«Algunas Noticias Interesantes»

Honeypots : Puntos de control

Una de las cosas en las que he estado gastando mi tiempo. Los honey Pots

Hay un punto a partir del cual la getne se dedica a robarte contenido. En internet es muy complicado controlar quienes tienen tu contenido y cuando lo cogieron. Crawlers desde servidores proxy y empresas que se registran como “operadores de servicios de internet” parecen entidades limpias que no hacen mas que saquear tu base de datos. Cogen tu contenido, lo optimizan de otra forma, lo replican en diferentes lugares y te terminan de convertir a ti en el contenido duplicado al tener menos enlaces por página individual.ej Bacon polenta con Matt Cutts).

Como seo puedes localizar tu contenido, pero ponte a explicar a tu departamento legal las cosas. Imposible.

Como solución suelen establecerse puntos de control, determinados archivos colados como fichas que son “inventados” para que en el momento en el que los veas en otra página puedas demostrar que es algo tuyo. (páginas amarillas hace esto), otros se dedican a capar IP sin pensar que es bastante fácil asaltar otro proxy, otro ordenador Zombie o resetear el roter en algunos casos.

Los Honey Pots son la solución, masiva para estos temas. Son tarros de miel para que las moscas entren ahí en lugar de tu contenido.  Consiste en establecer una pauta (ip sospechosas, consultas masivas en espacio reducido de tiempo…) en España cogería los 3 principales buscadores, añadiría su IP a una White list para que no les afecte a ellos y toda consulta masiva en un espacio reducido de tiempo debería lanzar a un honey pot. Estos lugares pueden tener cualquier clase de información inutil, podrías tener fichas duplicadas, puntos de control con nombres raros o un programa de monitorización que te permita ver qué están buscando. Hasta el momento en el que no se vaya a procesar la información por parte de los ladrones de contenido no se debería ver el cambiazo y si es un proceso automático y parece verosimil tendrás un montón de miguitas de pan para localizar la empresa que está detrás de todo.

Simulas ser un sistema inseguro para poder obtener información sobre los atacantes.

Seguir leyendo →

May 9, 2009 Posted by honeypots | Informacion | Black hat, Piratas Informaticos;proxy;direccion IP, Señuelo, Spam | Deja un comentario

Tipos De Honeypot.

La tematica Honeypot ha adquirido un valor inexplicable e inesperado dentro de la seguridad informatica y es por esto que se han desarrollado diferentes herramientas de visualizacion, analisis y acercamiento a los perfiles de los atacantes y de sus caractersiticas de ataques, es por esto que encontramos necesario conocer las diferentes herramientas de Honeypots.

Algunos ejemplos de Honeypots de baja interaccion.

• Specter «Intrusion Detection System»
  el Specter es un honeypot inteligente basado en sistemas de deteccion de intrusos, vulnerables y atractivos a los atacantes, este sistema proporciona servicios como PHP, SMTP,FTP, POP3, HTTP, y TELNET que atraen facilmente a los atacantes, pero en realidad son trampas que pretenden recolectar informacion.

• Honeyd el Honeyd es un honeypot que crea host virtuales en la Red. los anfitriones pueden ser configurados para ejecutar servicios arbitrarios  y su personalidad puede ser adaptado de modo que parescan estar ejecutando ciertos sistemas operativos. Honeyd mejora la seguridad Cibernetica proporcionando mecanismos para la deteccion y evaluacion.

• KFSensor el KFSensor es un honeypot  de windows basada en sistema de deteccion de intrusos (IDS), actua para atraer y detectar piratas informaticos y gusanos, vulnerables mediante la situacion de los servicios del sistema y troyanos.

• PatriotBox
  el PatriotBox usa como señuelo el sistema de deteccion de intrusos (IDS), en entornos de red empresarial de forma efectiva la deteccion temprana de las amenazas de intrusos. tambien utiliza ayuda para reducir el spam en internet ya que simula un servidor de correo de retrasmision abierta.

Algunos Honeypots de Alta interaccion.

• HoneyNet : el HoneyNet es un tipo de Honeypot de alta interaccion y esta diseñado para recopilar un alto grado de informacion sobre las amenazas a las que se ve sometida la organizacion, el Honeynet proporciona un medio real de los sitemas, aplicaciones y servicios para interactuar con los atacantes, en otras palabras un HoneyNet es un conjunto de Honeypots.

• ManTrap : puede crear «sotfware jaula»  y similar una red virtual de una maquina. para ello emula una variedad de difrentes maquinas (FTP,HTTP,SMTP,ODBC)  en una sola ManTrap de acogida. este Honeypot es configurable para alertar a una gran variedad de alertas y puede enviar correo a cualquier direccion e-mail  o un dispositivo con capacidad SNMP para alertar a los administradores  del sistema que alguien ha entrado a la «jaula».

May 5, 2009 Posted by honeypots | Informacion | FTP, Honeyd, HoneyNet ManTrap, Host virtuales, HTTP, IDS, KFSensor, ODBC, PatriotBox, PHP, POP3, Seguridad Cibernetica, SMTP, Specter, TELNET, tipos Honeypots | Deja un comentario

DONDE PONER LOS HONEYPOTS

En las instituciones y las universidades los investigadores especializados en Honeypot han identificado tres zonas referentes para implementar los sistemas trampa.

1. Delante el Firewall

Al colocarlo delante del Firewall, hace que la seguridad de nuestra red interna no se vea comprometida en ningún momento ya que nuestro Firewall  evitara que el ataque vaya a nuestra red interna.

Las dificultades al usar este método son:

• El ancho de banda que se consumiría, ya que al estar en el exterior del Firewall no abra dificultad en acceder a él.
• A él estar fuera de nuestro Firewall, no podremos controlar los ataques internos.

Figura 1. Implementación de Honeypot delante del Firewall.

2.  Detrás del Firewall

Esta opción nos permite el control de los ataques internos y externos de cualquier tipo, el principal problema que presenta este método es que requiere una configuración específica para dejar el acceso  al Honeypot pero no a nuestra red. Lo cual provoca posibles fallos de seguridad en la filtración de tráfico.

Figura 2. Implementación de un Honeypot detrás del Firewall.

3. En una zona desmilitarizada

Al posicionarlo aquí se hace posible la separación del Honeypot de la red interna y la unión con los servidores, esta posibilidad nos permite detectar tanto ataques internos como externos con una pequeña modificación del Firewall

Figura 3. Implementación de Honeypot en una zona desmilitarizada.

May 4, 2009 Posted by honeypots | Informacion | Deja un comentario

Introduccion Honeypot

En los ultimos años la tencnologia ha tenido un crecimiento desproporcionado y dicha tecnología que ha sido enfocada en la seguridad de las conexiones de internet, de los datos y de los servicios informaticos de las compañias, a cambiado de alguna manera u otra el diario vivir de la mayoria de las personas en el mundo, los nuevos modelos, tecnicas y herramientas enfocadas en la seguridad de las comunicaciones para contrarrestar la comunidad black hat estan generando cambios en la cotidianidad de las personas, puesto que los servicios y las aplicaciones que necesitan de un grado de confiabilidad estan mejorando obstenciblemente y con esto el acceso a actividades que anteriormente solo se realizaban personalmente por procesos y aplicaciones en el cyberspacio.

En el arte de la guerra la mejor arma mas poderosa es la información, y cuanto mejor conoszas a tu enemigo, tendras mejores opciones y mayor posibilidad de vencerle, esta es la frase insignia de un conjunto de investigadores “The Honey Project” que surgio con el proposito de recoger información sobre los ataques y los atacantes que tienen como medio el internet para llevar a cabo su propositos maliciosos. 

según un informe realizado por el Computer Security Institute en el año 2006 en latinoamerica esxisten acerca de 90 millones de internautas y sin embargo la mayoria no tiene conocimiento acerca de las vulnerabilidades y riesgos con que cuentan sus equipos y mucho menos estan en conocimineto de la comunidad Black hat y se incremento en numero de ataques y se perdieron cerca de 15 millones de dolares por inyeccion de virus sin considerar perdidas causadas por otros ataques. Entonces la invitacion es para cada dia mas perfeccionar nuestros conocimientos acerca de la seguridad en nuestros dispositivos y transacciones ya que es un fenomeno demaciado explotado en la mayoria de los paises en el mundo.

Arquitectura Honeypot

Ventajas e inconvenientes.

Los Honeypots poseen un conjunto de caracteristicas que los diferencian de cualquier solucion de seguridad las ventajas que proporciona un sistema trampa son:

*Facilidad de analisis: los Honeypots recolectan pequeñas cantidades de información, es decir pequeñas cantidades de datos, pero que tiene un gran valor dentro de la seguridad de cualquier

sistema compormetido, ya que estos solo capturan trafico potencialmente dañino para el sistema.

*Nuevas Herramientas y tacticas: los Honeypots son una herramienta para la recoleccion de nuevas formas y perfiles de ataques que desarrolla la comunidad Black hat para cumplir con su objetivo que es el de penetrar los servicios informaticos de una compañía y haci generar daños a dichos servicios ofrecidos en una organización.

*Sencillez: uno de los puntos mas importantes de los sitemas trampa son su sencillez. Estas herramientas no utilizan algoritmos complicados de analisis, ni metodos rebuscados para registrar la actividad de los intrusos. Hacen todo lo contrario solo hay que isntalarlos y esperar que los chicos malos aprueben.

*Recursos: muchas herramientas de seguridad necesitan un ancho de banda y maquinas superpoderosas que se fundamentan en el analisis de toda la seguridad que se presenta en una red de una organización los Honeypots no sufren de este mal puesto que solo capturan lo que viene hacia ellos.

*Reutilizacion: la mayoria de las herramientas de seguridad necesitan estar siendo actualizadas y mantener al dia sus mecanismos de deteccion y defensa para mantener su efectividad, si no se renuevan pierden su utlidad. No obstante los sistemas trampa siempre seran de ayuda, sin importar el tiempo que pase, siempre habra intrusos dispuestos a comprometer y penetrar los servicios informaticos de cualquier organización.

*Protocolo IPv6: la mayoria de las herramientas de seguridad de la información presentan u problema y es el que no soportan el protocolo IPv6 sucesor del actual IPv4 ampliamente utilizado en internet. Este protoco esta siendo prinicipalmente utilizando los paises asiaticos como japon, pero los sitemas trampa logran identificar ataques provenientes de intrusos que utilizan este protocolo para usarlo como una ventaja de sus ataques.

Algunas de las desventajas de los Honepots son:

*Riesgo: como cualquier dispositivo de seguridad de la información, los sitemas trampa son una fuente de mucho riesgo. Y el mayor riesgo que puede presentar un sistema trampa es que el intruso se apodere de el para desde el generar daños a otros sistemas.

*Perspectiva ilimitada: basicamente los Honeypots pierden su valor si no reciben ataques. Si un atacanate logra identificar uno de estos sistemas, puede anular toda su funcionalidad y efectividad al evitarlos, consentrando sus fuerzas en realizar un ataque en otro lugar de la misma red.

May 2, 2009 Posted by honeypots | Informacion | Deja un comentario

Que es un Honeypot?

Los Honeypot no son sistemas de deteccion de intrusos, pero tienen como funcion mejorar los metodos de deteccion, aportar nuevos perfiles de atacantes  y patrones de ataques. Basicamente estos sistemas estan diseñados para engañar los atacantes o intrusos. En otras palabras un Honeypot es un sistema que esta diseñado para engañar a intrusos, y asi poder estudiar sus comportamientos y aprender de sus metodos, quizas la mayor insignia es la de «conoce a tu enemigo» y asi podras combatirlo.

abril 28, 2009 Posted by honeypots | Informacion | 2 comentarios