|
¿QUE SON LOS HONEYPOTS? - Octubre 2002 |
|
|
|
“Ser
lo que soy, no es nada sin la Seguridad... Incluso para la locura se observa
un método.” W. Shakespeare. “La
típica red de ordenadores no es como una casa con ventanas, puertas y
cerraduras. Es más bien como una tienda de campaña rodeada de adolescentes
borrachos con cerillas encendidas.” Betty Ray.
“Consiste
en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil,
pero no imposible penetrarlo y sentarse a esperar que aparezcan los
hackers. Los honeynets (conjuntos de honeypots) dan a los hackers un gran
espacio para recorrer. Presentan obstáculos que poseen el nivel de
complejidad suficiente para atraerlos, pero sin irse al extremo para no
desalentarlos... Ellos juegan con los archivos y conversan animadamente
entre ellos sobre todo los fascinantes programas que encuentran, mientras el
personal de seguridad informática observa con deleite cada movimiento que hacen.
Francamente, siento una combinación de sentimientos con respecto a espiar a
la gente, aunque no sean buenas personas”. Dan Adams. Un
Honeypot es un sistema diseñado para analizar cómo los hackers emplean
sus armas para intentar entrar en un sistema (analizan las vulnerabilidades)
y alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo
borrando el disco duro del servidor). Por medio del aprendizaje de sus
herramientas y métodos se puede, entonces, proteger mejor los sistemas.
Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar
al intruso o aprender cómo actúan sin que ellos sepan que están siendo
vigilados. También
existe el Honeynet, que es un conjunto de Honeypots,
así abarca más información para su estudio. Incluso hace más
fascinante el ataque al intruso, lo cual incrementa el número de ataques.
La función principal a parte de la de estudiar las herramientas de ataque,
es la de desviar la atención del atacante de la red real del sistema y la
de capturar nuevos virus o gusanos para su posterior estudio. Una de las múltiples
aplicaciones que tiene es la de poder formar perfiles de atacantes y
ataques. Son
sistemas que deliberadamente se decide exponerlos a ser atacados o
comprometidos. Estos, no solucionan ningún problema de seguridad, son una
herramienta que nos sirve para conocer las estrategias que se emplean a la
hora de vulnerar un sistema. Son una herramienta muy útil a la hora de
conocer de forma precisa los ataques que se realizan contra la plataforma de
trabajo que hemos elegido, o bien, las plataformas configuradas de la misma
forma, y que sirven para guardar todos los procesos que se están ejecutando
contra o en nuestro sistema con el claro objetivo de acceder a información
sensible para una organización, empresa o corporativo. Así mismo nos
permiten conocer nuevas vulnerabilidades y riesgos de los distintos sistemas
operativos y diversos entornos y programas, las cuales aún no se encuentren
debidamente documentadas. Los
cortafuegos o firewalls (sistemas o combinación de sistemas que fijan los límites
entre dos o más redes y restringen la entrada y salida de la información) son parte esencial de cualquier solución de seguridad en redes y para
proporcionar la máxima protección contra ataques, a la vez que permiten
soportar aplicaciones innovadoras, es importante que estos equipos actúen
como parte de todo un sistema integral de seguridad informática. En definitiva, un
firewall (barrera de protección o procedimiento de seguridad que coloca un
sistema de cómputo programado especialmente entre una red segura y una red
insegura, pudiendo ser ésta última Internet pues es considerada siempre
una zona peligrosa) es un complemento al resto de medidas corporativas que
se han de tomar para garantizar la protección de la información y que han
de contemplar no solo los ataques externos, sino también los internos, que
puede realizar el propio personal, así como todas aquellas aplicaciones que
están instaladas y que pueden tener agujeros o huecos significativos por
los que se puedan colar los intrusos. En
seguridad toda medida es poca y hay que estar innovando continuamente
(actualizando políticas y medios para afinar los recursos de seguridad)
para no dejar huecos por donde puedan colarse los intrusos, pero como esto
no siempre es evitable (la seguridad absoluta en la práctica no existe,
podemos siempre irnos aproximando a ella, pero como concepto constituye un
objetivo irrealizable), es como de manera obligada o natural se abre paso a
todo un universo de técnicas más
elaboradas e incluso ingeniosas, como es facilitar la entrada a la red pero
por caminos falsos que no conducen a nada concreto o esperable para un
posible atacante y que permiten al responsable de la seguridad del sistema
detectar los intentos de intrusión, con lo que se está sobre aviso y es más
fácil protegerse. A
estas técnicas se les conoce como “honeypots” o tarros de miel (y se
usan para conseguir literalmente que los hackers, atacantes o saboteadores
“se engolosinen” y crean que en realidad están vulnerando todo y
durante este proceso se puedan tomar medidas verdaderamente preventivas), y
consisten en instalar servidores de red (comúnmente UNÍX o NT) específicamente
para atraer la atención actuando como trampas, consiguiendo registrar
movimientos y alertando a los administradores de la red de que se está
produciendo un intento de violación, con lo cual hay tiempo de reacción
para parar el ataque y obtener los datos del posible intruso. Simulan ser un
elemento real de red, pero están desactivados para que no se pueda tomar su
control desde el exterior, se encuentran en una zona al margen del tráfico
convencional y disponen de un auténtico filtro dedicado para evitar todo el
tráfico saliente en caso de que fallen o un experto (un verdadero hacker y
no un atacante furtivo o novato, o un auténtico especialista formado en
estos temas) consiga acercarse lo suficiente como para intentar tomar su
control. De
hecho, cuando se piensa en seguridad para las redes se piensa en routers (controladores de tráfico en las redes), cortafuegos y en Sistemas de
Detección de Intrusos (éstos forman parte del modelo de seguridad adoptado
por una organización o empresa, sirven para detectar actividades
inapropiadas, incorrectas o anómalas desde el exterior o interior de todo
un sistema informático). En este contexto es como se nos presentan los
Honeypots como alternativa -además de adicional- bastante útil como una
medida eficaz que nos permita afinar nuestros criterios de seguridad
corporativa e incluso con el tiempo poder ir contribuyendo a la evolución y
desarrollo de estándares internacionales de seguridad de redes. En
la actualidad ya se empiezan a tener investigaciones serias en este sentido
(Honeynet Project), los honeypots hasta el momento solamente son algo
experimental y con fines de estudio. Recalcamos también que, no podemos ser
por el momento demasiado optimistas, uno de los tantos estudios –de
acuerdo con Cristian Fabián A.S.S. Borghello- revela como a “un intruso
le tomó menos de un minuto irrumpir en la computadora de su universidad,
estuvo dentro menos de media hora y a los investigadores les tomó 34 horas
descubrir todo lo que hizo” y, también se estima que “esas 34 horas de
limpieza pueden costar 2000 dólares a una organización y 22000 si se
debiera tratar con un consultor especializado.”
Arnoldo
Moreno Pérez |
