Honeypot Knowpia

Un honeypot, o sistema trampa^[1] o señuelo,^[2] es una herramienta de la seguridad informática dispuesto en una red o sistema informático para ser el objetivo de un posible ataque informático, y así poder detectarlo y obtener información del mismo y del atacante.^[2]

La característica principal de este tipo de programas es que están diseñados no solo para protegerse de un posible ataque, sino para servir de señuelo invisible al atacante, con objeto de detectar el ataque antes de que afecte a otros sistemas críticos. El honeypot, sin embargo, puede estar diseñado con múltiples objetivos, desde simplemente alertar de la existencia del ataque u obtener información sin interferir en el mismo, hasta tratar de ralentizar el ataque —sticky honeypots— y proteger así el resto del sistema.^[2]
De esta forma se tienen honeypots de baja interacción, usados fundamentalmente como medida de seguridad, y honeypots de alta interacción, capaces de reunir mucha más información y con fines como la investigación.

Si el sistema dispuesto para ser atacado forma toda una red de herramientas y computadoras dedicadas en exclusiva a esta tarea se le denomina honeynet.^[2]

Honeypot es la terminología con la que se describe el recurso informático monitorizado usado para probar, que sea atacado o que se vea comprometido por ataques informáticos.^[3]^[4]

El uso principal que se le otorga a este señuelo de network es el de distraer a posibles atacantes de información y máquinas más importantes de la network real, aprender sobre las formas de ataques que pueden sufrir y examinar dichos ataques durante y después de la explotación de un honeypot.^[3]^[4]

Dado el incremento de ataques, es relevante tener una forma para poder prevenir y ver vulnerabilidades de un sistema concreto de network. Es decir, se usa un señuelo para poder proteger una network de presentes o futuros ataques.^[3]^[4]

Tipos de honeypots

Encontramos dos tipos principales de honeypot, estos son los físicos y los virtuales:^[3]^[4]

Físico: se trata de una máquina real con su propia dirección IP, esta máquina simula comportamientos modelados por el sistema. Muchas veces no se utiliza tanto esta modalidad de honeypot debido al precio elevado de adquirir nuevas máquinas, su mantenimiento y a la complicación añadida de configurar hardwares especializados.
Virtual: el uso de este tipo de honeypot permite instalar y simular huéspedes en la network procedentes de distintos sistemas operativos, para hacer esto se debe simular el TCP/IP del sistema operativo objetivo. Esta modalidad es más frecuente.

Además, también se pueden distinguir los honeypot basándose en si su finalidad es la de investigación o la de producción:^[3]^[4]

La técnica de investigación se dirige en juntar toda la información posible de los blackhat hackers a partir de darles el acceso a sus sistemas de seguridad para que inflitren.
La técnica de producción, en cambio, va dirigida a proteger las compañías que preparen las honeypot, mejorando sus sistemas de seguridad.

Según los criterios de diseño, los honeypots se pueden clasificar en:^[5]

Honeypots puros: sistemas de producción completos. Las actividades del atacante se controlan mediante el uso de un bug tap que se ha instalado en el enlace del honeypot a la red. No es necesario instalar ningún otro software. Aunque un honeypot puro es útil, el sigilo de los mecanismos de defensa puede garantizarse mediante un mecanismo más controlado.
Honeypots de alta interacción: imitan las actividades de los sistemas de producción que alojan una variedad de servicios y, por lo tanto, un atacante puede tener muchos servicios para perder el tiempo. Al emplear máquinas virtuales, se pueden alojar múltiples honeypots en una sola máquina física. Por lo tanto, incluso si el honeypot se ve comprometido, se puede restaurar más rápidamente. En general, los honeypots de alta interacción brindan más seguridad al ser difíciles de detectar, pero su mantenimiento es costoso. Si las máquinas virtuales no están disponibles, se debe mantener una computadora física para cada honeypot, lo que puede ser exorbitantemente costoso. Ejemplo: Honeynet.
Honeypots de baja interacción: simulan solo los servicios solicitados con frecuencia por los atacantes.^[6] Dado que consumen relativamente pocos recursos, varias máquinas virtuales se pueden alojar fácilmente en un sistema físico, los sistemas virtuales tienen un tiempo de respuesta corto y se requiere menos código, lo que reduce la complejidad de la seguridad del sistema virtual. Ejemplo: Honey.

La sugarcane (caña de azúcar) es un tipo de honeypot que se hace pasar por un proxy abierto.^[7] A menudo puede adoptar la forma de un servidor diseñado para parecerse a un proxy HTTP mal configurado.^[8] Probablemente el proxy abierto más famoso fue la configuración predeterminada de sendmail (antes de la versión 8.9.0 en 1998) que reenviaba correos electrónicos hacia y desde cualquier destino.^[9]

Definición del término

El término honeypot significa en inglés, literalmente, «tarro de miel». Sin embargo, los angloparlantes han usado el término para referirse a otras cosas, relacionando siempre de manera eufemística o sarcástica esas otras cosas con un tarro de miel.

Así, han usado el término honeypot para referirse a algo tentador que resulta ser una trampa, como en castellano lo es en la fábula de Félix María Samaniego, Las moscas (fragmento):

A un panal de rica miel

dos mil moscas acudieron

que por golosas murieron

presas de patas en él.

Félix María Samaniego, Fábula XI

Spam honeypots

Los spammers abusan de recursos como los servidores de correo abiertos y los proxies abiertos.^[10] Algunos administradores de sistemas han creado honeypots que imitan este tipo de recursos para identificar a los presuntos spammers.

Algunos honeypots de este estilo incluyen Jackpot, escrito en Java por Jack Cleaver; smtpot.py, escrito en Python por Karl Krueger^[11] y spamhole escrito en C^[12]

Honeypots de seguridad

Programas como Deception Toolkit de Fred Cohen se disfrazan de servicios de red vulnerables. Cuando un atacante se conecta al servicio y trata de penetrar en él, el programa simula el agujero de seguridad pero realmente no permite ganar el control del sistema. Registrando la actividad del atacante, este sistema recoge información sobre el tipo de ataque utilizado, así como la dirección IP del atacante, entre otras cosas.^{[cita requerida]}

Honeynet Project es un proyecto de investigación que despliega redes de sistemas honeypot (HoneyNets) para recoger información sobre las herramientas, tácticas y motivos de los criminales informáticos.^[13]
PenTBox Security Suite es un proyecto que desarrolla una Suite de Seguridad Informática. Dentro de los programas que la engloban está disponible un Honeypot configurable de baja interacción. El proyecto es multiplataforma, programado en Ruby y está licenciado bajo GNU/GPL.^[14]

Tecnología del engaño

Recientemente, ha surgido un nuevo segmento de mercado llamado tecnología engañosa que utiliza tecnología trampa básica con la adición de automatización avanzada para escalar. La tecnología de engaño aborda la implementación automatizada de recursos trampa en una gran empresa comercial o institución gubernamental.^[15]

Malware honeypots

Los honeypots de malware se utilizan para detectar malware mediante la explotación de los vectores de replicación y ataque conocidos de malware. Los vectores de replicación, como las unidades flash USB, se pueden verificar fácilmente en busca de evidencia de modificaciones, ya sea a través de medios manuales o utilizando honeypots especiales que emulan las unidades.

Detección de los honeypot

Así como los honeypots son armas contra los spammers, los sistemas de detección de honeypots son armas contra las que emplean los spammers. Dado que los sistemas de detección probablemente usarían características únicas de trampas trampa específicas para identificarlas, como los pares propiedad-valor de la configuración predeterminada de honeypot,^[16] muchos honeypot en uso utilizan un conjunto de características únicas más grandes y más abrumadoras para aquellos que buscan detectar y así identificarlos. Esta es una circunstancia inusual en el software; una situación en la que la "versionitis" (un gran número de versiones del mismo software, todas ligeramente diferentes entre sí) puede ser beneficiosa. También hay una ventaja en tener algunos honeypots fáciles de detectar desplegados. Fred Cohen, el inventor de Deception Toolkit, argumenta que cada sistema que ejecuta su honeypot debe tener un puerto de engaño que los adversarios puedan usar para detectar el honeypot.^[17] Cohen cree que esto podría disuadir a los adversarios.

Honey nets

Dos o más honeypots en una red forman una honey net (red trampa). Por lo general, una red trampa se usa para monitorear una red más grande y/o más diversa en la que un señuelo puede no ser suficiente. Las Honey Nets y los Honeypots se implementan generalmente como parte de sistemas de detección de intrusos de red más grandes. Una granja de miel es una colección centralizada de honeypots y herramientas de análisis.^[18]

El concepto de la red de miel comenzó en 1999 cuando Lance Spitzner, fundador del Proyecto Honeynet, publicó el artículo "To build a Honeypot".^[19]

Investigación periodística

En 2006, la BBC realizó una investigación para determinar la incidencia de ataques que podría sufrir un ordenador típico. En una primera fase, consistente en simplemente registrar el número y tipo de ataques, los resultados fueron que cada 15 minutos, de media, el ordenador recibía spam «molesta», típicamente ofertas fraudulentas para mejorar la seguridad del ordenador. Sin embargo, cada hora, de media, el ordenador recibía ataques más serios, de gusanos informáticos tipo SQL Slammer y MS.Blaster.^[20]

La segunda fase de la investigación consistía en dejar entrar el adware y spyware para ver sus eventuales efectos en el ordenador. El resultado fue que, de tratarse de un ordenador cualquiera en un hogar normal, hubiera quedado totalmente insegura e inservible.^[21]

Véase también

Referencias

↑ «PED: Red de Equipos Trampa de REdIRIS». Consultado el 26 de septiembre de 2015.
↑ ^a ^b ^c ^d E Gallego, JEL de Vergara (2004). IX Congreso Nacional de Internet, Telecomunicaciones y Movilidad, ed. «Honeynets: Aprendiendo del Atacante».
↑ ^a ^b ^c ^d ^e «13th USENIX Security Symposium — Technical Paper». www.usenix.org. Consultado el 29 de abril de 2023.
↑ ^a ^b ^c ^d ^e Mairh, Abhishek; Barik, Debabrat; Verma, Kanchan; Jena, Debasish (12 de febrero de 2011). «Honeypot in network security: a survey». Proceedings of the 2011 International Conference on Communication, Computing & Security. ICCCS '11 (Association for Computing Machinery): 600-605. ISBN 978-1-4503-0464-1. doi:10.1145/1947940.1948065. Consultado el 29 de abril de 2023.
↑ Mokube, Iyatiti; Adams, Michele (23 de marzo de 2007). «Honeypots: concepts, approaches, and challenges». Proceedings of the 45th annual southeast regional conference (en inglés) (ACM): 321-326. ISBN 978-1-59593-629-5. doi:10.1145/1233341.1233399. Consultado el 29 de abril de 2023.
↑ Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem (2016-09). «Rethinking the Honeypot for Cyber-Physical Systems». IEEE Internet Computing 20 (5): 9-17. ISSN 1089-7801. doi:10.1109/MIC.2016.103. Consultado el 29 de abril de 2023.
↑ Chaitanya, Manish (2008). Architecting secure software systems. CRC Press/Taylor & Francis Group. ISBN 978-1-4200-8785-7. OCLC 297174715. Consultado el 29 de abril de 2023.
↑ «Exposing the Underground: Adventures of an Open Proxy Server». www.secureworks.com (en inglés). Consultado el 29 de abril de 2023.
↑ «Capturing web attacks with open proxy honeypots [LWN.net]». lwn.net. Consultado el 29 de abril de 2023.
↑ SpamCop FAQ: Open Relay Servers
↑ «Honeypot Software, Honeypot Products, Deception Software». Intrusion Detection, Honeypots and Incident Handling Resources. Honeypots.net. 2013. Archivado desde el original el 25 de diciembre de 2017. Consultado el 14 de junio de 2013.
↑ dustintrammell (27 de febrero de 2013). «spamhole – The Fake Open SMTP Relay Beta». SourceForge. Dice Holdings, Inc. Consultado el 14 de junio de 2013.
↑ «About Project Honey Pot» (en inglés). Consultado el 20 de abril de 2014.
↑ Security Database (10 de septiembre de 2009). «PenTBox v1.0.1 Beta - Security Suite» (en inglés). Consultado el 21 de abril de 2014.
↑ says, Chris (28 de septiembre de 2016). «Deception related technology - its not just a "nice to have", its a new strategy of defense». Lawrence Pingree (en inglés). Consultado el 29 de abril de 2023.
↑ Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019-12). «Review and Analysis of Cowrie Artefacts and Their Potential to be Used Deceptively». 2019 International Conference on Computational Science and Computational Intelligence (CSCI) (IEEE): 166-171. ISBN 978-1-7281-5584-5. doi:10.1109/CSCI49370.2019.00035. Consultado el 29 de abril de 2023.
↑ «Deception ToolKit». all.net. Consultado el 29 de abril de 2023.
↑ «1-800-564-1194 Cisco Technical Support, Customer Services». web.archive.org. 16 de enero de 2017. Archivado desde el original el 16 de enero de 2017. Consultado el 29 de abril de 2023.
↑ «Know Your Enemy: GenII Honeynets». web.archive.org. 25 de enero de 2009. Archivado desde el original el 25 de enero de 2009. Consultado el 29 de abril de 2023.
↑ (en inglés) «Tracking down hi-tech crime» BBC News. Consultado el 8 de agosto de 2012.
↑ (en inglés) «Trapping hackers in the honeypot» BBC News. Consultado el 8 de agosto de 2012.

Enlaces externos

(EN) 'Conoce a tu Enemigo': Todo lo que necesitas saber sobre honeypots
Un honeypot es un sistema de información cuyo valor recae en el uso ilícito de este sistema. ISBN 0-321-16646-9

Datos: Q911932
Multimedia: Honeypot (computing) / Q911932

[1] «PED: Red de Equipos Trampa de REdIRIS». Consultado el 26 de septiembre de 2015.

[honeypot-2] E Gallego, JEL de Vergara (2004). IX Congreso Nacional de Internet, Telecomunicaciones y Movilidad, ed. «Honeynets: Aprendiendo del Atacante».

[:0-3] «13th USENIX Security Symposium — Technical Paper». www.usenix.org. Consultado el 29 de abril de 2023.

[:1-4] Mairh, Abhishek; Barik, Debabrat; Verma, Kanchan; Jena, Debasish (12 de febrero de 2011). «Honeypot in network security: a survey». Proceedings of the 2011 International Conference on Communication, Computing & Security. ICCCS '11 (Association for Computing Machinery): 600-605. ISBN 978-1-4503-0464-1. doi:10.1145/1947940.1948065. Consultado el 29 de abril de 2023.

[5] Mokube, Iyatiti; Adams, Michele (23 de marzo de 2007). «Honeypots: concepts, approaches, and challenges». Proceedings of the 45th annual southeast regional conference (en inglés) (ACM): 321-326. ISBN 978-1-59593-629-5. doi:10.1145/1233341.1233399. Consultado el 29 de abril de 2023.

[6] Litchfield, Samuel; Formby, David; Rogers, Jonathan; Meliopoulos, Sakis; Beyah, Raheem (2016-09). «Rethinking the Honeypot for Cyber-Physical Systems». IEEE Internet Computing 20 (5): 9-17. ISSN 1089-7801. doi:10.1109/MIC.2016.103. Consultado el 29 de abril de 2023.

[7] Chaitanya, Manish (2008). Architecting secure software systems. CRC Press/Taylor & Francis Group. ISBN 978-1-4200-8785-7. OCLC 297174715. Consultado el 29 de abril de 2023.

[8] «Exposing the Underground: Adventures of an Open Proxy Server». www.secureworks.com (en inglés). Consultado el 29 de abril de 2023.

[9] «Capturing web attacks with open proxy honeypots [LWN.net]». lwn.net. Consultado el 29 de abril de 2023.

[10] SpamCop FAQ: Open Relay Servers

[11] «Honeypot Software, Honeypot Products, Deception Software». Intrusion Detection, Honeypots and Incident Handling Resources. Honeypots.net. 2013. Archivado desde el original el 25 de diciembre de 2017. Consultado el 14 de junio de 2013.

[12] ustintrammell (27 de febrero de 2013). «spamhole – The Fake Open SMTP Relay Beta». SourceForge. Dice Holdings, Inc. Consultado el 14 de junio de 2013.

[13] «About Project Honey Pot» (en inglés). Consultado el 20 de abril de 2014.

[14] Security Database (10 de septiembre de 2009). «PenTBox v1.0.1 Beta - Security Suite» (en inglés). Consultado el 21 de abril de 2014.

[15] says, Chris (28 de septiembre de 2016). «Deception related technology - its not just a "nice to have", its a new strategy of defense». Lawrence Pingree (en inglés). Consultado el 29 de abril de 2023.

[16] Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019-12). «Review and Analysis of Cowrie Artefacts and Their Potential to be Used Deceptively». 2019 International Conference on Computational Science and Computational Intelligence (CSCI) (IEEE): 166-171. ISBN 978-1-7281-5584-5. doi:10.1109/CSCI49370.2019.00035. Consultado el 29 de abril de 2023.

[17] «Deception ToolKit». all.net. Consultado el 29 de abril de 2023.

[18] «1-800-564-1194 Cisco Technical Support, Customer Services». web.archive.org. 16 de enero de 2017. Archivado desde el original el 16 de enero de 2017. Consultado el 29 de abril de 2023.

[19] «Know Your Enemy: GenII Honeynets». web.archive.org. 25 de enero de 2009. Archivado desde el original el 25 de enero de 2009. Consultado el 29 de abril de 2023.

[20] (en inglés) «Tracking down hi-tech crime» BBC News. Consultado el 8 de agosto de 2012.

[21] (en inglés) «Trapping hackers in the honeypot» BBC News. Consultado el 8 de agosto de 2012.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

Summary