16:40 22/01/04
CRECE EL USO DE ORDENADORES TRAMPA PARA ESPIAR A LOS INTRUSOS INFORMÁTICOS
Su propósito es la defensa e investigación en seguridad
Mercè Molist
En los últimos 18 meses, han aumentado de forma destacada las tecnologías para crear "honeypots" (máquinas trampa o, literalmente, tarros de miel), según informa "SecurityFocus". Son ordenadores que los investigadores conectan a Internet, expresamente sin proteger, para que atraigan a los intrusos y poder monitorizar sus movimentos, con el fin de estudiar sus herramientas y formas de ataque.Los "honeypots" se basan en una vieja táctica de seguridad informática que consiste en no desconectar un ordenador que ha sido atacado, a la espera de que el intruso vuelva otra vez y espiar sus pasos. Cliff Stoll relata en "El huevo del cuco", publicado en 1989, como usó esta técnica para descubrir a un grupo de alemanes que robaba secretos de ordenadores militares norteamericanos y los vendía al KGB. La vieja técnica se redefinía a partir del año 2000, con la aparición del proyecto "Honeynet": un red permanente de máquinas trampa coordinada por voluntarios.
Actualmente, hay un buen número de soluciones para crear "honeypots": comerciales, como KFSensor, y libres, como Honeyd y Honeynets. Un sistema trampa es, básicamente, un equipo aislado, conectado a la red, con algunas puertas abiertas a sabiendas, para atraer a los intrusos y estudiar su forma de actuación, a fin de detectar nuevas tendencias en los ataques. Recientemente, Rediris convocaba un reto de análisis forense que consistía en diseccionar uno de estos ordenadores trampa.
Rediris cuenta, desde 2001, con un proyecto aún incipiente de red de máquinas trampa, donde participa Francisco Monserrat, de IRIS-CERT: "Para montar una buena red hacen falta máquinas, tiempo para analizar los resultados y cómo aplicarlos. Una máquina trampa no tiene mucho sentido para un usuario o una empresa pequeña, ya que por ahora no van a tener ataques en su contra sinó ataques aleatorios, dirigidos a cualquiera que tenga funcionando el programa que emplea una vulnerabilidad".
Pero, en redes grandes y grupos de seguridad, estas trampas son útiles, dice Monserrat, "para analizar si un determinado problema de seguridad en un programa de uso común es muy atacado y así avisar a los usuarios, o como señuelo, dejando la máquina protegida ante ataques externos per no ante los ataques desde dentro de la organización. Además, sirven como laboratorio en el que probar nuestros conocimientos de análisis forense digital, para después aplicarlos en situaciones reales".
Un riesgo importante es que, una vez comprometida la máquina, los intrusos la usen para atacar a otras. Según Monserrat, puede evitarse: "Hay métodos como limitar el tráfico que puede salir del equipo o instalar detectores que avisan cuando el intruso empieza a lanzar ataques y los cortan. Otras máquinas trampa se bloquean cuando el atacante intenta ejecutar determinadas operaciones. Adicionalmente, todo el tráfico con destino y origen a esta máquina es monitorizado, por lo que se puede seguir el rastro del atacante".
El interés por los "honeypots" es tal que la policía británica ha puesto en marcha uno específico para pedófilos. Pero, según Monserrat, también tienen inconvenientes: "Requieren una monitorización exhaustiva y sólo permiten capturar ataques aleatorios". Lance Spitzner, del proyecto Honeynet, explica que otro peligro creciente radica en que se descubra que es una trampa: "Mientras crece el uso de "honeypots", hemos empezado a ver nuevas herramientas y técnicas para detectarlos. Un ejemplo es el programa comercial "Honeypot Hunter", usado por la industria del correo basura para identificar "honeypots" especializados en pescar "spam"".
Red de máquinas trampa de Rediris
http://www.rediris.es/cert/ped
Reto de análisis forense
http://www.rediris.es/cert/ped/reto
Honeynet
http://www.honeynet.org
Honeypots. Definitions and Value
http://www.tracking-hackers.com/papers/honeypots.html
Problems and Challenges with Honeypots
http://www.securityfocus.com/infocus/1757
Copyright (C) 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.