MundoInformática » Honeypots: La nueva herramienta de seguridad

Tiempo estimado de lectura 4:03 min. rellotge

Honeypots: La nueva herramienta de seguridad

A medida que la seguridad parece empezar a preocupar más y más a los especialistas, convirtiéndola en la base crítica en la que se sustentan todos los proyectos dedicados en la red, los honeypots (literalmente, tarros de miel, traducido aquí por “servidores trampa”) han ganado en popularidad y aceptación, presentándose como una herramienta eficaz y poderosa ante los temidos hackers maliciosos.

Ya lo aventuraba Samaniego allá por el siglo XVIII: “A un panal de rica miel / dos mil moscas acudieron / y por golosas murieron / presas de patas en él…”.

Que el peligro está ahí fuera y que todo sistema es susceptible de ser atacado, es algo que se ha empezado a asumir en la comunidad virtual. ¿Qué mejor que admitirlo y aprovecharse de esta circunstancia? Los honeypots son un nuevo concepto en herramientas de seguridad que ayudan a entender, rastrear e investigar ataques realizados a través de Internet. La definición más acertada puede ser un sistema diseñado para ser atacado, probado o comprometido, al que se hace más atractivo gracias a pequeños señuelos o cebos que atraigan a hacker. Siguiendo la analogía que le ha dado nombre, los hackers son las moscas, atraídas por la dulce miel (el sistema) que se les presenta, pues se les hace creer que contiene algún secreto oculto, ya sean contraseñas, datos o la posibilidad de ganar el control de la máquina. Pero todo esto es ilusorio, porque ante un honeypot, el cazador se convierte en víctima y lo que realmente se espera del hacker es precisamente esto, que caiga en las redes de una presunta víctima fácil y comience a demostrar sus mejores artes. ¿Para qué? La respuesta es sencilla. De esta manera se puede estudiar su comportamiento, deducir las prácticas más habituales, descubrir nuevos exploits, rastrear sus pasos… en definitiva, estudiar sus movimientos para analizarlos posteriormente. Y, de paso, mantener entretenido al curioso y ocupado en sistemas que no corren ningún peligro mientras se mantiene a salvo los verdaderos servidores importantes.

El responsable de esta idea es Lance Spitzner, un consultor y analista informático experto en temas de seguridad. Construyó a comienzos de 2000 una red de seis ordenadores en su casa diseñada para estudiar el comportamiento y formas de actuación de los hackers. Fue de los primeros en adoptar la idea, hoy es uno de los mayores expertos en honeypots, precursor del proyecto honeynet (project.honeynet.org), en marcha desde 1999 y autor del libro “Honeypots: Tracking Hackers”.

Su sistema estuvo en marcha durante casi un año de prueba, desde abril del 2000 a febrero de 2001, guardando toda la información que se generaba. Los resultados hablaban por sí solos: en los momentos de más intensidad, comprobaban que las vías de acceso más comunes eran comprobadas desde el exterior hasta 14 veces al día, con herramientas de ataque automatizadas.

Más tarde, algunas pruebas confirmaron la utilidad de esta herramienta. A mediados de 2003, un ISP (PSINet) y una empresa de seguridad (PanSec) británicos han demostraron mediante un curioso experimento la alarmante tendencia al alza del hacking malicioso en Internet. Durante ocho semanas expusieron en la Red dos servidores web que se hacían pasar por bancos ficticios, sin ofrecer realmente ningún servicio ni contener datos reales, pero muy apetitosos para hackers con no muy buenas intenciones.

El experimento se llevó a cabo con dos servidores que simulaban ser bancos Europeos online. A uno de ellos se le dotó de un sistema de seguridad (cortafuegos) y el otro se configuró sin ningún tipo de protección. Durante ocho semanas los dos servidores registraron miles de intentos fallidos e intrusiones reales que, de no ser por la ausencia o falsedad de los datos, hubiesen desembocado en el robo o espionaje de toda la información que alojaba el sitio web.

En concreto, el sitio web desprotegido sufrió una media de más de dos mil ataques a la semana mientras que el banco que contaba con un firewall registró un número de ataques superior a los doscientos por semana.

Y la tecnología avanza sin parar. Spitzner desveló que nuevas características harán mucho más útiles a los honeypots. Se convertirán en sistemas más complicados de detectar y fáciles de desarrollar por compañías y usuarios. Por ejemplo, se les ha añadido la capacidad de enviar directamente al administrador los comandos que se ejecutan en el sistema operativo. Además, se ha mejorado la tecnología para que el propio sistema honeypot no pueda ser usado como plataforma de nuevos ataques. Todos los ataques lanzados desde una red u ordenador que trabaje como honeypot serán abortados gracias a un byte especial modificado. Incluirá asimismo un software mejorado que engañará a los programas de mapeo más comunes, de manera que el sistema pueda fingir ser desde un sólo ordenador hasta la más compleja de las redes.

“Honey Inspector” será una nueva utilidad que permitirá al usuario o administrador tener todo el control de la herramienta a través de una interfaz gráfica. También, en unos meses, proyectan publicar su software en un CD-ROM autoinstalable que facilitará aún más la configuración e instalación del sistema honeypot.

“Los honeypots están todavía en pañales, tenemos preparados muchos más avances a la vuelta de la esquina”, declara Spitzner, comparando el estado de los honeypots con el de los cortafuegos de hace cinco años. “Pronto esta herramienta será tan popular como los propios firewalls.”, vaticina. Y si sus apuestas se cumplen, veremos más que normal que se presente como prueba en un juicio todos los pasos dados por algún novato que, creyendo estar ante la mismísima base de datos de la NASA, se encontraba gritando a los cuatro vientos sus intenciones. Sin duda, algo a tener en cuenta en el mundo de la seguridad informática futura.