01/03/07 17:28:43
TRAMPAS EN LA RED ESPÍAN A LA DELINCUENCIA CIBERNÉTICA
Mercè Molist
Su misión es tender trampas a los salteadores, diseminando
equipos desprotegidos por Internet. Son cientos de profesionales de la
seguridad informática de todo el mundo, también
España, que participan voluntariamente en el Proyecto HoneyNet.
Su éxito ha sido tal que cada vez más empresas usan
trampas parecidas para defenderse.
"TotalDark" es un travieso adolescente convencido de que hoy es su
día de suerte: husmeando por Internet, ha descubierto un equipo
de muy fácil acceso. Indaga en sus entrañas, buscando un
botín y calibrando qué usos dará a su
recién descubierta Cueva de Ali Babá. "TotalDark" no sabe
que ha caído en una trampa y graban sus movimientos, para
analizarlos después.
La Internet española está minada de una cantidad
indeterminada de trampas instaladas por empresas, universidades y el
Proyecto HoneyNet España. La comunidad académica RedIRIS
fue pionera en montar una red de este tipo, a finales del año
2000, hoy reconvertida en otros proyectos de sistemas trampa,
especialmente "Bichos" que capta el código malicioso que corre
por sus redes.
El objetivo de las trampas de RedIRIS es investigar cómo se
llevan a cabo los ataques, pero también defenderse, haciendo que
los señuelos distraigan al intruso para analizar sus acciones y
orquestar el contraataque. Esta segunda razón ha hecho que cada
vez más empresas pongan trampas en sus redes: engañan a
los atacantes externos e internos, creando un laberinto de falsos
caminos y sensores que los espían.
La idea de los sistemas trampa nació con el Proyecto HoneyNet,
cuyo objetivo no es defender una red concreta sino investigar y
compartir experiencias sobre las nuevas tendencias en ataques
informáticos, difíciles de descubrir con otros
métodos. Su influencia ha sido tal que hoy en día la
palabra "honeynet" (red de miel) es sinónimo de sistema trampa.
El Proyecto HoneyNet tiene 6 señuelos en la Internet
española. Pocos aún pero suficientes para inferir que la
mayoría de atacantes no son personas sino máquinas:
"Existe mucha actividad relativa a sondeos y ataques automatizados de
virus y gusanos. En esto no somos diferentes del resto del mundo",
explica Diego González, de HoneyNet España.
Al principio, las trampas estaban abiertas a todo tipo de ataques pero
con el tiempo se han especializado. En España, las hay dedicadas
sólo al correo basura: "Distribuimos direcciones en los foros
para que las cojan los "spammers". Así sabemos el tiempo que
pasa desde que aparece la dirección en Internet hasta que el
equipo trampa recibe correo basura, o el tipo de "spam" que mandan",
explica Javier Fernández-Sanguino, miembro del grupo.
Otra trampa consiste en un ordenador conectado a Internet con un
sistema operativo configurado tal cual viene de fábrica.
HoneyNet España trabaja también en señuelos para
conexiones inalámbricas o el novedoso protocolo IPv6. A nivel
internacional, la Alianza HoneyNet investiga los cada vez más
ataques contra aplicaciones web, las intrusiones que usan Google como
fuente de información y los asaltos a ordenadores de usuarios.
HoneyNet España destaca por la sofisticación de sus
trampas: "Puedes hacer sistemas que serán comprometidos
rápidamente por intentos automatizados y otros que sólo
un atacante, con cierta capacidad técnica, podría hacerse
con ellos. Nuestra investigación se ha centrado más en
esto: poner sistemas difíciles de romper", explica
Fernández-Sanguino.
Cuando un intruso cae en la trampa, afirma Raúl Siles, otro
integrante del grupo, se toman diversas medidas según el
incidente: "Notificarlo a las autoridades, avisar al proveedor de
servicios o a la empresa propietaria de la dirección IP. Muchas
veces, los ataques vienen de empresas que desconocen que sus sistemas
están siendo usados para asaltar otros equipos".
Además de las trampas diseminadas por la Internet
española, el grupo ha creado otras 17 para el Proyecto HoneyNet
mundial. La razón de no ponerlas aquí es la precariedad
con que trabajan: "Disponemos de pocos equipos físicos donde
instalar los sistemas trampa, por eso utilizamos "software" de
virtualización que nos permite tener más de una trampa en
un mismo equipo físico", explican.
Siles añade: "No tenemos ayuda económica de ningún
organismo, toda la financiación y la dedicación han
salido de nuestros bolsillos y nuestro tiempo". Esto limita su
infraestructura y también la vitalidad del grupo, que ha pasado
de 7 a 4 miembros desde su fundación, en verano de 2004.
"Estamos abiertos a recibir propuestas de empresas y organismos
interesados", afirman.
UNA TECNOLOGÍA QUE INTERESA A LAS EMPRESAS
El Proyecto HoneyNet se gestó en 1999 de la mano de Lance
Spitzner, con el lema: "Aprender del enemigo y compartir las lecciones
aprendidas". Hoy agrupa a 200 voluntarios de 25 países que
forman la Alianza HoneyNet, cuyos informes leen ávidamente los
profesionales de seguridad, pues vienen de fuentes de primera mano.
Pero no es sólo la información lo que ha hecho famoso al
Proyecto HoneyNet sino también un sinfín de nuevas
tecnologías, desarrolladas por sus voluntarios y usadas
actualmente por todo tipo de profesionales y empresas que quieren
detectar actividades maliciosas en sus redes y analizarlas.
Crear las trampas no es fácil, explica Carles Fragoso, de
HoneyNet España: "Exige el máximo de creatividad y
técnica, pues requiere un amplio dominio en los ámbitos
de protección, detección y respuesta". El señuelo
debe parecer vulnerable, pero es sólo un disfraz: tiene sensores
que capturan todo tipo de datos sobre las técnicas del atacante.
Además, cuenta con sistemas de control para evitar que los
asaltantes envíen virus, correo basura o ataquen otras
máquinas desde la trampa. Con esta intención se
creó la conocida herramienta "HoneyWall" (muro de miel), un
cortafuegos al revés: mientras los convencionales protegen un
equipo de los ataques procedentes de Internet, "HoneyWall" protege a
Internet de los ataques que puedan venir de los sistemas trampa.
Proyecto HoneyNet España
http://www.honeynet.org.es/es
Antigua red de máquinas trampa de RedIRIS
https://www.rediris.es/cert/ped
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any digital and no commercial medium, provided this
notice is preserved.
<<