IMPLEMENTAO DE HONEYPOT DE BAIXA INTERATIVIDADE: COLETA DE INFORMAES EM TENTATIVAS DE INVASO.

Eduardo Henrique de Freitas Antonio1 Vinicius Godoy Marques2 Eduardo Alves Moraes3

RESUMO Este artigo cientifico apresenta os resultados da implantao de uma ferramenta Honeypot de baixa interatividade denominada Honeyd Kippo, dentre esses resultados se encontram o endereo IP, a cidade, a regio, o pas, a latitude e longitude e at mesmo o hostname dos invasores onde pode-se identificar o provedor referente ao seu endereo IP. A ferramenta gera grficos intuitivos e de fcil anlise, se tornando um grande aliado ao administrador de redes para o monitoramento das invases. Com a implantao dessa ferramenta a segurana da informao no ocupa mais somente o mbito defensivo, como tambm o mbito ofensivo. Palavras-Chave: Honeypot, Honeyd, Kippo, Segurana Ofensiva. ABSTRACT This article scientific presents the results of the implementation of a tool for low-interaction honeypot called Honeyd Kippo, these results are the IP address, city, region, country, latitude and longitude and even the hostname of invaders can to identify the provider regarding your IP address. The tool generates intuitive graphics and easy to analyze, becoming a great ally to the network administrator to monitor the invasions. With the implementation of this tool information security no longer occupies the defense context, but the offensive context. Keywords: Honeypot, Honeyd, Kippo, Offensive Security. INTRODUO O momento quando os administradores de rede passaram a se preocupar com a segurana das informaes que trafegam nas redes das organizaes, foi de extrema importncia para que os Sistemas de Gesto de Segurana da Informao passassem a serem capazes de recolher dados dos intrusos a fim de levantar os perfis dos maliciosos, possibilitando identificar as formas de ataque, os tipos de ataques, s ferramentas e mtodos utilizados para invaso e a motivao que levam esses atacantes a praticar esses atos. Tendo como finalidade aprimorar os mtodos de deteco de intrusos sempre focando nas maiores ameaas e nos principais
Aluno do curso de Segurana da Informao FATEC Campus Ourinhos/SP. E-mail: eduardo@stxsolucoes.com.br. 2 Aluno do curso de Segurana da Informao FATEC Campus Ourinhos/SP. E-mail: vinicius.godoy.marques@hotmail.com. 3 Professor Orientador: Esp. Eduardo Alves Moraes - FATEC Campus Ourinhos/SP. E-mail: eduardo.moraes1@fatec.sp.gov.br.
1

riscos. Mtodos de deteco de intrusos so tcnicas denominadas in vivo que podem ser completamente eficientes. Os Honeypots de uma maneira geral podem resolver o problema de levantamento de informaes de intrusos dentro das organizaes, criando um ambiente de coleta bem fundamentado, com a finalidade de transferir o trfego malicioso para fora da rede funcional e at mesmo servir como banco de dados de possveis ameaas que ocorrem com maior frequncia para que haja um redirecionamento dos investimentos em reparaes de segurana, com isso tendo um sistema de preveno de incidentes em constante crescimento. Objetivo Demonstrar resultados decorrentes da implantao da ferramenta honeypot com foco na soluo de problemas de monitoramento, levantamento do perfil e da motivao que faz com que os atacantes explorem as vulnerabilidades nas organizaes e at mesmo nos governos, realizar uma analogia a ferramenta honeypot, descrevendo a importncia da mesma para as organizaes, j que, em sua essncia capaz de fornecer uma nova camada de segurana para os administradores. Aps a analogia sobre honeypot pretende abordar a sua transio de segurana defensiva para segurana ofensiva. Sero ainda demonstrados resultados dos testes realizados com a ferramenta honeyd kippo, uma ferramenta altamente indicada e conceituada que emula um honeypot de baixa interatividade. Justificativa A relevncia desse trabalho se encontra em demonstrar que com a utilizao da ferramenta baseada na metodologia de honeypot pode-se obter funcionalidades preponderantes na obteno de informaes sobre usurios mal-intencionados na rede de produo de alguma instituio. Reviso Bibliogrfica uma ferramenta onde pode-se criar de forma real ou virtual uma estrutura com recurso computacional, como meio de segurana, com o objetivo de fornecer um ambiente onde os atacantes possam explorar as vulnerabilidades para que seja possvel a coleta das informaes como as ferramentas, o modo de agir, a motivao que levam os mesmos a persistir no ataque. Conforme apontado por Marcelo e Pitanga (2003), honeypots so basicamente ferramentas de monitoramento de ataques, armazenando as informaes importantes como uma base de dados para que seja possvel criar mtodos para preveno como medida de segurana. Os honeypots no podem ser considerados como a nica ferramenta para a segurana de um ambiente tecnolgico, mas sim como uma das ferramentas que auxiliar para tornar um ambiente mais protegido, juntamente com firewalls, IDS, IPS, uma estrutura de rede bem elaborada com segregao dos servios mais crticos e uma poltica de segurana da informao. A classificao do honeypot feita em seu nvel de interatividade, sendo elas a de baixa e de alta interao. Honeypot de alta interao conhecido por no emular sistemas, projetado para funcionar em uma estrutura computacional real de produo com sistemas, equipamentos de rede, varias plataformas como Linux e Windows. Sua caracterstica a maior quantidade de informaes captadas. complexa tanto na instalao, manuteno quanto na analise das informaes e tem uma maior probabilidade das ameaas comprometerem o sistema de informao.

Em um honeypot de baixa interatividade as ferramentas instaladas emulam todo o ambiente desde os sistemas operacionais, servios com os quais os atacantes iro interagir e os equipamentos. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento. (CERT.BR, 2007). Com isso a segurana defensiva que aguarda os ataques explorarem as vulnerabilidades passa a ser ofensiva, onde se busca o conhecimento pelos ataques. (ENDLER, 2012). METODOLOGIA Na construo desse artigo cientifico foram utilizados livros, artigos publicados na internet, para a construo do trabalho de forma terica e tambm para a instalao e configurao da ferramenta open source honeyd kippo. Foram realizadas a instalao e configurao inicial do Honeyd kippo por meio de uma interface em modo texto onde se descrever os comandos a serem utilizados para a definio do sistema a ser utilizado, na atribuio do endereamento IP e os servios que estaro disponveis. Com todo o ambiente j instalado e configurado atendendo as necessidades escolhidas, foi realizada a etapa de tentativas de invaso disponvel na internet para a coleta dos dados a serem analisados. Aps esse procedimento j possvel verificar os registros de logs para uma visualizao mais detalhada das ocorrncias. RESULTADOS E DISCUSSES Com a ferramenta honeyd kippo j implementada e disponvel na internet para toda a sociedade tentar invadir por meio do protocolo SSH obteve-se os seguintes resultados.

Figura 1: Detalhamento dos IPs invasores.

Conforme a figura acima pode-se verificar os 10 ips que tentaram invadir o servidor por ssh, com sua localizao e a descrio do host do provedor, sendo eles cabonet, Telesp, vivowap, entre outros. A ferramenta tambm gerou os grficos com a quantidade de acesso que cada ip fez ao servidor sendo os maiores 6 tentativas e o menor 1 tentativa conforme os grficos abaixo.

Grfico 1: Porcentagem dos ataques por IP.

Grfico 2: Quantidade de ataques por IP.

O honeyd kippo tambm gera um mapa com a localizao dos IPs e ao ser clicado nos pontos vermelho ou azuis no mapa pode-se ter um detalhamento do IP, demostrado na imagem seguinte.

Figura 2: Localizao dos IPs.

CONCLUSES Com a utilizao da ferramenta honeyd kippo os administradores de redes e gestores de segurana da informao podem identificar exatamente o ip e a localizao de seus atacantes e combate-las rapidamente sem que a estrutura computacional sofra algum tipo de dano, com isso pode-se bloquear os ips suspeitos mitigando assim os possveis riscos, desta forma a segurana no passa a ser mais defensiva, mas sim ofensiva. REFERENCIAS MARCELO, A.; PITANGA, M. Honeypots - a arte de iludir hackers. Rio de Janeiro, 2003. CERT.BR. Grupo de Resposta a Incidentes de Segurana para a Internet brasileira. Cartilha de Segurana CERT. 2007. Disponvel em: <http://www.cert.br/docs/whitepapers/honeypots-honeynets/>. Acessado em: 09 out. de 2013. ENDLER, Michael. 2013: segurana da informao deve ser ofensiva. 2012, Disponvel em: <http://informationweek.itweb.com.br/11245/2013-seguranca-da-informacao-deve-serofensiva/>, Acessado em: 12 out. 2013.