toolkit, o primeiro honeypot de código aberto.
2. Breve histórico sobre Honeypots
Segundo MARCELO e PITANGA (2003), o Honeypot teve início em 1991 com
a publicação do artigo “The Cucko’s Egg” de Cliford Stool, astrônomo do
Laboratório Lawrence de Berheley.
A primeira referência à implementação de mecanismos de
acompanhamento das atividades de invasores data de 1988, quando
Clifford Stoll tornou públicou a
história da invasão ocorrida nos sistemas do Lawrence Berkeley Laboratory
(LBL).
Durante 10 meses (1986/87), Cliford Stool localizou e encurralou o hacker
Hunter e, em outro famoso artigo, “An Evening With Berferd”, onde Bill
Cheswicks.
3. Breve histórico sobre Honeypots
• Bill Cheswicks estudou durante meses as técnicas e criou
armadilhas para o hacker Berferd, que através de um bug no
sendmail obteve as senhas do sistema. Este artigo é de um
grande valor, já que a idéia por trás dos honeypots começou
a ser desenhada ali.
• 1992 - o especialista Bill Cheswick explicou no artigo “An
Evening With Berferd In Which a Cracker is Lured, Endured
and Studied” os resultados do 18 acompanhamento de
invasões de um dos sistemas da AT&T, projetado
especialmente para este fim.
• Em 1997 Fred Cohen lançou o DTK, ou Deception Toolkit, o
primeiro honeypotque era aberto e gratuito
4. Breve histórico sobre Honeypots
Clifford Stoll (1988)
The Cuckoo's Egg
LBL - Lawrence Berkeley
Laboratory
Monitoração das
atividades do invasor
5. Mais o que são esse Honeypots ?
Honeypot = Pote de Mel
6. Mais o que são esse Honeypots ?
“Um honeypot é um recurso computacional de
segurança dedicado a ser sondado, atacado
ou comprometido.”
Segundo Lance Spizner como (COMMUNITY, 2001):
7. Deception Toolkit (DTK)
A primeira ferramenta de código aberto cujo objetivo é explicitamente iludir
atacantes . Desenvolvida por 1998 Fred Cohen.
8. TIPOS DE HONEYPOT
• Honeypots de produção: diminuir os riscos e
ajudar a proteger as redes das organizações;
• Honeypots de pesquisa: estudar e obter informações da comunidade dos atacantes.
“Marty Roesch (2003)”
9. Finalidades dos Honeypots
• Coleta de códigos maliciosos
•
Identicar varreduras e ataques automatizados
• Acompanhamento das vulnerabilidades
•
Motivação dos atacantes
•
Auxílio aos sistemas de detecção de intrusão
• Manter atacantes afastados de sistemas
importantes.
10. Honeypots
Os honeypots podem ser considerados de baixa e alta
interatividade, indo desde serviços falsos (baixa
interatividade)até máquinas com serviços reais (alta
interatividade), onde os atacantes podem obter acesso
total ao sistema.
Baixa Interatividade: Back Ofcer Friendly, Deception
Toolkit(DTK), Specter, Honeyd, Labrea, Tarpit
Alta Interatividade: UML, VMware, Mantrap, sistemas e
aplicativos reais; instalação padrão de sistemas
operacionais; artifícios de monitoração das atividades dos
atacantes.
12. Honeypots de Baixa Interatividade
Fonte: http://www.tracking-hackers.com/solutions/
Specter
Pode monitorar até quatorze portas de TCP (sete de armadilhas e sete de
serviços).
Armadilhas bloqueiam e registram as tentativas de ataques
DNS, IMAP4, SUN-RPC, SSH, SUB-7, BOK2 e genérica
As portas de serviços interagem com o invasor
FTP, TELNET, SMTP, FINGER, HTTP, NETBUS e POP3
13. Honeypots de Baixa Interatividade
Specter
Pode emular até quatorze sistemas operacionais diferentes
Windows 98, Windows NT, Windows 2000, WindowsXP,
Linux, Solaris, Tru64 (Digital Unix), NeXTStep, Irix,Unisys
Possui grande variedade de comfiguração
Características de noticação
Banco de dados dos incidentes
Facilidade no uso
15. Honeypots de Baixa Interatividade
KFSensor
Registra os logs e permite aplicar ltros
Possui simulação de NetBIOS, SMB, FTP, POP3, HTTP,
Telnet, SMTP e SOCKS
Interopera com scripts do Honeyd
Há cópias para avaliação