Salve Amigos !!! Hoje venho explicar para vocês uma técnica desenvolvida, geralmente para fins de estudo, em que são simulados serviços de pouca interação. O intuito principal de um honeypot é descobrir como é feito um ataque, estudando suas técnicas e maneiras usadas pelo hacker, o que ajuda formular estratégias de prevenção mais eficientes. Atualmente, há honeypots e honeynets(redes de honeypots) por todo o mundo.
O honeypot pode ser de dois tipos: de produção e de pesquisa.
O de produção visa tentar diminuir o prejuízo causado por falha de segurança em uma empresa, adicionando valor a solução. Eles detectam atividades maliciosas e informam ao administrador da rede sobre a atividade( não impedindo que o atacante chegue à rede). Geralmente o hacker não consegue invadir o honeypot devido ao seu software que oferece baixa interatividade. O honeypot emula um serviço, um shell(no Linux) uma máquina com Windows XP, 2003, Vista e obtém informações um pouco limitadas sobre os dados trocados e também um pouquinho da interação do hacker com a máquina atacada, guardando tudo sobre o ataque e sua origem.Geralmente eles estão posicionados dentro da empresa.
O de pesquisa, é de alta interatividade, ou seja, uma maquina mal-configurada (propositalmente) que possui várias ferramentas para monitoração, para ver o que que o atacante fez para ter acesso à máquina ou à rede (seguindo-o passo a passo). Neste caso o hacker interage com o Sistema Operacional da máquina e não com um emulador. Geralmente é usado um servidor de logs, já que os logs do computador invadido podem estar comprometidos.
Essas duas soluções, ajudam a melhorar a segurança de uma rede. Para escolher um dos dois, basta saber o que você quer monitorar e descobrir sobre seu atacante.
Essas foram algumas dicas sobre esta tecnologia muito usada e talvez pouco divulgada. Para informações mais a fundo sobre esta técnica acesse http://www.honeynet.org.br.
Até o próximo post !!!
Rafael Iguatemy
Postagens
0 comentários:
Postar um comentário