[HACK] More honeypots

merce at grn.es merce at grn.es
Thu Feb 12 11:27:42 CET 2004 

16:40 22/01/04


CRECE  EL  USO  DE  ORDENADORES  TRAMPA  PARA  ESPIAR  A  LOS INTRUSOS
INFORMÁTICOS

Su propósito es la defensa e investigación en seguridad 

Mercè Molist
En  los  últimos  18  meses,  han  aumentado  de  forma  destacada las
tecnologías  para  crear "honeypots" (máquinas trampa o, literalmente,
tarros  de  miel),  según informa "SecurityFocus". Son ordenadores que
los  investigadores  conectan  a  Internet, expresamente sin proteger,
para  que  atraigan a los intrusos y poder monitorizar sus movimentos,
con el fin de estudiar sus herramientas y formas de ataque.

Los "honeypots" se basan en una vieja táctica de seguridad informática
que  consiste en no desconectar un ordenador que ha sido atacado, a la
espera  de  que  el  intruso vuelva otra vez y espiar sus pasos. Cliff
Stoll  relata en "El huevo del cuco", publicado en 1989, como usó esta
técnica  para  descubrir a un grupo de alemanes que robaba secretos de
ordenadores  militares  norteamericanos  y los vendía al KGB. La vieja
técnica  se  redefinía  a  partir  del  año 2000, con la aparición del
proyecto  "Honeynet":  un red permanente de máquinas trampa coordinada
por voluntarios.

Actualmente,  hay un buen número de soluciones para crear "honeypots":
comerciales,  como  KFSensor,  y  libres,  como Honeyd y Honeynets. Un
sistema trampa es, básicamente, un equipo aislado, conectado a la red,
con algunas puertas abiertas a sabiendas, para atraer a los intrusos y
estudiar su forma de actuación, a fin de detectar nuevas tendencias en
los  ataques.  Recientemente,  Rediris  convocaba  un reto de análisis
forense que consistía en diseccionar uno de estos ordenadores trampa.

Rediris  cuenta,  desde 2001, con un proyecto aún incipiente de red de
máquinas  trampa,  donde  participa Francisco Monserrat, de IRIS-CERT:
"Para  montar una buena red hacen falta máquinas, tiempo para analizar
los  resultados  y  cómo aplicarlos. Una máquina trampa no tiene mucho
sentido para un usuario o una empresa pequeña, ya que por ahora no van
a  tener  ataques  en  su  contra sinó ataques aleatorios, dirigidos a
cualquiera   que   tenga   funcionando  el  programa  que  emplea  una
vulnerabilidad".

Pero,  en  redes  grandes  y  grupos  de  seguridad, estas trampas son
útiles,  dice  Monserrat, "para analizar si un determinado problema de
seguridad  en  un  programa de uso común es muy atacado y así avisar a
los  usuarios,  o  como  señuelo,  dejando  la  máquina protegida ante
ataques   externos  per  no  ante  los  ataques  desde  dentro  de  la
organización.  Además,  sirven  como  laboratorio  en  el  que  probar
nuestros  conocimientos  de  análisis  forense  digital,  para después
aplicarlos en situaciones reales".

Un  riesgo  importante  es  que,  una vez comprometida la máquina, los
intrusos la usen para atacar a otras. Según Monserrat, puede evitarse:
"Hay  métodos  como  limitar  el  tráfico que puede salir del equipo o
instalar  detectores  que  avisan  cuando  el intruso empieza a lanzar
ataques  y  los  cortan.  Otras  máquinas trampa se bloquean cuando el
atacante  intenta  ejecutar  determinadas operaciones. Adicionalmente,
todo  el  tráfico con destino y origen a esta máquina es monitorizado,
por lo que se puede seguir el rastro del atacante".

El  interés  por  los  "honeypots"  es tal que la policía británica ha
puesto en marcha uno específico para pedófilos. Pero, según Monserrat,
también   tienen   inconvenientes:   "Requieren   una   monitorización
exhaustiva   y  sólo  permiten  capturar  ataques  aleatorios".  Lance
Spitzner,  del  proyecto  Honeynet, explica que otro peligro creciente
radica en que se descubra que es una trampa: "Mientras crece el uso de
"honeypots",  hemos empezado a ver nuevas herramientas y técnicas para
detectarlos.  Un  ejemplo  es el programa comercial "Honeypot Hunter",
usado  por la industria del correo basura para identificar "honeypots"
especializados en pescar "spam"".


Red de máquinas trampa de Rediris
http://www.rediris.es/cert/ped
Reto de análisis forense
http://www.rediris.es/cert/ped/reto
Honeynet
http://www.honeynet.org
Honeypots. Definitions and Value
http://www.tracking-hackers.com/papers/honeypots.html
Problems and Challenges with Honeypots
http://www.securityfocus.com/infocus/1757




Copyright (C) 2004 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.

More information about the hacking mailing list