Honeypots: las mieles de la seguridad IT y de la defensa contra el cibercrimen

Publicado en Artículos, Seguridad,


Tweet about this on Twitter2Share on Google+2Share on Facebook0Share on LinkedIn0

Aunque quizá la gran mayoría de ustedes están familiarizados con el concepto, no está por demás una breve explicación para entrar en contexto.

El término honeypot (tarro de miel) fue acuñado durante la Guerra Fría para designar una técnica de espionaje y hasta comienzos de la década de los 90 no comienza a utilizarse en el campo de la seguridad de la información. En 1997 aparece The Deception Toolkit, una colección de scripts en Perl para sistemas UNIX que emula varias vulnerabilidades entonces conocidas. En Seguridad Informática un honeypot es un recurso que no se ha diseñado para recibir tráfico legítimo, sino para aparentar servicios, sistemas operativos o incluso redes enteras, que puedan resultar atractivos para un eventual atacante y que presenten vulnerabilidades fáciles de explotar, alejando al intruso de los recursos reales a la vez que monitorizan todo esa actividad malintencionada.

Pues bien, el Honeypot básicamente es un conjunto de hardware y software cuya finalidad es simular o construir sistemas vulnerables (inseguros) y propensos a ser atacados. Partiendo de esta definición comenzaremos a dar un poco de mayor claridad a la misma, ya que la anterior engloba de manera general los dos tipos de honeypot más comunes en el ambiente.

El primero consiste en simular equipos o sistemas vulnerables. Cuando nos referimos a equipos estamos considerando todo el hardware de una infraestructura de IT (routers, switches, etcétera) y cuando nos referimos a sistemas, consideramos todas aquellas aplicaciones o servicios que corren sobre esa infraestructura de hardware.

Este tipo de Honeypot pretenden actuar como una pieza de hardware, servicios o aplicaciones que realmente no tenemos instalados en el equipo que está realizando la función de Honeypot. Es decir, únicamente simulamos tener los puertos abiertos o servicios que un atacante espera encontrar sin que estos necesariamente estén configurados realmente.

Para explicar un poco mejor este punto imaginemos el siguiente escenario:

Supongamos que queremos simular un servicio FTP. Para esto lo único que tendríamos que hacer sería utilizar el comando net cat para que escuchara sobre el puerto 21 y que cuando este recibiera una conexión ejecutara un script, que desplegara el contenido del banner del servicio FTP, así como la palabra usuario y realizara una pausa hasta que recibiera como parámetro el código generado por la tecla Enter; posterior a eso desplegara en una nueva línea la palabra contraseña, esperara de nuevo el golpe de la tecla Enter y finalmente desplegara un mensaje de usuario o contraseña incorrecta.

Con esta acción estaríamos simulando un servicio de FTP, que en realidad no existe, con el único objetivo de recolectar todos aquellos usuarios y/o passwords que alguien ingresara.

Esta es un forma bastante sencilla de realizar una simulación pero espero les haya servido para comprender un poco más aquellos sistemas Honeypot basados en simulación de servicios o aplicaciones.

Por otro lado, tenemos los Honeypot que son construidos con servicios vulnerables reales, ya que un atacante más experimentado, seguramente analizando el tráfico de red, se daría cuenta que están simulando un servicio y no gastaría su tiempo en intentar vulnerar algo que no es vulnerable. En especial a sabiendas de que muchos de estos panales de miel virtuales son comúnmente utilizados por autoridades como el FBI o la Interpol, e incluso por firmas de seguridad IT.

Para la construcción de este tipo de Honeypots generalmente suelen utilizarse equipos con configuraciones débiles de seguridad, faltos de alguno que otro parche para el sistema operativo y que de preferencia no existan exploits (programas que saquen provecho de la vulnerabilidad) liberados. Esto permite entender a los administradores de seguridad cómo un atacante intentaría vulnerar los sistemas expuestos sin necesidad de exponer un sistema productivo.

Por lo general, estas implementaciones se realizan en una DMZ (zona desmilitarizada) aislada puesto que un atacante pudiera tener éxito y comprometer el sistema Honeypot, pero al estar aislado de la red principal no podría comprometer otros sistemas de la red a partir de éste.

También existen los Honeynet, que son un conjunto de Honeypots, así abarca más información para su estudio. Incluso hace más fascinante el ataque al intruso, lo cual incrementa el número de ataques. La función principal a parte de la de estudiar las herramientas de ataque, es la de desviar la atención del atacante de la red real del sistema y la de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples aplicaciones que tiene es la de poder formar perfiles de atacantes y ataques.

¿Para qué me sirve un HoneyPot?

Su objetivo real es poder analizar las técnicas empleadas por los cibercriminales, hacktivistas y hackers más gris oscuro que blancos durante una intrusión. Un Honeypot puede ser de mucho valor para una organización sobre todo si esta última maneja información que pudiera ser redituable en términos económicos por los atacantes.

La construcción en sí misma, del Honeypot, es un ejercicio que involucra tener conocimientos profundos sobre la arquitectura y los servicios o aplicaciones de la organización, ya que no se puede pretender construir uno si no se tiene claro cómo operan tanto la arquitectura como las distintas aplicaciones y servicios proporcionados. De tal forma que la identificación y el entendimiento de estos componentes ya es de gran valor para la organización, independientemente si cuando éste (Honeypot) se exponga sea atacado o no.

Como dicen por ahí… no podemos resolver un problema si antes no entendemos qué esta ocasionado el problema, situación que muchas veces no es clara dentro de las organizaciones y esto afecta directamente al proceso de respuesta a incidentes de una organización (en caso de que exista).

Otro beneficio indirecto es el análisis, ya que no es lo mismo responder a un incidente de seguridad de la información con la presión del director de IT encima, a resolver el mismo incidente basado en las acciones correctivas identificadas durante una intrusión del mismo tipo o similar ocurrida tiempo atrás en un Honeypot.

Como ven, el mundo de los Honeypots es bastante interesante ya que para poder implementar uno de manera efectiva debemos de conocer cómo funciona cada uno de los sistemas o servicios que queremos analizar lo que inevitablemente conlleva a tener un conocimiento actualizado de las técnicas de ataque y las herramientas disponibles.

Herramientas

En este artículo que comparto, desde bSecure nos hablan de la distribución Linux PHLAK que es, a grandes rasgos una distro de Linux orientada a realizar pruebas de seguridad.

PHLAK, o Professional Hackers Linux Assault Kit, fue una distribución pionera en cuanto a las distribuciones orientadas a realizar pruebas de seguridad a infraestructura o componentes de tecnologías de información. Su modo de ejecución LiveCD permitía al usuario final adentrarse al mundo de estar herramientas sin necesidad de tener conocimientos previos de como instalar un sistema operativo Linux o estarse rompiendo la cabeza en cómo configurar el servidor X para poder ejecutar la interfaz gráfica.

En resumen, para todos aquellos que están interesados en el pentesting y sus herramientas les recomiendo encarecidamente iniciar con esta distribución, la cual aún está disponible para su descarga desde el sitio de http://sourceforge.net

Basado en Morphix, PHLAK tiene dos interfaces gráficas para modo X Fluxbox y XFCE4. Se trata de una poderoza herramienta para que los administradores de red busquen errores de seguridad o algún posible intruso. PHLAK nos brinda diferentes herramientas, entre ellas nmap, nessus, snort, etc.

No olvidemos otras herramientas como Backtrack, pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.

Más información en:


Fuentes consultadas: bSecure | Wikipedia | PHLAK

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 6 + 6 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos