lunes, 13 de diciembre de 2021

Honeypots: qué son, para qué sirven y cómo funcionan

Honeypots: sistemas señuelo

Una interesante herramienta de detección, recopilación y aprendizaje en el campo de la ciberseguridad. Muy importante de cara a la observación de nuevos patrones de ciberataques con objeto de aprender de ellos y protegernos mejor. Antes que nada, un poco acerca de sus orígenes.

Historia

En el año 1986, un astrónomo conocido como Clifford Stoll se hacía cargo de los equipos del Laboratorio Nacional de Lawrence Berkeley (LBNL) en California. Dave Cleveland, supervisor del astrónomo, encargó a este la tarea de resolver un desajuste contable que tuvo lugar en uno de los ordenadores del laboratorio (pues el uso de una máquina tenía un determinado coste por tiempo de uso).

Stoll se dio cuenta de que un usuario no autorizado había estado usando uno de los ordenadores durante un breve periodo de tiempo y no había pagado por ello. Tras investigar para comprender el origen del problema, detectó que dicho usuario era un pirata informático que aprovechó una vulnerabilidad del sistema con la que adquirió permisos de administrador.

El anónimo explotó una grieta en la seguridad que partía del editor de texto GNU Emacs, concretamente en la función movemail. El propósito de esta utilidad era la de mover un e-mail de ubicación. Tratando de dar con el responsable, Stoll tuvo que hacer creer al atacante que nadie se había percatado de lo sucedido y que seguía teniendo el control; por lo que no parcheó la vulnerabilidad de Emacs. 

Luego, creó lo que hoy en día se conoce como una Honeynet; tomó 50 terminales las cuales conectó a las 50 líneas telefónicas entrantes del LBNL. Estos equipos fueron conectados a su vez a 50 teleimpresores, los cuales grabarían en papel la información que Stoll quisiera extraer de una posible línea entrante correspondiente al usuario anónimo.

Interceptó una llamada del ciberdelincuente y, gracias a Tymnet (empresa que realizaba el servicio de enrutamiento de dicha llamada), pudo rastrearle. El intruso, un contratista de defensa, marcó desde McLean, Virginia.

Durante mucho tiempo, Clifford continuó reuniendo información sobre todo lo que el ciberdelincuente hacía; obtención de acceso no autorizado a bases militares de EEUU; búsquedas de archivos bajo las palabras clave nuclear o SDI (Strategic Defence Initiative); copia de los archivos de contraseñas para realizar ataques por diccionario; etc.

Clifford Stoll fue, probablemente, un pionero en estos sistemas señuelo o Honeypots. Desde entonces, el uso de estos y el modo en que operan o recopilan la información ha evolucionado enormemente hasta día de hoy, en el año 2021.

¿Qué es un Honeypot?

Formalmente podemos decir que un Honeypot es un sistema informático formado por, al menos, un equipo conectado a la red el cual presenta ciertas vulnerabilidades expuestas intencionadamente. Estos sistemas trampa o señuelo recopilarán información sobre el ataque y el atacante para utilizarla en beneficio propio. 

Estas vulnerabilidades distan de ser seleccionadas al azar o bajo ningún criterio. Los Honeypots deben dar cierta impresión desde el exterior en función del contexto y de lo que se pretende conseguir. Así como algunos peces se mimetizan con el entorno para hacerse con su presa, no sería suficiente con cambiar de color; si se mueven su posible víctima los descubriría. De este mismo modo, los sistemas señuelo deben realmente aparentar ser un equipo normal y corriente con todo lo que ello implica.

Funcionamiento general de un Honeypot

Por lo general, el modus operandi de estos sistemas informáticos podría resumirse en 3 acciones principales. Debido a la gran cantidad de tipos de sistemas señuelo que pueden llegar a desplegarse y los objetivos que deseen cumplir, estas acciones podrían variar.

Como menciono más arriba, es vital para un Honeypot pasar desapercibido. Aparentar es el primer requisito que deben satisfacer, pues de lo contrario (y dándose cuenta de lo evidente) los ciberdelincuentes no caerían en la trampa.

El siguiente punto es el de recopilar información sobre el ataque y el atacante; rastreo de dirección/es IP implicadas, características del ataque y toda información relacionada con su forma de actuar. Obviamente en un segundo plano para evitar revelar la verdadera identidad del señuelo.

Todo el conocimiento extraído durante este proceso debe almacenarse en alguna parte. Los archivos de registro generados deben ser almacenados en alguna parte. También podrían ser enviados de forma autónoma a un servidor FTP externo, etc. Es crítico que el ciberdelincuente no sospeche en ningún momento de la existencia de estos logs o de alguna conexión saliente que los transfiera a un servidor de archivos. No olvidemos el primer punto: aparentar.

Finalidad de uso

Independientemente de su funcionamiento, todo Honeypot tiene un mismo objetivo: aprender de los ataques y atacantes para prevenir posibles daños futuros. Esto se logra mediante la recopilación de información contextual sobre el ataque. También ayudan a detectar otras brechas de seguridad que antes desconocíamos.

Por sí solos, los Honeypots no son capaces de evitar problemas, como sí lo hacen muchas otras técnicas y herramientas. No obstante, ayudan a comprender las amenazas actuales a las que se enfrenta un sistema. Comúnmente se dedican a alertar y obtener información sobre el ataque; ralentizar el proceso iniciado por el atacante para tomar las medidas pertinentes; combinar las anteriormente mencionadas.

Algunas ventajas y desventajas de los Honeypots

Ventajas:

  • Son diseñados para capturar cualquier tipo de interacción con ellos, incluyendo herramientas o patrones nunca antes vistos.
  • Aún teniendo los recursos limitados, se pueden implementar un sistema lo suficientemente potente para trabajar a gran escala.
  • Tienen la capacidad de recopilar grandes cantidades de información de forma detallada, a diferencia de otras herramientas de análisis de seguridad.

  • Concienciar sobre el grado de amenaza al que están expuestos ciertos sistemas.

Desventajas:

  • Solo pueden rastrear y capturar actividad que actúa directamente contra ellos. No pueden obtener información de ataques dirigidos a sistemas vecinos, a no ser que el atacante o la amenaza interactúe con el Honeypot al mismo tiempo.

  • Corren el riesgo de ser controlados o secuestrados por el atacante, para ser utilizados como plataformas de lanzamiento de otros ataques.

Sobre la ética en relación con los Honeypots

La instalación de un Honeypot en nuestros sistemas se considera legal en España, aunque puede dar lugar a controversia, pues algunas personas lo consideran poco ético. Expertos afirman que los Honeypots son poco lícitos por la forma de atrapamiento que usan, pues se cuestionan por qué se considera legal atraer a alguien para cometer un delito.

Por otro lado, hay quienes consideran que es una actividad necesaria para conocer la forma de atacar que emplean los piratas informáticos, y aprender de ello. ¿Qué piensas tú?

Referencias

MailUtils. GNU Mailutils (MailUtils). Recuperado de: https://mailutils.org/manual/html_section/movemail.html en diciembre de 2021.

Wikipedia. The Cuckoo’s Egg (book) (Wikipedia). Recuperado de: https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg_(book) en diciembre de 2021.

No hay comentarios:

Publicar un comentario