O que é um Honeypot?

Se você conectar um computador à Internet aberta sem qualquer tipo de filtro de tráfego de entrada, ele normalmente começará a receber tráfego de ataque em minutos. Essa é a escala de ataques automatizados e varreduras que acontecem constantemente na Internet. A grande maioria desse tipo de tráfego é totalmente automatizada. São apenas bots escaneando a Internet e talvez tentando algumas cargas aleatórias para ver se eles fazem algo interessante.

Obviamente, se você executar um servidor da Web ou qualquer outra forma de servidor, precisará que seu servidor esteja conectado à Internet. Dependendo do seu caso de uso, você pode usar algo como uma VPN para permitir acesso apenas a usuários autorizados. No entanto, se você deseja que seu servidor seja acessível publicamente, você precisa estar conectado à Internet. Como tal, seu servidor enfrentará ataques.

Pode parecer que você basicamente tem que aceitar isso como parte do curso. Felizmente, existem algumas coisas que você pode fazer.

Implementar um honeypot

Um honeypot é uma ferramenta projetada para atrair invasores. Ele promete informações suculentas ou vulnerabilidades que podem levar a informações, mas é apenas uma armadilha. Um honeypot é deliberadamente configurado para atrair um invasor. Existem algumas variedades diferentes, dependendo do que você deseja fazer.

Um honeypot de alta interação é avançado. É muito complexo e oferece muitas coisas para manter o invasor ocupado. Estes são usados ​​principalmente para pesquisa de segurança. Eles permitem que o proprietário veja como um invasor age em tempo real. Isso pode ser usado para informar as defesas atuais ou futuras. O objetivo de um honeypot de alta interação é manter o atacante ocupado pelo maior tempo possível e não entregar o jogo. Para esse fim, eles são complexos de configurar e manter.

Um honeypot de baixa interação é basicamente uma armadilha do tipo coloque e esqueça. Eles são tipicamente simples e não projetados para serem usados ​​em pesquisas ou análises profundas. Em vez disso, honeypots de baixa interação destinam-se a detectar que alguém está tentando fazer algo que não deveria e, então, apenas bloqueá-lo completamente. Esse tipo de honeypot é fácil de configurar e implementar, mas pode ser mais propenso a falsos positivos se não for cuidadosamente planejado.

Um exemplo de honeypot de baixa interação

Se você administra um site, uma funcionalidade com a qual você pode estar familiarizado é o robots.txt. Robots.txt é um arquivo de texto que você pode colocar no diretório raiz de um servidor web. Como padrão, bots, especialmente rastreadores para mecanismos de pesquisa, sabem verificar esse arquivo. Você pode configurá-lo com uma lista de páginas ou diretórios que deseja ou não que um bot rastreie e indexe. Bots legítimos, como um rastreador de mecanismo de pesquisa, respeitarão as instruções neste arquivo.

O formato normalmente segue as linhas de “você pode ver essas páginas, mas não rastreie mais nada”. Às vezes, porém, os sites têm muitas páginas para permitir e apenas algumas que desejam impedir o rastreamento. Assim, eles pegam um atalho e dizem “não olhe para isso, mas você pode rastrear qualquer outra coisa”. A maioria dos hackers e bots verá “não olhe aqui” e faça exatamente o oposto. Portanto, em vez de impedir que sua página de login do administrador seja rastreada pelo Google, você direcionou os invasores diretamente para ela.

Dado que esse é um comportamento conhecido, é muito fácil de manipular. Se você configurar um honeypot com um nome de aparência confidencial e, em seguida, configurar seu arquivo robots.txt para dizer “não olhe aqui”, muitos bots e hackers farão exatamente isso. É bastante simples registrar todos os endereços IP que interagem com o honeypot de alguma forma e apenas bloqueá-los.

Evitando falsos positivos

Em um bom número de casos, esse tipo de honeypot oculto pode bloquear automaticamente o tráfego de endereços IP que gerariam novos ataques. Deve-se ter cuidado para garantir que usuários legítimos do site nunca acessem o honeypot. Um sistema automatizado como esse não consegue distinguir entre um invasor e um usuário legítimo. Como tal, você precisa garantir que nenhum recurso legítimo seja vinculado ao honeypot.

Você pode incluir um comentário no arquivo robots.txt indicando que a entrada do honeypot é um honeypot. Isso deve dissuadir usuários legítimos de tentar saciar sua curiosidade. Isso também dissuadiria os hackers que estão sondando manualmente seu site e potencialmente os irritaria. Alguns bots também podem ter sistemas para tentar detectar esse tipo de coisa.

Outro método para reduzir o número de falsos positivos seria exigir uma interação mais profunda com o honeypot. Em vez de bloquear qualquer pessoa que carregue a página do honeypot, você pode bloquear qualquer pessoa que interaja com ela ainda mais. Mais uma vez, a ideia é fazer com que pareça legítimo, embora na verdade não leve a lugar nenhum. Ter seu honeypot como um formulário de login em /admin é uma boa ideia, contanto que ele não possa fazer login em nada. Tê-lo logado no que parece ser um sistema legítimo, mas na verdade é apenas mais profundo no honeypot seria mais um honeypot de alta interação.

Conclusão

Um honeypot é uma armadilha. Ele foi projetado para parecer útil para um hacker, embora na verdade seja inútil. Os sistemas básicos apenas bloqueiam o endereço IP de qualquer pessoa que interaja com o honeypot. Técnicas mais avançadas podem ser usadas para conduzir o hacker, potencialmente por um longo período de tempo. O primeiro é normalmente usado como uma ferramenta de segurança. O último é mais uma ferramenta de pesquisa de segurança, pois pode fornecer informações sobre as técnicas do invasor. Deve-se tomar cuidado para evitar que usuários legítimos interajam com o honeypot. Essas ações resultariam no bloqueio do usuário legítimo ou na confusão da coleta de dados. Assim, o honeypot não deve estar relacionado à funcionalidade real, mas deve ser localizável com algum esforço básico.

Um honeypot também pode ser um dispositivo implantado em uma rede. Nesse cenário, ele está separado de todas as funcionalidades legítimas. Novamente, ele seria projetado para parecer que possui dados interessantes ou confidenciais para alguém que escaneia a rede, mas nenhum usuário legítimo jamais deve encontrá-lo. Assim, qualquer pessoa que interaja com o honeypot é digna de revisão.