[HACK] More honeypots
merce at grn.es
merce at grn.es
Thu Feb 12 11:27:42 CET 2004
16:40 22/01/04
CRECE EL USO DE ORDENADORES TRAMPA PARA ESPIAR A LOS INTRUSOS
INFORMÁTICOS
Su propósito es la defensa e investigación en seguridad
Mercè Molist
En los últimos 18 meses, han aumentado de forma destacada las
tecnologías para crear "honeypots" (máquinas trampa o, literalmente,
tarros de miel), según informa "SecurityFocus". Son ordenadores que
los investigadores conectan a Internet, expresamente sin proteger,
para que atraigan a los intrusos y poder monitorizar sus movimentos,
con el fin de estudiar sus herramientas y formas de ataque.
Los "honeypots" se basan en una vieja táctica de seguridad informática
que consiste en no desconectar un ordenador que ha sido atacado, a la
espera de que el intruso vuelva otra vez y espiar sus pasos. Cliff
Stoll relata en "El huevo del cuco", publicado en 1989, como usó esta
técnica para descubrir a un grupo de alemanes que robaba secretos de
ordenadores militares norteamericanos y los vendía al KGB. La vieja
técnica se redefinía a partir del año 2000, con la aparición del
proyecto "Honeynet": un red permanente de máquinas trampa coordinada
por voluntarios.
Actualmente, hay un buen número de soluciones para crear "honeypots":
comerciales, como KFSensor, y libres, como Honeyd y Honeynets. Un
sistema trampa es, básicamente, un equipo aislado, conectado a la red,
con algunas puertas abiertas a sabiendas, para atraer a los intrusos y
estudiar su forma de actuación, a fin de detectar nuevas tendencias en
los ataques. Recientemente, Rediris convocaba un reto de análisis
forense que consistía en diseccionar uno de estos ordenadores trampa.
Rediris cuenta, desde 2001, con un proyecto aún incipiente de red de
máquinas trampa, donde participa Francisco Monserrat, de IRIS-CERT:
"Para montar una buena red hacen falta máquinas, tiempo para analizar
los resultados y cómo aplicarlos. Una máquina trampa no tiene mucho
sentido para un usuario o una empresa pequeña, ya que por ahora no van
a tener ataques en su contra sinó ataques aleatorios, dirigidos a
cualquiera que tenga funcionando el programa que emplea una
vulnerabilidad".
Pero, en redes grandes y grupos de seguridad, estas trampas son
útiles, dice Monserrat, "para analizar si un determinado problema de
seguridad en un programa de uso común es muy atacado y así avisar a
los usuarios, o como señuelo, dejando la máquina protegida ante
ataques externos per no ante los ataques desde dentro de la
organización. Además, sirven como laboratorio en el que probar
nuestros conocimientos de análisis forense digital, para después
aplicarlos en situaciones reales".
Un riesgo importante es que, una vez comprometida la máquina, los
intrusos la usen para atacar a otras. Según Monserrat, puede evitarse:
"Hay métodos como limitar el tráfico que puede salir del equipo o
instalar detectores que avisan cuando el intruso empieza a lanzar
ataques y los cortan. Otras máquinas trampa se bloquean cuando el
atacante intenta ejecutar determinadas operaciones. Adicionalmente,
todo el tráfico con destino y origen a esta máquina es monitorizado,
por lo que se puede seguir el rastro del atacante".
El interés por los "honeypots" es tal que la policía británica ha
puesto en marcha uno específico para pedófilos. Pero, según Monserrat,
también tienen inconvenientes: "Requieren una monitorización
exhaustiva y sólo permiten capturar ataques aleatorios". Lance
Spitzner, del proyecto Honeynet, explica que otro peligro creciente
radica en que se descubra que es una trampa: "Mientras crece el uso de
"honeypots", hemos empezado a ver nuevas herramientas y técnicas para
detectarlos. Un ejemplo es el programa comercial "Honeypot Hunter",
usado por la industria del correo basura para identificar "honeypots"
especializados en pescar "spam"".
Red de máquinas trampa de Rediris
http://www.rediris.es/cert/ped
Reto de análisis forense
http://www.rediris.es/cert/ped/reto
Honeynet
http://www.honeynet.org
Honeypots. Definitions and Value
http://www.tracking-hackers.com/papers/honeypots.html
Problems and Challenges with Honeypots
http://www.securityfocus.com/infocus/1757
Copyright (C) 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.
More information about the hacking
mailing list