[HACK] Trampas en la red
merce
illadeltresor at gmail.com
Tue Apr 3 15:50:54 CEST 2007
01/03/07 17:28:43
TRAMPAS EN LA RED ESPÍAN A LA DELINCUENCIA CIBERNÉTICA
Mercè Molist
Su misión es tender trampas a los salteadores, diseminando equipos
desprotegidos por Internet. Son cientos de profesionales de la
seguridad informática de todo el mundo, también España, que
participan voluntariamente en el Proyecto HoneyNet. Su éxito ha sido
tal que cada vez más empresas usan trampas parecidas para defenderse.
"TotalDark" es un travieso adolescente convencido de que hoy es su
día de suerte: husmeando por Internet, ha descubierto un equipo de
muy fácil acceso. Indaga en sus entrañas, buscando un botín y
calibrando qué usos dará a su recién descubierta Cueva de Ali Babá.
"TotalDark" no sabe que ha caído en una trampa y graban sus
movimientos, para analizarlos después.
La Internet española está minada de una cantidad indeterminada de
trampas instaladas por empresas, universidades y el Proyecto
HoneyNet España. La comunidad académica RedIRIS fue pionera en
montar una red de este tipo, a finales del año 2000, hoy
reconvertida en otros proyectos de sistemas trampa, especialmente
"Bichos" que capta el código malicioso que corre por sus redes.
El objetivo de las trampas de RedIRIS es investigar cómo se llevan a
cabo los ataques, pero también defenderse, haciendo que los señuelos
distraigan al intruso para analizar sus acciones y orquestar el
contraataque. Esta segunda razón ha hecho que cada vez más empresas
pongan trampas en sus redes: engañan a los atacantes externos e
internos, creando un laberinto de falsos caminos y sensores que los
espían.
La idea de los sistemas trampa nació con el Proyecto HoneyNet, cuyo
objetivo no es defender una red concreta sino investigar y compartir
experiencias sobre las nuevas tendencias en ataques informáticos,
difíciles de descubrir con otros métodos. Su influencia ha sido tal
que hoy en día la palabra "honeynet" (red de miel) es sinónimo de
sistema trampa.
El Proyecto HoneyNet tiene 6 señuelos en la Internet española. Pocos
aún pero suficientes para inferir que la mayoría de atacantes no son
personas sino máquinas: "Existe mucha actividad relativa a sondeos y
ataques automatizados de virus y gusanos. En esto no somos
diferentes del resto del mundo", explica Diego González, de HoneyNet
España.
Al principio, las trampas estaban abiertas a todo tipo de ataques
pero con el tiempo se han especializado. En España, las hay
dedicadas sólo al correo basura: "Distribuimos direcciones en los
foros para que las cojan los "spammers". Así sabemos el tiempo que
pasa desde que aparece la dirección en Internet hasta que el equipo
trampa recibe correo basura, o el tipo de "spam" que mandan",
explica Javier Fernández-Sanguino, miembro del grupo.
Otra trampa consiste en un ordenador conectado a Internet con un
sistema operativo configurado tal cual viene de fábrica. HoneyNet
España trabaja también en señuelos para conexiones inalámbricas o el
novedoso protocolo IPv6. A nivel internacional, la Alianza HoneyNet
investiga los cada vez más ataques contra aplicaciones web, las
intrusiones que usan Google como fuente de información y los asaltos
a ordenadores de usuarios.
HoneyNet España destaca por la sofisticación de sus trampas: "Puedes
hacer sistemas que serán comprometidos rápidamente por intentos
automatizados y otros que sólo un atacante, con cierta capacidad
técnica, podría hacerse con ellos. Nuestra investigación se ha
centrado más en esto: poner sistemas difíciles de romper", explica
Fernández-Sanguino.
Cuando un intruso cae en la trampa, afirma Raúl Siles, otro
integrante del grupo, se toman diversas medidas según el incidente:
"Notificarlo a las autoridades, avisar al proveedor de servicios o a
la empresa propietaria de la dirección IP. Muchas veces, los ataques
vienen de empresas que desconocen que sus sistemas están siendo
usados para asaltar otros equipos".
Además de las trampas diseminadas por la Internet española, el grupo
ha creado otras 17 para el Proyecto HoneyNet mundial. La razón de no
ponerlas aquí es la precariedad con que trabajan: "Disponemos de
pocos equipos físicos donde instalar los sistemas trampa, por eso
utilizamos "software" de virtualización que nos permite tener más de
una trampa en un mismo equipo físico", explican.
Siles añade: "No tenemos ayuda económica de ningún organismo, toda
la financiación y la dedicación han salido de nuestros bolsillos y
nuestro tiempo". Esto limita su infraestructura y también la
vitalidad del grupo, que ha pasado de 7 a 4 miembros desde su
fundación, en verano de 2004. "Estamos abiertos a recibir propuestas
de empresas y organismos interesados", afirman.
UNA TECNOLOGÍA QUE INTERESA A LAS EMPRESAS
El Proyecto HoneyNet se gestó en 1999 de la mano de Lance Spitzner,
con el lema: "Aprender del enemigo y compartir las lecciones
aprendidas". Hoy agrupa a 200 voluntarios de 25 países que forman la
Alianza HoneyNet, cuyos informes leen ávidamente los profesionales
de seguridad, pues vienen de fuentes de primera mano.
Pero no es sólo la información lo que ha hecho famoso al Proyecto
HoneyNet sino también un sinfín de nuevas tecnologías, desarrolladas
por sus voluntarios y usadas actualmente por todo tipo de
profesionales y empresas que quieren detectar actividades maliciosas
en sus redes y analizarlas.
Crear las trampas no es fácil, explica Carles Fragoso, de HoneyNet
España: "Exige el máximo de creatividad y técnica, pues requiere un
amplio dominio en los ámbitos de protección, detección y respuesta".
El señuelo debe parecer vulnerable, pero es sólo un disfraz: tiene
sensores que capturan todo tipo de datos sobre las técnicas del
atacante.
Además, cuenta con sistemas de control para evitar que los
asaltantes envíen virus, correo basura o ataquen otras máquinas
desde la trampa. Con esta intención se creó la conocida herramienta
"HoneyWall" (muro de miel), un cortafuegos al revés: mientras los
convencionales protegen un equipo de los ataques procedentes de
Internet, "HoneyWall" protege a Internet de los ataques que puedan
venir de los sistemas trampa.
Proyecto HoneyNet España
http://www.honeynet.org.es/es
Antigua red de máquinas trampa de RedIRIS
https://www.rediris.es/cert/ped
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provided this notice is preserved.
More information about the hacking
mailing list