• No sirve para eliminar o corregir fallos de seguridad existentes.
• Si la red es vulnerable, añadir un Honeypot no resolverá esas fallas.
• Evitar que un atacante fije su interés en nuestra red.

Caracteristicas de los honeypots

• Genera un volumen pequeño de datos.
• No existen los falsos positivos.
• Necesitan recursos informáticos mínimos.
• Son elementos pasivos.
• Son fuentes potenciales de riesgo para la red.
• Usan una dirección IP como mínimo.
• Los Honeypots tienen un limitado carácter preventivo.
• Tienen un alto grado de detección por los intrusos de ahí que son conocidos como tarros de miel.
• Son programables en cuanto a la reacción contra el atacante.

Una de las cosas en las que he estado gastando mi tiempo. Los honey Pots

Hay un punto a partir del cual la getne se dedica a robarte contenido. En internet es muy complicado controlar quienes tienen tu contenido y cuando lo cogieron. Crawlers desde servidores proxy y empresas que se registran como “operadores de servicios de internet” parecen entidades limpias que no hacen mas que saquear tu base de datos. Cogen tu contenido, lo optimizan de otra forma, lo replican en diferentes lugares y te terminan de convertir a ti en el contenido duplicado al tener menos enlaces por página individual.ej Bacon polenta con Matt Cutts).

Como seo puedes localizar tu contenido, pero ponte a explicar a tu departamento legal las cosas. Imposible.

Como solución suelen establecerse puntos de control, determinados archivos colados como fichas que son “inventados” para que en el momento en el que los veas en otra página puedas demostrar que es algo tuyo. (páginas amarillas hace esto), otros se dedican a capar IP sin pensar que es bastante fácil asaltar otro proxy, otro ordenador Zombie o resetear el roter en algunos casos.

Los Honey Pots son la solución, masiva para estos temas. Son tarros de miel para que las moscas entren ahí en lugar de tu contenido.  Consiste en establecer una pauta (ip sospechosas, consultas masivas en espacio reducido de tiempo…) en España cogería los 3 principales buscadores, añadiría su IP a una White list para que no les afecte a ellos y toda consulta masiva en un espacio reducido de tiempo debería lanzar a un honey pot. Estos lugares pueden tener cualquier clase de información inutil, podrías tener fichas duplicadas, puntos de control con nombres raros o un programa de monitorización que te permita ver qué están buscando. Hasta el momento en el que no se vaya a procesar la información por parte de los ladrones de contenido no se debería ver el cambiazo y si es un proceso automático y parece verosimil tendrás un montón de miguitas de pan para localizar la empresa que está detrás de todo.

Simulas ser un sistema inseguro para poder obtener información sobre los atacantes.

Los “honeypots”, una trampa tecnológica que evitó la expansión del correo basura

Al fin parece perfilarse una solución para acabar con el molesto “correo basura” o spam, los mensajes comerciales que bombardean nuestros buzones día a día. El “pote de miel” atrapa a quienes los envían.

(Deutsche Welle , Clarín) – ¿Quién no deseó alguna vez inventar un filtro mágico para su computadora que pudiera acabar con los mensajes comerciales que invaden la intimidad del correo electrónico en la red?

Desde ofertas para comprar Viagra, alargarse miembros y acceder a páginas pornográficas gratuitas hasta anuncios inmobiliarios en algún lugar del mundo en el que nunca nos compraríamos una propiedad, o mensajes que nos avisan que hemos ganado la lotería en Timbuctú y somos nuevos millonarios. Miles de mensajes de este tipo cruzan la red a diario de una punta a la otra del globo invadiendo los buzones de usuarios que jamás los solicitaron. Pero no hay mal que dure cien años. Una empresa alemana desarrolló una trampa basada en el sistema honeypot para atrapar a los molestos insectos de la red, e intentar identificarlos.

El viejo truco de la miel da resultado. Los honeypots son programas diseñados para tentar a los piratas informáticos, pudiendo así recoger información sobre sus técnicas, y existen desde el año 2000. Aplicado a la batalla contra el spam, el pote de miel parece tener éxito. En un artículo del semanario alemán Der Spiegel, el vocero de Schlund+Partner, Michael Frenzel, explica cómo funciona el señuelo.

“Instalamos en nuestra sede de Karlsruhe un equipo de servidores conectados entre sí, que funciona como una especie de atrapamoscas”, dice Frenzel. Para el usuario, este equipo da la impresión de ser un proxy abierto, es decir, una computadora que almacena datos y los transmite a otros equipos. Dichos ordenadores informan al receptor sólo la dirección IP o protocolo de transmisión de datos por Internet, pero no la dirección de la computadora que emite dichos datos.

En Internet existen muchos de estos IP que fueron configurados con un nivel bajo de seguridad, y cuyos “agujeros” permiten a los spammers enviar sus mensajes a través de ellos. Anders Henke, de Schlund, programó una aplicación que simula uno de esos servidores proxy, pero no transporta los mensajes.

Según Frenzel, “los correos recibidos por el proxy-trampa no se envían, sino que se archivan y registran”. La empresa de Internet instaló el “atrapamoscas” para spammers en 2003, y hasta mediados de enero de 2006 llegaron más 4 mil millones de e-mails. “En un día se registró la llegada de más de 10 millones de e-mails”, dice Frenzel. “Un viernes llegaron casi 1,3 gigabytes de correo basura desde China”, cuenta.

Además de ser utilizada por Schlund+Partner para estudiar el desarrollo de mejores filtros de spam, gracias al atrapamoscas siguen cayendo spammers de todo el mundo, siempre a la búsqueda de una oportunidad anónima para diseminar su plaga de anuncios.

En casos graves se envían los datos a las autoridades competentes, como en el caso que se presentó en los tribunales de Detroit, EE.UU., en enero de este año, haciendo uso de la ley CAN-Spam, (“Controlling the Assault on Non-Solicited Pornography and Marketing Act”) vigente desde 2004. Luego de que un tribunal alemán permitiera la entrega de los datos, se transfirió gran cantidad de información a los servicios de inspección del correo postal estadounidense. De este modo se logró enganchar a un spammer de West Bloomfield, en las cercanías de Detroit, que envió al servidor de Karlsruhe más de 5 millones de mensajes no solicitados desde fines de 2003 a principios de 2004. En su gran mayoría se trataba de las típicas ofertas de operaciones para el miembro viril, o medicamentos dietéticos. A pesar de haber sido enviados desde distintas direcciones de correo, se logró identificar al acusado a través del domicilio IP.

Los mensajes del spammer de Detroit, sin embargo, siguieron invadiendo los buzones, ya que encontró otros proxys desde donde enviarlos. La comisión federal de comercio de EE.UU. informó que desde enero hasta abril de 2004 recibió más de 490.000 indicios de usuarios que se quejaban sobre mensajes basura enviados desde dicho estado.

Según un informe de la FTC de diciembre de 2005, casi dos tercios del total de e-mails siguen siendo aún correo no deseado. Sin embargo, hay indicios de que la cantidad de spam no se incrementó el año pasado. Está claro que el spam sólo podrá desaparecer de la red cuando el protocolo de correo electrónico STMP, que es abierto, se modifique introduciendo un control de la identidad del emisor.

Algunos ejemplos de Honeypots de baja interaccion.

• Specter “Intrusion Detection System”
  el Specter es un honeypot inteligente basado en sistemas de deteccion de intrusos, vulnerables y atractivos a los atacantes, este sistema proporciona servicios como PHP, SMTP,FTP, POP3, HTTP, y TELNET que atraen facilmente a los atacantes, pero en realidad son trampas que pretenden recolectar informacion.

• Honeyd el Honeyd es un honeypot que crea host virtuales en la Red. los anfitriones pueden ser configurados para ejecutar servicios arbitrarios  y su personalidad puede ser adaptado de modo que parescan estar ejecutando ciertos sistemas operativos. Honeyd mejora la seguridad Cibernetica proporcionando mecanismos para la deteccion y evaluacion.

• KFSensor el KFSensor es un honeypot  de windows basada en sistema de deteccion de intrusos (IDS), actua para atraer y detectar piratas informaticos y gusanos, vulnerables mediante la situacion de los servicios del sistema y troyanos.

• PatriotBox
  el PatriotBox usa como señuelo el sistema de deteccion de intrusos (IDS), en entornos de red empresarial de forma efectiva la deteccion temprana de las amenazas de intrusos. tambien utiliza ayuda para reducir el spam en internet ya que simula un servidor de correo de retrasmision abierta.

Algunos Honeypots de Alta interaccion.

• HoneyNet : el HoneyNet es un tipo de Honeypot de alta interaccion y esta diseñado para recopilar un alto grado de informacion sobre las amenazas a las que se ve sometida la organizacion, el Honeynet proporciona un medio real de los sitemas, aplicaciones y servicios para interactuar con los atacantes, en otras palabras un HoneyNet es un conjunto de Honeypots.

• ManTrap : puede crear “sotfware jaula”  y similar una red virtual de una maquina. para ello emula una variedad de difrentes maquinas (FTP,HTTP,SMTP,ODBC)  en una sola ManTrap de acogida. este Honeypot es configurable para alertar a una gran variedad de alertas y puede enviar correo a cualquier direccion e-mail  o un dispositivo con capacidad SNMP para alertar a los administradores  del sistema que alguien ha entrado a la “jaula”.

En las instituciones y las universidades los investigadores especializados en Honeypot han identificado tres zonas referentes para implementar los sistemas trampa.

1. Delante el Firewall

Al colocarlo delante del Firewall, hace que la seguridad de nuestra red interna no se vea comprometida en ningún momento ya que nuestro Firewall  evitara que el ataque vaya a nuestra red interna.

Las dificultades al usar este método son:

• El ancho de banda que se consumiría, ya que al estar en el exterior del Firewall no abra dificultad en acceder a él.
• A él estar fuera de nuestro Firewall, no podremos controlar los ataques internos.

Figura 1. Implementación de Honeypot delante del Firewall.

2.  Detrás del Firewall

Esta opción nos permite el control de los ataques internos y externos de cualquier tipo, el principal problema que presenta este método es que requiere una configuración específica para dejar el acceso  al Honeypot pero no a nuestra red. Lo cual provoca posibles fallos de seguridad en la filtración de tráfico.

Figura 2. Implementación de un Honeypot detrás del Firewall.

3. En una zona desmilitarizada

Al posicionarlo aquí se hace posible la separación del Honeypot de la red interna y la unión con los servidores, esta posibilidad nos permite detectar tanto ataques internos como externos con una pequeña modificación del Firewall

Figura 3. Implementación de Honeypot en una zona desmilitarizada.

En el arte de la guerra la mejor arma mas poderosa es la información, y cuanto mejor conoszas a tu enemigo, tendras mejores opciones y mayor posibilidad de vencerle, esta es la frase insignia de un conjunto de investigadores “The Honey Project” que surgio con el proposito de recoger información sobre los ataques y los atacantes que tienen como medio el internet para llevar a cabo su propositos maliciosos. 

según un informe realizado por el Computer Security Institute en el año 2006 en latinoamerica esxisten acerca de 90 millones de internautas y sin embargo la mayoria no tiene conocimiento acerca de las vulnerabilidades y riesgos con que cuentan sus equipos y mucho menos estan en conocimineto de la comunidad Black hat y se incremento en numero de ataques y se perdieron cerca de 15 millones de dolares por inyeccion de virus sin considerar perdidas causadas por otros ataques. Entonces la invitacion es para cada dia mas perfeccionar nuestros conocimientos acerca de la seguridad en nuestros dispositivos y transacciones ya que es un fenomeno demaciado explotado en la mayoria de los paises en el mundo.

Arquitectura Honeypot

Ventajas e inconvenientes.

Los Honeypots poseen un conjunto de caracteristicas que los diferencian de cualquier solucion de seguridad las ventajas que proporciona un sistema trampa son:

*Facilidad de analisis: los Honeypots recolectan pequeñas cantidades de información, es decir pequeñas cantidades de datos, pero que tiene un gran valor dentro de la seguridad de cualquier

sistema compormetido, ya que estos solo capturan trafico potencialmente dañino para el sistema.

*Nuevas Herramientas y tacticas: los Honeypots son una herramienta para la recoleccion de nuevas formas y perfiles de ataques que desarrolla la comunidad Black hat para cumplir con su objetivo que es el de penetrar los servicios informaticos de una compañía y haci generar daños a dichos servicios ofrecidos en una organización.

*Sencillez: uno de los puntos mas importantes de los sitemas trampa son su sencillez. Estas herramientas no utilizan algoritmos complicados de analisis, ni metodos rebuscados para registrar la actividad de los intrusos. Hacen todo lo contrario solo hay que isntalarlos y esperar que los chicos malos aprueben.

*Recursos: muchas herramientas de seguridad necesitan un ancho de banda y maquinas superpoderosas que se fundamentan en el analisis de toda la seguridad que se presenta en una red de una organización los Honeypots no sufren de este mal puesto que solo capturan lo que viene hacia ellos.

*Reutilizacion: la mayoria de las herramientas de seguridad necesitan estar siendo actualizadas y mantener al dia sus mecanismos de deteccion y defensa para mantener su efectividad, si no se renuevan pierden su utlidad. No obstante los sistemas trampa siempre seran de ayuda, sin importar el tiempo que pase, siempre habra intrusos dispuestos a comprometer y penetrar los servicios informaticos de cualquier organización.

*Protocolo IPv6: la mayoria de las herramientas de seguridad de la información presentan u problema y es el que no soportan el protocolo IPv6 sucesor del actual IPv4 ampliamente utilizado en internet. Este protoco esta siendo prinicipalmente utilizando los paises asiaticos como japon, pero los sitemas trampa logran identificar ataques provenientes de intrusos que utilizan este protocolo para usarlo como una ventaja de sus ataques.

Algunas de las desventajas de los Honepots son:

*Riesgo: como cualquier dispositivo de seguridad de la información, los sitemas trampa son una fuente de mucho riesgo. Y el mayor riesgo que puede presentar un sistema trampa es que el intruso se apodere de el para desde el generar daños a otros sistemas.

*Perspectiva ilimitada: basicamente los Honeypots pierden su valor si no reciben ataques. Si un atacanate logra identificar uno de estos sistemas, puede anular toda su funcionalidad y efectividad al evitarlos, consentrando sus fuerzas en realizar un ataque en otro lugar de la misma red.

Los Honeypot no son sistemas de deteccion de intrusos, pero tienen como funcion mejorar los metodos de deteccion, aportar nuevos perfiles de atacantes  y patrones de ataques. Basicamente estos sistemas estan diseñados para engañar los atacantes o intrusos. En otras palabras un Honeypot es un sistema que esta diseñado para engañar a intrusos, y asi poder estudiar sus comportamientos y aprender de sus metodos, quizas la mayor insignia es la de “conoce a tu enemigo” y asi podras combatirlo.