HoneyPots Corporativos

noviembre 18, 2008 § Deja un comentario

Todos en algún momento dado hemos escuchado la tan manida frase “la mayoría de los ataques vienen desde dentro” y, estadísticas en la mano, razón no falta para afirmar dicha frase.

Mientras que hacia el exterior las medidas de seguridad suelen rozar lo paranoico, internamente las medidas adoptadas son muy laxas y permisivas. Si el tamaño de la organización es lo suficientemente grande, es normal que cada día llegue una nueva persona, pinche su portátil y acceda a la red.

En este tipo de entornos resulta muy interesante implementar sistemas que permitan detectar en tiempo real actividades que puedan resultar dañinas.

Hoy voy a presentar un boceto de como se puede implementar un sistema HoneyPot que permita detectar actividades sospechosas que deban poner en DEFCON 3 al equipo de seguridad.

Seguir leyendo

Anuncios

¿Qué son los Honeypots?

abril 3, 2008 § Deja un comentario

“Consiste en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil, pero no imposible penetrarlo y sentarse a esperar que aparezcan los intrusos. Los honeynets (conjuntos de honeypots) dan a los crackers un gran espacio para recorrer. Presentan obstáculos que poseen el nivel de complejidad suficiente para atraerlos, pero sin irse al extremo para no desalentarlos… Ellos juegan con los archivos y conversan animadamente entre ellos sobre todo los fascinantes programas que encuentran, mientras el personal de seguridad observa con deleite cada movimiento que hacen. Francamente, siento una combinación de sentimientos con respecto a espiar a la gente, aunque no sean buenas personas”. Dan Adams.

“La típica red de ordenadores no es como una casa con ventanas, puertas y cerraduras. Es más bien como una tienda de campaña rodeada de adolescentes borrachos con cerillas encendidas.” Betty Ray.

“Ser lo que soy, no es nada sin la Seguridad… Incluso para la locura se observa un método.” W. Shakespeare.

Un Honeypot es un sistema diseñado para analizar cómo los intrusos emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del servidor). Por medio del aprendizaje de sus herramientas y métodos se puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo vigilados.

También existe el Honeynet, que es un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de atacantes y ataques.

Son sistemas que deliberadamente se decide exponerlos a ser atacados o comprometidos. Estos, no solucionan ningún problema de seguridad, son una herramienta que nos sirve para conocer las estrategias que se emplean a la hora de vulnerar un sistema. Son una herramienta muy útil a la hora de conocer de forma precisa los ataques que se realizan contra la plataforma de trabajo que hemos elegido, o bien, las plataformas configuradas de la misma forma, y que sirven para guardar todos los procesos que se están ejecutando contra o en nuestro sistema con el claro objetivo de acceder a información sensible para una organización, empresa o corporativo. Así mismo nos permiten conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos y diversos entornos y programas, las cuales aún no se encuentren debidamente documentadas.

Los cortafuegos o firewalls (sistemas o combinación de sistemas que fijan los límites entre dos o más redes y restringen la entrada y salida de la información) son parte esencial de cualquier solución de seguridad en redes y para proporcionar la máxima protección contra ataques, a la vez que permiten soportar aplicaciones innovadoras, es importante que estos equipos actúen como parte de todo un sistema integral de seguridad. En definitiva, un firewall (barrera de protección o procedimiento de seguridad que coloca un sistema de cómputo programado especialmente entre una red segura y una red insegura, pudiendo ser ésta última Internet pues es considerada siempre una zona peligrosa) es un complemento al resto de medidas corporativas que se han de tomar para garantizar la protección de la información y que han de contemplar no solo los ataques externos, sino también los internos, que puede realizar el propio personal, así como todas aquellas aplicaciones que están instaladas y que pueden tener agujeros o huecos significativos por los que se puedan colar los intrusos.

En seguridad toda medida es poca y hay que estar innovando continuamente (actualizando políticas y medios para afinar los recursos de seguridad) para no dejar huecos por donde puedan colarse los intrusos, pero como esto no siempre es evitable (la seguridad absoluta en la práctica no existe, podemos siempre irnos aproximando a ella, pero como concepto constituye un objetivo irrealizable), es como de manera obligada o natural se abre paso a todo un universo de técnicas más elaboradas e incluso ingeniosas, como es facilitar la entrada a la red pero por caminos falsos que no conducen a nada concreto o esperable para un posible atacante y que permiten al responsable de la seguridad del sistema detectar los intentos de intrusión, con lo que se está sobre aviso y es más fácil protegerse.

A estas técnicas se les conoce como honeypots o tarros de miel (y se usan para conseguir literalmente que los intrusos, atacantes o saboteadores “se engolosinen” y crean que en realidad están vulnerando todo y durante este proceso se puedan tomar medidas verdaderamente preventivas), y consisten en instalar servidores de red (comúnmente UNÍX o NT) específicamente para atraer la atención actuando como trampas, consiguiendo registrar movimientos y alertando a los administradores de la red de que se está produciendo un intento de violación, con lo cual hay tiempo de reacción para parar el ataque y obtener los datos del posible intruso. Simulan ser un elemento real de red, pero están desactivados para que no se pueda tomar su control desde el exterior, se encuentran en una zona al margen del tráfico convencional y disponen de un auténtico filtro dedicado para evitar todo el tráfico saliente en caso de que fallen o un experto (un verdadero hacker y no un atacante furtivo o novato, o un auténtico especialista formado en estos temas) consiga acercarse lo suficiente como para intentar tomar su control.

De hecho, cuando se piensa en seguridad para las redes se piensa en routers (controladores de tráfico en las redes), cortafuegos y en Sistemas de Detección de Intrusos (éstos forman parte del modelo de seguridad adoptado por una organización o empresa, sirven para detectar actividades inapropiadas, incorrectas o anómalas desde el exterior o interior de todo un sistema informático). En este contexto es como se nos presentan los Honeypots como alternativa -además de adicional- bastante útil como una medida eficaz que nos permita afinar nuestros criterios de seguridad corporativa e incluso con el tiempo poder ir contribuyendo a la evolución y desarrollo de estándares internacionales de seguridad.

En la actualidad ya se empiezan a tener investigaciones serias en este sentido (Honeynet Project), los honeypots hasta el momento solamente son algo experimental y con fines de estudio. Recalcamos también que, no podemos ser por el momento demasiado optimistas, uno de los tantos estudios –de acuerdo con Cristian Fabián A.S.S. Borghello- revela como a “un intruso le tomó menos de un minuto irrumpir en la computadora de su universidad, estuvo dentro menos de media hora y a los investigadores les tomó 34 horas descubrir todo lo que hizo” y, también se estima que “esas 34 horas de limpieza pueden costar 2000 dólares a una organización y 22000 si se debiera tratar con un consultor especializado.”

Fuente: http://www.zonavirus.com/datos/articulos/108/Qu%C3%A9_son_Honeypots.asp

¿Dónde estoy?

Actualmente estás explorando la categoría honey en Seguridad Informática.