Me parece que se me había pasado comentaros pero…
Existe una forma muy útil para conseguir saber quién quiere entrar en nuestra red y con qué intenciones lo hace. Basta con dejar un tarro de vulnerabilidades en medio del bosque y esperar a que las abejas se acerquen. La mayor parte de veces suelen ser sistemas automatizados o script kiddies, otras ciberdelicuentes y, aunque sea algo poco frecuente, investigadores o jóvenes con ganas de aprender (no sería la primera vez que alguien usa la honeypot para tener una amistosa charla con el intruso y descubre los no tan oscuros objetivos del susodicho).
Las honeypots son sistemas premeditadamente vulnerables que permiten proteger y conocer el comportamiento de un posible atacante. Uno de los usos más curiosos que se les da, es utilizar varias honeypots distribuidas alrededor de todo el planeta para conocer los «ataques en tiempo real» que ocurren entre países. En muchas ocasiones, también se crean infraestructuras de red que conectan honeypots con la intención de simular un red completa (honeynets). De esta forma, el estudio que se puede realizar será más detallado y permitirá obtener más datos. Existen dos tipos de honeypots, con sus respectivos objetivos:
- Honeypots de baja interacción: Son programas que únicamente se limitan a simular un sistema operativo o un servicio concreto. Generalmente se suelen utilizar para realizar diferentes estadísticas sobre métodos/técnicas de explotación de vulnerabilidades y detectar nuevos tipos o familias de malware. Para lograr información valiosa es necesario realizar un proceso de administración y mantenimiento exhaustivo. El mayor problema para estas honeypots es que, al ser simulaciones, es sencillo que una persona con experiencia en el área descubra el pastel. Un inusual número de puertos abiertos, demasiada memoria libre, instalaciones por defecto o información sensible a plena vista son algunas de las posibles pistas. Los ataques automáticos en cambio, harán las delicias de los administradores.
- Honeypots de alta interacción: Se utilizan equipos reales que se encuentran en las redes privadas de compañías para detectar intentos de accesos no permitidos. Dado el lugar en el que se encuentran, no suelen ser víctimas de muchos ataques ya que no resulta sencillo pasar el resto de barreras que puede haber puesto la compañía para llegar allí. Los datos que se obtienen tienden a ser bastante interesantes puesto que suelen tratarse de hackers especializados. Al ser sistemas operativos completos, es posible que un atacante intente explotar una determinada vulnerabilidad zero-day, y al no ser equipos que están realizando ningún servicio real, cualquier pequeño movimiento de tráfico que ocurra se podrá aislar para un estudio posterior.
Si os ha gustado la idea de las honeypots, podéis implementaros la vuestra propia (en una raspberry Pi o un equipo antiguo que tengáis olvidado por casa) y ver qué atrapáis. Podéis empezar utilizando la distribución de Linux HoneyDrive, que contiene software de honeypots como Kippo (SSH honeypot), Glastopf (web honeypot) o Amun (malware honeypot). Tampoco querría dejar pasar el momento de recomendar Tango para hacer un despliegue rápido y eficiente. En caso de estar interesado en utilizar honeypots comerciales de Windows, las más conocidas son KFSensor y Specter. Recordad que cualquier muestra interesante que obtengáis puede ser muy peligrosa en manos inexpertas y produciros disgustos innecesarios, así que tened mucho cuidado y disfrutad investigando.
El que avisa no es traidor.