Honeypots – El bote de la miel
"A un panal de rica miel dos mil moscas acudieron, que por golosas murieron, presas de patas en él. Otra dentro de un pastel enterró su golosina. Así, si bien se examina, los humanos corazones perecen en las prisiones del vicio que los domina."
Detrás de esta pequeña fábula de Samaniego, se esconde la razón de ser de uno de los recursos de seguridad más útiles y sencillos de implementar: El Honeypot.
Un Honeypot, es un servicio, elemento de red, o incluso varios de estos, que está diseñados para llamar la atención de un atacante mediante la inclusión en los mismos, de servicios vulnerables y/o ficheros falsos.
Últimamente, también estoy viendo Honeypots a nivel de aplicación web o incluso implementados a nivel de bases de datos. Por ejemplo, un comentario en el código de la página, con una pista falsa a una URL trampa o bien un usuario/password supuestamente de administración, que dirija al atacante a una aplicación en la que serán registrados sus movimientos.
Los objetivos de un Honeypot, suelen ser los de conseguir que un atacante «pique», obteniendo datos acerca de su modus operandi y de él mismo en paralelo y/o distraer su atención mientras de forma activa, le cerramos las puertas de los elementos de nuestra red verdaderamente importantes.
Un Honeypot, como comentaba anteriormente, puede ser implementado mediante un host con un sistema operativo preparado para eso con software como honeyd o labrea o simplemente compartiendo ficheros con nombres golosos (passwords.txt, contraseñas.xls, etc.) que son a su vez, monitorizados por nuestros IDS y NIDS.
Otras formas de montar un Honeypod, a mas alto nivel, es crear registros «fantasma» en la BBDD para que puedan ser detectados por el IDS o NIDS en el caso de que se produzca un acceso a los mismos. Por ejemplo, un número de la seguridad social, una cuenta bancaria, un nombre o el PAN de una tarjeta de crédito falsos.
Dado que esta técnica está cayendo un poco en deshuso, casi todos los recursos tanto de software como documentales, están un poco anticuados pero siguen en vigor, en su esencia, tanto o más que el primero día.
Recursos relacionados:
- http://www.insecure.in/honeypots.asp
- http://www.honeypots.net/honeypots/links
- http://www.citi.umich.edu/u/provos/papers/honeyd.pdf
- http://labrea.sourceforge.net/labrea-info.html
Saludos,