Altieres Rohr
Criminosos virtuais costumam varrer a internet procurando computadores vulneráveis, sem ter alvos específicos para atacar. Aproveitando-se disso, especialistas em segurança criam os “honeypots” (pote de mel) – sistemas que se mostram vulneráveis, atraindo invasores que, quando conectados ao sistema, serão monitorados. Com isso, técnicas, vulnerabilidades e ferramentas são obtidas para análise e proteção dos sistemas.
Para quem está no ataque, o computador invadido parece idêntico a um sistema de verdade. O ambiente inteiro é “emulado” – semelhante a um ambiente virtual, em que comandos dados ao sistema parecem ter resultado, mas na verdade são uma forma de “matrix” para o criminoso, que pensa estar conseguindo acesso em um sistema propositalmente vulnerável.
“Um honeypot existe somente para ser invadido”, explica Christian Seifert, diretor-executivo do Honeynet Project. O Honeynet Projecté um esforço de vários especialistas para criar novas ferramentas de honeypots e gerar conhecimento a partir dos dados coletados, bem como educar profissionais da área a respeito de conteúdos relacionados a análise de ataques. “Muita energia e recursos são necessários para analisar os dados coletados”, afirma Seifert.
Um exemplo de honeypot poderia ser um site de internet que possui uma falha de segurança intencional. Quando ele for invadido, o invasor entra nesse ambiente falso em que todas as ferramentas, comandos e dados serão retidos, ao mesmo tempo em que outros recursos – um deles chamado de “Honeywall” – impedem que novos ataques tenham sido feitos a partir do honeypot.
Honeypots brasileira
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) opera uma rede de honeypots chamada de “Projeto Honeypots Distribuídos”. O projeto tem um siteque fornece algumas informações sobre a rede que foi iniciada em 2001 e, a partir de 2003, com o uso da ferramenta conhecida como Honeyd – mais segura que a forma utilizada anteriormente –, passou a ser expandida para parceiros.
Ainda em sua infância, em 2002, a rede conseguiu capturar o código fonte da segunda versão do vírus Slapper que estava se espalhando na internet. Mais recentemente, o CERT.br desenvolveu recursos que permitiram detectar tentativas de ataques a serviços conhecido como SIP, que dão acesso à chamadas telefônicas via internet (VoIP).
A rede começou no Instituto Nacional de Pesquisas Espaciais (INPE), montada por Cristine Hoepers e Klaus Steding-Jessen, ambos do CERT.br.
“Conseguimos detectar varreduras e ataques automatizados, tendências de mudanças nesses ataques, assinaturas de novos ataques, máquinas comprometidas ou com problemas de configuração e alguns códigos maliciosos”, afirma Hoepers. De acordo com ela, as informações obtidas são compartilhadas em diferentes níveis de detalhamento para cada usuário e organização que possam precisar desses dados, bem como alvos de ataques.
Cuidados especiais
Embora uma honeypot precise ser invadida para ser útil, isso é mais complicado do que parece. “Simplesmente ligar uma máquina vulnerável à internet não é instalar um honeypot, é ser irresponsável”, afirma a analista de segurança Cristine Hoepers, do CERT.br.
Existem honeypots de alta interatividade e baixa interatividade. A honeypot de alta interatividade é um sistema completo, real e intencionalmente desprotegido. A diferença são ferramentas de registro adicionadas e um recurso de segurança que impede o invasor de conseguir “sair” do honeypot. “Todo o tráfego pode entrar, mas só pode sair tráfego benigno — todo o tráfego malicioso deve ser impedido de chegar à internet”, explica a analista.
Já o honeypot de baixa interatividade – como está sendo usado pelo CERT.br no Brasil – não é um sistema completo, e sim um software que “emula” um sistema, inclusive todo o processo de invasão. O criminoso está invadindo, portanto, um sistema que não existe de fato, dando mais segura e resultados semelhantes. Nesses casos, o servidor real precisa ser protegido.
Embora riscos não sejam nulos, Hoepers revela que, em oito anos, nenhum dos computadores com honeypots do projeto brasileiro foram realmente comprometidos.
Honeypots – agora em celulares
Desde 2004, ataques que tiram proveito de falhas em softwares do internauta, como navegadores de internet, passaram a ser bastante comuns. Christian Seifert, do Honeynet Project, afirma que um novo tipo de honeypot precisou ser desenvolvida para estudar esses ataques.
Agora, a nova fronteira são os telefones móveis – e já existem ferramentas criadas pelo Honeynet para estudar as novas ameaças desenvolvidas para o aparelho. Em breve, talvez, especialistas estarão carregando honeypots no bolso.
