O que é um Honeypot e como funciona?

A Internet abriu as portas para que as organizações privadas e públicas se liguem e partilhem informações rapidamente. Este facto traz muitos benefícios, tais como melhores colaborações, melhor produtividade, comunicação mais rápida, etc. No entanto, estes benefícios acarretam alguns riscos. A sua organização pode ser vítima de piratas informáticos que conseguem contornar os métodos mais recentes de segurança cibernética

A Internet abriu as portas para que as organizações privadas e públicas se liguem e partilhem informações rapidamente. Este facto traz muitos benefícios, tais como melhores colaborações, melhor produtividade, comunicação mais rápida, etc.

No entanto, estas vantagens acarretam alguns riscos. A sua organização pode ser vítima de piratas informáticos que conseguem contornar os métodos mais recentes das soluções de segurança cibernética. Pode tentar defender-se destes hackers com software antivírus, uma firewall, uma lista de controlo de acesso (ACL) no router ou um sistema de deteção de intrusão (IDS).

Apesar dos seus melhores esforços, pode ainda ter um hacker ou um intruso a obter acesso não autorizado ao seu sistema. Os piratas informáticos têm as ferramentas mais recentes para analisar a rede em busca de vulnerabilidades e lançar um ataque diretamente contra elas, e estão sempre a aprender a contornar novos sistemas de segurança. Dito isto, existe uma forma de impedir que os hackers invadam o seu sistema. Os honeypots podem levar os hackers a acreditar que são um potencial alvo de ataque.

Os honeypots são um mecanismo de segurança para atrair atacantes e mantê-los envolvidos. Um honeypot é configurado como um chamariz para compreender o comportamento do atacante. Isto permite-lhe compreender as suas vulnerabilidades para que possa melhorar as suas políticas de segurança.

O que é um Honeypot?

Um honeypot pode ser qualquer recurso na sua organização. Pode ser software, rede, servidores, routers ou quaisquer aplicações de elevado valor que se apresentem na Internet como um sistema vulnerável que os atacantes podem visar. 

Pode criar um computador na sua rede para executar a aplicação honeypot. Este é deliberadamente apresentado como estando comprometido na rede para que os atacantes o possam explorar.

Como é que o Honeypot funciona?

O sistema de honeypot parece legítimo com aplicações e dados para fazer com que os atacantes acreditem que é um computador real na rede e caiam na armadilha que preparou.

Quando o sistema é comprometido, pode utilizar ferramentas de gestão da segurança para localizar e avaliar o comportamento do intruso. O honeypot é agora uma ferramenta que lhe fornece informações sobre as ameaças actuais. Com esta informação, obtém as pistas para construir uma melhor estrutura de segurança.

Podem ser utilizados para investigar ameaças de cibersegurança, violações e as tecnologias que os intrusos utilizam para entrar na rede. Outro benefício da implementação de um honeypot na sua rede inclui:

1. Menos falsos positivos.
2. Desviar o tráfego malicioso de sistemas valiosos na rede.
3. Obter um aviso prévio quando um sistema está a começar a ficar comprometido. 
4. Recolher informações sobre os atacantes e os seus métodos.
5. Recolha provas forenses e legais sem colocar a sua rede em risco.

É necessário garantir que os honeypots não contêm informações críticas e utilizar ferramentas de gestão de segurança para obter informações sobre o atacante, as suas ferramentas, tácticas e procedimentos.

Algumas das opções vulneráveis que qualquer intruso procuraria para invadir o sistema são:

1. Ter uma palavra-passe fraca que um intruso pode facilmente adivinhar para entrar no sistema.
2. A maioria dos intrusos visaria o sistema de faturação da empresa para encontrar os números dos cartões de crédito dos clientes.
3. Ter portas abertas que serão fáceis de localizar quando um intruso fizer um scan de portas.

Tipos de Honeypots

Existem diferentes tipos de honeypots para vários tipos de ameaças. Pode utilizar estes honeypots na sua rede para evitar que os seus sistemas sejam comprometidos. Vamos ver em pormenor cada um deles.

Armadilhas de correio eletrónico

Pode colocar armadilhas de correio eletrónico, ou armadilhas anti-spam, num local oculto que só pode ser encontrado por recolhedores automáticos de endereços. Os recolhedores de endereços automatizados procuram endereços de correio eletrónico na Internet para enviar mensagens de correio eletrónico em massa ou spam.

Para evitar mensagens de correio eletrónico não solicitado na sua rede, pode definir um endereço de correio eletrónico falso que funciona como uma armadilha de correio eletrónico. Estes endereços de correio eletrónico não têm qualquer finalidade específica para além de serem utilizados como uma armadilha de correio eletrónico ou uma armadilha de spam. Qualquer mensagem que chegue à armadilha de correio eletrónico é, muito provavelmente, spam.

Pode obter a origem do atacante que envia mensagens de spam no cabeçalho HTTP e pode bloqueá-las simplesmente incluindo os endereços IP do remetente na lista de recusas.

Base de dados de engodos

As bases de dados podem ser facilmente comprometidas e os dados podem ser roubados por injeção de SQL.

A base de dados de engodo utiliza tecnologia de engano. A vantagem de ter uma base de dados de engodo é que protege as bases de dados de ameaças desconhecidas. Um atacante atravessa a sua linha de defesa e obtém acesso a alguns dos seus dados na base de dados, mas manteria algo que não era importante para si.

Honeypot de malware

Um honeypot de malware imita um programa de software para atrair um ataque de malware. Após o ataque, os profissionais de cibersegurança podem utilizar os dados para analisar o tipo de ataque e colmatar as vulnerabilidades ou criar software anti-malware.

Por exemplo, os engenheiros de software desenvolvem um honeypot USB Ghost para emular um dispositivo de armazenamento USB. Se o seu sistema for atacado por malware que infecta unidades USB, o honeypot enganará o malware para atacar o sistema emulado.

Pote de mel de aranha

Os engenheiros de software concebem honeypots de aranhas para apanhar rastreadores ou aranhas da Web. Criam páginas Web e ligações apenas acessíveis a rastreadores automatizados. O honeypot de spider identifica estes spiders como bots maliciosos e os crawlers de redes de publicidade que atacam o seu sistema.

Os bots maliciosos estão interessados em rastrear a sua página web para recolher os backlinks e o rastreador da rede de publicidade visita o seu site para determinar o seu conteúdo e fornecer anúncios relevantes.

Honeypot de baixa interação ou de alta interação

Os honeypots de baixa interação utilizam menos recursos e recolhem informações básicas sobre o tipo de ameaça e a sua origem, não podendo repelir os atacantes durante tempo suficiente para recolher informações vitais como o seu comportamento e complexidade.

Por outro lado, os honeypots de elevada interação levam o atacante a permanecer mais tempo, fornecendo-lhe informações. Quanto mais tempo o atacante permanecer na rede, mais fácil será conhecer as suas intenções e os seus alvos. Estes honeypots de elevada interação têm características atractivas, como a base de dados, os sistemas e os procedimentos, que podem levar um atacante a permanecer na rede durante um período prolongado.

Tanto os honeypots de alta interação como os de baixa interação são úteis na cibersegurança. É preferível utilizar uma combinação de ambos os tipos de honeypots. Um honeypot de baixa interação é melhor para obter informações sobre o tipo de ataque e os honeypots de alta interação fornecem detalhes sobre as intenções do intruso e o seu método de comunicação.

As vantagens da utilização de Honeypots

Os honeypots são sistemas de engodo, pelo que não recebem qualquer tráfego. Se o fizerem, isso significa que é proveniente de um intruso. Quando detectam uma intrusão, pode procurar o seu endereço IP para saber o país de onde provém e bloqueá-lo se for spam.   

Os honeypots são recursos leves porque lidam com tráfego limitado.

Como não requerem uma versão superior do hardware, qualquer computador de baixa configuração pode ser separado para que a aplicação honeypot seja executada.

É possível utilizar armadilhas para potes de mel feitas à medida que estão disponíveis online e a implementação de uma delas eliminaria o esforço interno ou a contratação de profissionais.

As informações dos honeypots revelam como as ameaças evoluem porque fornecem detalhes sobre vectores de ataque, explorações e malware.

Os piratas informáticos mudam constantemente o seu modo de intrusão e um honeypot cibernético detecta as novas ameaças e intrusões. Os honeypots são boas ferramentas práticas para os criadores de regras de cibersegurança. Ao utilizar um honeypot, pode dar mais atenção à monitorização de ameaças do que à monitorização do tráfego normal.

Uma ameaça nem sempre é um estranho ou um intruso. Um intruso pode ter passado pela firewall ou um empregado pode ser uma ameaça ao revelar ou roubar informações confidenciais. Nesse caso, uma firewall não seria capaz de detetar essas ameaças.

Mas uma armadilha do tipo "pote de mel" pode recolher informações sobre essas vulnerabilidades colocadas pelo informador. 

A conclusão final é que quando se torna o honeypot mais atrativo para o hacker, este passa mais tempo a trabalhar nele e perde o seu tempo em vez de causar danos aos seus sistemas.

Reflexões finais

Neste post, vimos o que é um honeypot e como funciona para o proteger dos hackers. Os honeypots expõem as vulnerabilidades do sistema, que podem ser benignas ou maliciosas, mas é necessário dispor de uma solução de cibersegurança completa para resolver estes problemas e ajudá-lo a recolher informações para criar a solução adequada.

O custo de manutenção de um honeypot pode ser elevado, uma vez que requer competências especializadas e uma equipa de profissionais de cibersegurança. É necessário implementar e administrar um sistema que parece para expor os recursos de uma organização. Ainda assim, impedir que os atacantes obtenham acesso a qualquer um dos seus sistemas de produção é da maior importância.