Seguro que más de una vez os habéis preguntado qué y cómo detectan los spammers los sistemas de correo abiertos (open relay), cómo actúa al gusano blaster en el puerto 135 (”hogar” del protocolo RPC, vulnerable al maldito virus), o qué consulta un hacker cuando encuentra un servidor apache, IIS, o cualquier otro. Y no sólo personas.

Cientos de máquinas ejecutan programas automáticos que buscan en direcciones aleatorias puertos abiertos, servicios concretos como SMTP o HTTP, y una vez los encuentran, inyectan de forma automática algún código, si los resultados son satisfactorios y el programa servidor resulta vulnerable, los datos son enviados a una persona real, que se dedicará a intentar ejecutar el exploit correspondiente. Con un honeypot (literalmente, tarros de miel), seremos capaces de estudiar todo esto, comprobando cómo, cuándo y con qué frecuencia nos atacan, en cualquier puerto, con cualquier servicio.

Veo necesario un pequeño recordatorio para los neófitos en los honeypots (sistema trampa), una tecnología muy reciente con muy poca documentación en español. Los honeypots son un nuevo concepto en herramientas de seguridad que ayudan a entender, rastrear e investigar ataques realizados a través de Internet. La definición más acertada puede ser un sistema diseñado para ser atacado, probado o comprometido, al que se hace más atractivo gracias a pequeños señuelos o cebos que atraigan al hacker. Siguiendo la analogía que le ha dado nombre, los hackers maliciosos son las moscas, atraídas por la dulce miel (el sistema) que se les presenta, pues se les hace creer que contiene algún secreto oculto, ya sean contraseñas, datos o la posibilidad de ganar el control de la máquina. Pero no sólo para hackers; esta gran idea está traspasando lo puramente técnico, hasta convertirse en una verdadera red donde atrapar todo tipo de delincuentes cibernéticos, como bien demuestran los ejemplos a continuación.

Hace tan sólo unos meses, un ISP (PSINet) y una empresa de seguridad (PanSec) británicos demostraron mediante un curioso experimento la alarmante tendencia al alza del hacking malicioso en Internet. Durante ocho semanas expusieron en la Red dos servidores web que se hacían pasar por bancos ficticios, sin ofrecer realmente ningún servicio ni contener datos reales, pero muy apetitosos para hackers con no muy buenas intenciones. El experimento se llevó a cabo con dos servidores que simulaban ser bancos Europeos online. A uno de ellos se le dotó de un sistema de seguridad (cortafuegos) y el otro se configuró sin ningún tipo de protección. Durante ocho semanas los dos servidores registraron miles de intentos fallidos e intrusiones reales que, de no ser por la ausencia o falsedad de los datos, hubiesen desembocado en el robo o espionaje de toda la información que alojaba el sitio web. En concreto, el sitio web desprotegido sufrió una media de más de dos mil ataques a la semana mientras que el banco que contaba con un firewall registró un número de ataques superior a los doscientos por semana.
 
No es la primera vez que esta herramienta demuestra su utilidad. La empresa Digital Defense fue capaz de cazar a un atacante gracias al honeypot que mantenían instalado, según HD Moore, consultor de seguridad de la compañía. Observando el ataque, Moore comprobó que el intruso había tenido acceso al sistema gracias a un problema de seguridad en SAMBA que todavía no se había hecho público.

En diciembre de 2003, la policía británica creó un portal trampa sobre pedofília con la intención de cazar a los que busquen este tipo de contenidos en Internet. La página ofrecía indicios de contenido ilegal, tal como abuso a menores y pedofília en general. Los datos de las personas que intentaban llegar al contenido más escabroso que la web prometía, eran almacenados e investigados.

Los que la visitaban tendrían que navegar a través de varias páginas, todas con mensajes destinados a disuadir al invitado, advirtiendo del contenido explícito del portal e invitando a abandonarlo cuando lo desease. Si aún así el visitante decidía continuar, haciendo caso omiso de las advertencias, llegaba finalmente a una página que informaba de que el servidor pertenecía a la policía, que los actos que estaba cometiendo conforman un delito, y que los detalles de su conexión habían sido almacenados.

Ante la popularidad de la idea, cada vez son más los programadores que crean el código necesario para engañar a los atacantes. A nivel software, existen innumerables herramientas en Internet para llevar a cabo el proyecto. Brian Pontz ha programado una serie de parches para el kernel de sistemas Linux que registra transparentemente todas las pulsaciones de teclado. Si la plataforma es Windows, el programa Windog, puede simular servicios inetd de los sistemas Linux. Acaba de salir “al mercado”, un conjunto de herramientas gratuitas creadas por Marcus Ranum y Lance Spitzner que contienen ficheros de configuración, binarios precompilados y scripts para construir tu propia honeypot en segundos bajo Linux.

Se pueden encontrar soluciones completas tanto comerciales como en el ámbito del código abierto.
Specter, que funciona bajo Windows, es una solución de pago que puede emular trece sistemas operativos distintos, monitorizar hasta catorce puertos TCP y otras muchas funcionalidades. Su mejor baza es la facilidad de uso.

Para entrenar gratuitamente, podemos empezar con Tiny Honeypot, escrita por George Bakos y la única que siempre se muestra vulnerable cualquiera que sea el tipo de ataque que efectúe el hacker. La mejor para coleccionar gran cantidad de herramientas y costumbres de los hackers.

(1 votos, promedio: 5 de 5)

 Cargando ...

Compártelo

...por Sergio de los Santos

Honeypots: La nueva herramienta de seguridad »
Seguridad en IE: Mejora o amenaza para la seguridad »

Escribe y Enter