Honeypots (potes de mel) são sistemas que possuem falhas de segurança reais ou virtuais, colocadas de maneira proposital, a fim de que sejam invadidos e que o resultado desta invasão possa ser estudado. Com isso, técnicas, vulnerabilidades e ferramentas são obtidas para análise e proteção dos sistemas.

De acordo com Christian Seifert, diretor-executivo do Honeynet Project, um honeypot existe somente para ser invadido. O Honeynet Project é um esforço de vários especialistas para criar novas ferramentas de honeypots e gerar conhecimento a partir dos dados coletados, bem como educar profissionais da área a respeito de conteúdos relacionados à análise de ataques.

Um exemplo de honeypot pode ser um site que possui uma falha de segurança intencional. Quando ele for invadido, o invasor entra nesse ambiente falso em que todas as ferramentas, comandos e dados serão retidos, ao mesmo tempo em que outros recursos impedem que novos ataques tenham sido feitos a partir do honeypot.

Os honeypots trazem diversas vantagens:

  • Poucos dados são capturados, porém são dados muito importantes: Coletam dados essenciais sobre ataques;
  • Descobertas de novas ferramentas e de novas táticas: É possível identificar como o atacante agiu, quais ferramentas foram utilizadas e como se proteger delas;
  • Uso mínimo de recursos: São leves e utilizam poucos recursos de rede e hardware;
  • Dados criptografados: Conseguem trabalhar com dados criptografados;
  • Simplicidade:  Não necessitam de algoritmos complexos.

Existem honeypots de alta interatividade e baixa interatividade. Um honeypot de alta interatividade é um sistema completo, real e intencionalmente desprotegido. A diferença são ferramentas de registro adicionadas e um recurso de segurança que impede o invasor de conseguir “sair” do honeypot.

Já o honeypot de baixa interatividade não é um sistema completo, e sim um software que “emula” um sistema, inclusive todo o processo de invasão. O criminoso está invadindo, portanto, um sistema que não existe de fato, dando mais segura e resultados semelhantes. Nesses casos, o servidor real precisa ser protegido.

Para concluir, é importante observar que os honeypots não oferecem nenhum tipo de proteção, mas são ferramentas extremamente úteis para auxiliar na melhoria da segurança de uma rede ou para aprender novos recursos e ataques utilizados.

Autor: Cássio MazzochiMolin
Fonte Micreiros.com