Pote de mel (computação)

Na terminologia de computador, um pote de mel é um mecanismo de ​​segurança de computador configurado para detectar, desviar ou, de alguma maneira, neutralizar tentativas de uso não autorizado de sistemas de informação. Geralmente, um pote de mel consiste em dados (por exemplo, em um site da rede) que parecem ser uma parte legítima do site e contêm informações ou recursos de valor para os invasores. Na verdade, é isolado, monitorado e capaz de bloquear ou analisar os invasores. Isso é semelhante a operações policiais, coloquialmente conhecidas como "atrair" um suspeito.[1]

Diagrama de um pote de mel de sistema de informação

Uma das definições de honeypot vem do mundo da espionagem, onde os espiões Mata Hari usam uma relação romântica como uma forma de roubar segredos. São descritos como a colocação de um "pote de mel" (daí o nome, do inglês, "honeypot"). Muitas vezes, um espião inimigo é comprometido por uma armadilha de mel e depois chantageado para entregar tudo o que sabe.

Em termos de segurança do computador, um honeypot virtual funciona de forma semelhante, atraindo os hackers para uma armadilha. É um sistema de computador sacrificial que pretende atrair ciberataques, como uma emboscada. Ele emula um alvo para os hackers e usa suas tentativas de intrusão para obter informações sobre cibercriminosos e a maneira como eles estão operando ou para distraí-los de outros alvos.

Tipos

Os potes de mel podem ser classificados com base em sua implantação (uso/ação) e em seu nível de envolvimento. Com base na implantação, os potes de mel podem ser classificados como:[2]

  • Potes de mel de produção
  • Potes de mel de pesquisa

Os potes de mel de produção são fáceis de usar, capturam apenas informações limitadas e são usados principalmente por empresas. Os potes de mel de produção são colocados dentro da rede de produção com outros servidores de produção por uma organização para melhorar seu estado geral de segurança. Normalmente, os potes de mel de produção são potes de mel de baixa interação, que são mais fáceis de implantar. Eles fornecem menos informações sobre os ataques ou invasores do que os potes de mel de pesquisa.[2]

Os potes de mel de pesquisa são executados para reunir informações sobre os motivos e táticas da comunidade de chapéu preto que visa diferentes redes. Esses potes de mel não agregam valor direto a uma organização específica; em vez disso, eles são usados para pesquisar as ameaças que as organizações enfrentam e aprender como se proteger melhor contra essas ameaças.[3] Os potes de mel de pesquisa são complexos de implantar e manter, capturam informações extensas e são usados principalmente por organizações de pesquisa, militares ou governamentais.[4]

Com base em critérios de design, os potes de mel podem ser classificados como:[2]

  • Potes de mel puros
  • Potes de mel de alta interação
  • Potes de mel de baixa interação

Os potes de mel puros são sistemas de produção completos. As atividades do invasor são monitoradas por meio de um bug tap que foi instalado no link do pote de mel com a rede. Nenhum outro software precisa ser instalado. Mesmo que um pote de mel puro seja útil, a furtividade dos mecanismos de defesa pode ser garantida por um mecanismo mais controlado.

Os potes de mel de alta interação imitam as atividades dos sistemas de produção que hospedam uma variedade de serviços e, portanto, um invasor pode receber muitos serviços para desperdiçar seu tempo. Ao empregar máquinas virtuais, vários potes de mel podem ser hospedados em uma única máquina física. Portanto, mesmo se o pote de mel estiver comprometido, ele pode ser restaurado mais rapidamente. Em geral, os potes de mel de alta interação fornecem mais segurança por serem difíceis de detectar, mas são caros de manter. Se as máquinas virtuais não estiverem disponíveis, um computador físico deve ser mantido para cada pote de mel, o que pode ser exorbitante. Exemplo: Honeynet.

Os potes de mel de baixa interação simulam apenas os serviços frequentemente solicitados pelos invasores. Como consomem relativamente poucos recursos, várias máquinas virtuais podem ser facilmente hospedadas em um sistema físico, os sistemas virtuais têm um tempo de resposta curto e menos código é necessário, reduzindo a complexidade da segurança do sistema virtual. Exemplo: Honeyd.

Tecnologia de engano

Recentemente, um novo segmento de mercado chamado tecnologia de engano surgiu usando a tecnologia básica de pote de mel com a adição de automação avançada para escala. A tecnologia de engano aborda a implantação automatizada de recursos de pote de mel em uma grande empresa comercial ou instituição governamental.[5]

Potes de mel de malware

Os potes de mel de malware são usados para detectar malware, explorando a replicação conhecida e os vetores de ataque de malware. Os vetores de replicação, como unidades flash USB, podem ser facilmente verificados quanto a evidências de modificações, seja por meios manuais ou utilizando potes de mel para fins especiais que emulam unidades. Cada vez mais, o malware é usado para pesquisar e roubar criptomoedas.[6]

Versões de spam

Os spammers abusam de recursos vulneráveis, como retransmissores de e-mails e proxies abertos. Esses são servidores que aceitam e-mail de qualquer pessoa na Internet - incluindo spammers - e os enviam ao seu destino. Alguns administradores de sistema criaram programas pote de mel que se disfarçam como esses recursos abusivos para descobrir a atividade do spammer.

Existem vários recursos que esses potes de mel fornecem a esses administradores e a existência de tais sistemas, falsos e abusáveis, torna o abuso mais difícil ou arriscado. Os potes de mel podem ser uma contramedida poderosa contra o abuso daqueles que dependem de um abuso de alto volume (por exemplo, spammers).

Esses potes de mel podem revelar o endereço IP do abusador e fornecer captura de spam em massa (que permite aos operadores determinar os URLs dos spammers e mecanismos de resposta). Conforme descrito por M. Edwards na ITPRo Today:

Normalmente, os spammers testam um servidor de e-mail para retransmissão aberta, simplesmente enviando uma mensagem de e-mail para si mesmos. Se o spammer receber a mensagem de e-mail, o servidor de e-mail obviamente permite a retransmissão aberta. Operadores de potes de mel, no entanto, podem usar o teste de retransmissão para impedir spammers. O pote de mel captura a mensagem de e-mail de teste de retransmissão, retorna a mensagem de e-mail de teste e, subsequentemente, bloqueia todas as outras mensagens de e-mail desse spammer. Os spammers continuam a usar o pote de mel antispam para spam, mas o spam nunca é entregue. Enquanto isso, o operador do pote de mel pode notificar os ISPs dos spammers e ter suas contas de acesso à Internet canceladas. Se os operadores de potes de mel detectarem spammers que usam servidores proxies abertos, eles também podem notificar os operadores do servidores proxies para bloquearem os servidores e evitaren mais usos indevidos.[7]

A fonte aparente pode ser outro sistema abusado. Os spammers e outros abusadores podem usar uma cadeia de tais sistemas abusados para dificultar a detecção do ponto de partida original do tráfego abusivo.

Isso por si só é indicativo do poder dos potes de mel como ferramentas antispam. Nos primeiros dias dos potes de mel antispam, os spammers com pouca preocupação em ocultar sua localização se sentiam seguros testando vulnerabilidades e enviando spam diretamente de seus próprios sistemas. Os potes de mel tornaram os abusos mais arriscados e difíceis.

O spam ainda flui por meio de retransmissões abertas, mas o volume é muito menor do que em 2001-02. Enquanto a maioria do spam se origina nos Estados Unidos,[8] os spammers saltam através de retransmissores abertos através das fronteiras políticas para mascarar sua origem. Operadores de pote de mel podem usar testes de retransmissão interceptados para reconhecer e impedir tentativas de retransmissão de spam por meio de seus potes de mel. "Impedir" pode significar "aceitar o spam de retransmissão, mas se recusar a o entregar". Os operadores do pote de mel podem descobrir outros detalhes sobre o spam e o spammer examinando as mensagens de spam capturadas.

Os potes de mel de retransmissão aberta incluem o Jackpot, escrito em Java por Jack Cleaver; o smtpot.py, escrito em Python por Karl A. Krueger;[9] e o spamhole, escrito em C.[10] O Bubblegum Proxypot é um pote de mel de código aberto (ou "proxypot").[11]

Armadilha de e-mail

Um endereço de e-mail que não seja usado para nenhum outro propósito além de receber spam também pode ser considerado um pote de mel de spam. Comparado com o termo "spamtrap", o termo "pote de mel" pode ser mais adequado para sistemas e técnicas usados para detectar ou contra atacar sondas. Com uma armadilha de spam, o spam chega ao seu destino "legitimamente" - exatamente como um e-mail sem spam chegaria.

Um amálgama dessas técnicas é o Project Honey Pot, um projeto distribuído de código aberto que usa páginas pote de mel instaladas em sites de todo o mundo. Essas páginas pote de mel disseminam endereços de e-mail de spamtrap marcados exclusivamente e os spammers podem então ser rastreados - o e-mail de spam correspondente é subsequentemente enviado a esses endereços de e-mail de spamtrap.

Pote de mel de banco de dados

Frequentemente, os bancos de dados são atacados por invasores usando injeção de SQL. Como tais atividades não são reconhecidas por firewalls básicos, as empresas costumam usar firewalls de banco de dados para proteção. Alguns dos firewalls de banco de dados SQL disponíveis fornecem/suportam arquiteturas de pote de mel para que o invasor execute em um banco de dados de armadilhas enquanto o aplicativo da web permanece funcional.[12]

Detecção de pote de mel

Assim como os potes de mel são armas contra spammers, os sistemas de detecção de potes de mel são contra armas empregadas por spammers. Como os sistemas de detecção provavelmente usariam características exclusivas de potes de mel específicos para os identificar, como os pares de valor de propriedade da configuração de pote de mel padrão,[13] muitos potes de mel em uso utilizam um conjunto de características exclusivas maiores e mais assustadoras para aqueles que procuram detectar e assim os identificar. Esta é uma circunstância incomum em software; uma situação em que o "versionitis" (um grande número de versões do mesmo software, todas ligeiramente diferentes umas das outras) pode ser benéfico. Também há uma vantagem em ter alguns potes de mel fáceis de detectar implantados. Fred Cohen, o inventor do deception toolkit, argumenta que todo sistema executando seu pote de mel deve ter uma porta de engano que os adversários podem usar para detectar o pote de mel.[14] Cohen acredita que isso pode dissuadir os adversários.

Riscos

O objetivo dos potes de mel é atrair e engajar invasores por um período suficientemente longo para obter indicadores de comprometimento (IoC) de alto nível, como ferramentas de ataque e táticas, técnicas e procedimentos (TTPs). Assim, um pote de mel precisa emular serviços essenciais na rede de produção e conceder ao invasor a liberdade de executar atividades adversárias para aumentar sua atratividade para o invasor. Embora o pote de mel seja um ambiente controlado e possa ser monitorado usando ferramentas como o honeywall,[15] os invasores ainda podem ser capazes de usar alguns potes de mel como nós de pivô para penetrar nos sistemas de produção.[16] Essa compensação entre a atratividade do pote de mel e o risco de penetração foi investigada qualitativamente[17] e quantitativamente.[18]

O segundo risco dos potes de mel é que eles podem atrair usuários legítimos devido à falta de comunicação em redes corporativas de grande escala. Por exemplo, a equipe de segurança que aplica e monitora o pote de mel pode não divulgar a localização do pote de mel para todos os usuários a tempo devido à falta de comunicação ou à prevenção de ameaças internas.[19][20] Um modelo teórico de jogo[21] foi proposto para simultaneamente incentivar usuários adversários e desincentivar usuários legítimos para o acesso ao pote de mel, explorando a diferença de utilidade entre dois tipos de usuários.

Redes de mel

"Uma rede de mel é uma rede de potes de mel de alta interação que simula uma rede de produção e é configurada de forma que toda a atividade seja monitorada, registrada e, em certo grau, discretamente regulada."

-Lance Spitzner,
Honeynet Project

Dois ou mais potes de mel em uma rede formam uma rede potes de mel. Normalmente, uma rede pote de mel é usada para monitorar uma rede maior e/ou mais diversa na qual um pote de mel pode não ser suficiente. Redes de mel e potes de mel são geralmente implementados como partes de sistemas de detecção de intrusão de redes maiores. Uma fazenda de mel é uma coleção centralizada de potes de mel e ferramentas de análise.[22]

O conceito de rede de mel começou em 1999 quando Lance Spitzner, fundador do Honeynet Project, publicou o artigo "Para construir um pote de mel".[23]

História

As primeiras técnicas de pote de mel são descritas no livro de Clifford Stoll, de 1989, O ovo do cuco.

Um dos primeiros casos documentados de uso de um pote de mel na segurança cibernética começou em janeiro de 1991. Em 7 de janeiro de 1991, enquanto trabalhava na AT&T Bell Laboratories, Cheswick observou um hacker criminoso, conhecido como cracker, tentando obter uma cópia de um arquivo de senha . Cheswick escreveu que ele e seus colegas construíram uma "prisão" chroot (ou "motel para baratas") ", que lhes permitiu observar o invasor por um período de vários meses.[24]

Em 2017, a polícia holandesa usou técnicas de pote de mel para rastrear usuários do mercado darknet Hansa.

A metáfora de um urso sendo atraído e roubando mel é comum em muitas tradições, incluindo a germânica, a céltica e a eslava. Uma palavra eslava comum para o urso é medved "comedor de mel". A tradição de ursos roubando mel foi transmitida por meio de histórias e folclore, especialmente do conhecido ursinho Pooh.[25][26]

Referências e notas

  1. Cole, Eric; Northcutt, Stephen. «Potes de mel: guia do gerente de segurança para potes de mel» (em inglês). Arquivado do original em 16 de março de 2017 
  2. a b c Mokube, Iyatiti; Adams, Michele (março de 2007). «Potes de mel: conceitos, abordagens e desafios». Procedimentos da 45ª conferência regional sudeste anual (em inglês): 321 à 326. doi:10.1145/1233341.1233399 
  3. Lance Spitzner (2002). Potes de mel rastreando hackers (em inglês). [S.l.]: Addison-Wesley. pp. 68 à 70. ISBN 0-321-10895-7 
  4. Katakoglu, Onur (3 de abril de 2017). «Paisagem de ataques no lado escuro da web» (PDF). acm.org (em inglês). Consultado em 9 de agosto de 2017 
  5. «Tecnologia relacionada ao engano - não é apenas "bom ter", é uma nova estratégia de defesa – Lawrence Pingree» (em inglês). 28 de setembro de 2016 
  6. Litke, Pat. «Cenário de malware para roubo de criptomoedas». Secureworks.com (em inglês). SecureWorks. Consultado em 9 de março de 2016. Cópia arquivada em 22 de dezembro de 2017 
  7. Edwards, M. «Potes de mel antispam causam dores de cabeça aos spammers» (em inglês). Windows IT Pro. Consultado em 11 de março de 2015. Arquivado do original em 1 de julho de 2017 
  8. «Sophos revela os mais recentes países de retransmissão de spam». Help Net Security (em inglês). Help Net Security. 24 de julho de 2006. Consultado em 14 de junho de 2013 
  9. «Software pote de mel, produtos pote de mel, software enganador». Recursos de detecção de intrusão, potes de mel e tratamento de incidentes (em inglês). Honeypots.net. 2013. Consultado em 14 de junho de 2013. Arquivado do original em 8 de outubro de 2003 
  10. dustintrammell (27 de fevereiro de 2013). «spamhole – A versão beta do retransmissor SMTP aberto falso». SourceForge (em inglês). Dice Holdings, Inc. Consultado em 14 de junho de 2013 
  11. Ec-Council (5 de julho de 2009). Hacker ético certificado: protegendo a infraestrutura de rede em hackers éticos certificados (em inglês). [S.l.]: Cengage Learning. pp. 3–. ISBN 978-1-4354-8365-1. Consultado em 14 de junho de 2013 
  12. «Proteja seu banco de dados usando a arquitetura pote de mel» (em inglês). dbcoretech.com. 13 de agosto de 2010. Arquivado do original em 8 de março de 2012 
  13. Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019). «Revisão e análise de artefatos de Cowrie e seu potencial para serem usados de forma enganosa». Procedimentos da conferência internacional sobre ciência da computação e inteligência computacional de 2019 (em inglês). IEEE. pp. 166 à 171. doi:10.1109/CSCI49370.2019.00035 
  14. «Deception toolkit». All.net (em inglês). All.net. 2013. Consultado em 14 de junho de 2013 
  15. «CDROM do honeywall – O projeto honeynet» (em inglês). Consultado em 7 de agosto de 2020 
  16. Spitzner, Lance (2002). Potes de mel rastreando hackers (em inglês). [S.l.]: Addison-Wesley Professional. OCLC 1153022947 
  17. Pouget, Fabien; Dacier, Marc; Debar, Hervé (14 de setembro de 2003). Artigo: pote de mel, honeynet, honeytoken: questões terminológicas (em inglês). [S.l.]: EURECOM. OCLC 902971559 
  18. Huang, Linan; Zhu, Quanyan (2019), «Engajamento de pote de mel adaptável por meio do aprendizado de reforço de processos de decisão semi Markov», ISBN 978-3-030-32429-2, Cham: Springer International Publishing, Notas de aula em ciência da computação (em inglês), pp. 196 à 216, arXiv:1906.12182Acessível livremente, doi:10.1007/978-3-030-32430-8_13 
  19. Qassrawi, Mahmoud T.; Hongli Zhang (maio de 2010). «Potes de mel de clientes: abordagens e desafios». 4ª conferência internacional sobre novas tendências em ciência da informação e ciência de serviços (em inglês): 19 à 25 
  20. «Redes ilusórias: por que os potes de mel estão estagnados no passado | NEA | Novos associados corporativos». www.nea.com (em inglês). Consultado em 7 de agosto de 2020 
  21. L. Huang e Q. Zhu, "Jogos de duplicidade para projeto de fraude com um aplicativo para mitigação de ameaças internas", em transações em perícia de informação e segurança IEEE (em inglês), doi:10.1109/TIFS.2021.3118886.
  22. «Suporte ao cliente de roteador cisco» (em inglês). Clarkconnect.com. Consultado em 31 de julho de 2015. Arquivado do original em 16 de janeiro de 2017 
  23. «Conheça o seu inimigo: redes de mel de segunda geração mais fáceis de implantar, mais difíceis de detectar e mais seguras de manter.». Honeynet Project (em inglês). Honeynet Project. 12 de maio de 2005. Consultado em 14 de junho de 2013. Arquivado do original em 25 de janeiro de 2009 
  24. «Uma noite com Bernard em que um cracker é seduzido, suportado e estudado» (PDF). cheswick.com (em inglês). Consultado em 3 de fevereiro de 2021 
  25. «A palavra para "urso"». Pitt.edu (em inglês). Consultado em 12 de setembro de 2014 [ligação inativa] 
  26. Shepard, E. H., Milne, A. A. (1994). Os contos completos do Ursinho Pooh. Reino Unido: Livros infantis de Dutton. (em inglês)

Further reading

  • Lance Spitzner (2002). Potes de mel rastreando hackers (em inglês). [S.l.]: Addison-Wesley. ISBN 0-321-10895-7 
  • Sean Bodmer; Max Kilger; Gregory Carpenter; Jade Jones (2012). Engano reverso: contra exploração de ameaças cibernéticas organizadas (em inglês). [S.l.]: McGraw Hill Education. ISBN 978-0-07-177249-5 

Ligações externas