En terminología informática, un honeypot es un mecanismo de seguridad informática configurado para detectar, desviar o, de alguna manera, contrarrestar los intentos de uso no autorizado de los sistemas de información . Por lo general, un honeypot consiste en datos (por ejemplo, en un sitio de red) que parecen ser una parte legítima del sitio que contiene información o recursos de valor para los atacantes. En realidad, está aislado, monitoreado y es capaz de bloquear o analizar a los atacantes. Esto es similar a las operaciones encubiertas de la policía , coloquialmente conocidas como "cebo" para un sospechoso. [1]
El principal uso de este señuelo de red es distraer a los posibles atacantes de información y máquinas más importantes en la red real, aprender sobre las formas de ataques que pueden sufrir y examinar dichos ataques durante y después de la explotación de un honeypot. Proporciona una forma de prevenir y ver vulnerabilidades en un sistema de red específico. Un honeypot es un señuelo utilizado para proteger una red de ataques presentes o futuros. [2] [3] Los honeypots derivan su valor del uso por parte de los atacantes. Si no se interactúa con el honeypot, tiene poco o ningún valor. Los honeypots se pueden utilizar para todo, desde ralentizar o detener ataques automatizados, capturar nuevos exploits, hasta recopilar inteligencia sobre amenazas emergentes o alertas y predicciones tempranas. [4]
Los honeypots se pueden diferenciar en función de si son físicos o virtuales: [2] [3]
Los honeypots se pueden clasificar en función de su implementación (uso/acción) y de su nivel de participación. Según su implementación, los honeypots se pueden clasificar en: [5]
Los honeypots de producción son fáciles de usar, capturan solo información limitada y son utilizados principalmente por corporaciones. Los honeypots de producción se colocan dentro de la red de producción con otros servidores de producción por una organización para mejorar su estado general de seguridad. Normalmente, los honeypots de producción son honeypots de baja interacción, que son más fáciles de implementar. Brindan menos información sobre los ataques o atacantes que los honeypots de investigación. [5]
Los honeypots de investigación se utilizan para recopilar información sobre los motivos y las tácticas de la comunidad de hackers que atacan a distintas redes. Estos honeypots no agregan valor directo a una organización específica; en cambio, se utilizan para investigar las amenazas que enfrentan las organizaciones y para aprender cómo protegerse mejor contra ellas. [6] Los honeypots de investigación son complejos de implementar y mantener, capturan información extensa y son utilizados principalmente por organizaciones de investigación, militares o gubernamentales. [7]
Según criterios de diseño, los honeypots se pueden clasificar en: [5]
Los honeypots puros son sistemas de producción completos. Las actividades del atacante se monitorean mediante un bug tap que se ha instalado en el enlace del honeypot a la red. No es necesario instalar ningún otro software. Si bien un honeypot puro es útil, se puede garantizar el sigilo de los mecanismos de defensa mediante un mecanismo más controlado.
Los honeypots de alta interacción imitan las actividades de los sistemas de producción que alojan una variedad de servicios y, por lo tanto, se puede permitir que un atacante tenga muchos servicios para perder el tiempo. Al emplear máquinas virtuales , se pueden alojar múltiples honeypots en una sola máquina física. Por lo tanto, incluso si el honeypot se ve comprometido, se puede restaurar más rápidamente. En general, los honeypots de alta interacción brindan más seguridad al ser difíciles de detectar, pero son costosos de mantener. Si no hay máquinas virtuales disponibles, se debe mantener una computadora física para cada honeypot, lo que puede ser exorbitantemente costoso. Ejemplo: Honeynet .
Los honeypots de baja interacción simulan únicamente los servicios solicitados con frecuencia por los atacantes. [8] Dado que consumen relativamente pocos recursos, se pueden alojar fácilmente varias máquinas virtuales en un sistema físico, los sistemas virtuales tienen un tiempo de respuesta corto y se requiere menos código, lo que reduce la complejidad de la seguridad del sistema virtual. Ejemplo: Honeyd . Este tipo de honeypot fue uno de los primeros tipos que se crearon a finales de los noventa y se utilizó principalmente para detectar ataques, no para estudiarlos. [9]
Sugarcane es un tipo de honeypot que se hace pasar por un proxy abierto. [10] A menudo puede tomar la forma de un servidor diseñado para parecerse a un proxy HTTP mal configurado. [11] Probablemente el proxy abierto más famoso fue la configuración predeterminada de sendmail (antes de la versión 8.9.0 en 1998) que reenviaba correo electrónico hacia y desde cualquier destino. [12]
Recientemente, ha surgido un nuevo segmento de mercado llamado tecnología de engaño que utiliza tecnología honeypot básica con la incorporación de automatización avanzada para lograr una mayor escala. La tecnología de engaño aborda la implementación automatizada de recursos honeypot en una gran empresa comercial o institución gubernamental. [13]
Los honeypots de malware son señuelos diseñados para atraer intencionalmente software malicioso. Lo hacen imitando un sistema o red vulnerable, como un servidor web. El honeypot está configurado intencionalmente con fallas de seguridad que buscan invitar a estos ataques de malware. Una vez atacado, los equipos de TI pueden analizar el malware para comprender mejor de dónde proviene y cómo actúa. [14]
Los spammers abusan de recursos vulnerables como los servidores proxy y los retransmisores de correo abiertos . Se trata de servidores que aceptan correo electrónico de cualquier persona en Internet (incluidos los spammers) y lo envían a su destino. Algunos administradores de sistemas han creado programas trampa que se hacen pasar por estos recursos abusivos para descubrir la actividad de los spammers.
Estos honeypots ofrecen varias posibilidades a los administradores, y la existencia de estos sistemas falsos y abusivos hace que el abuso sea más difícil o riesgoso. Los honeypots pueden ser una poderosa contramedida contra el abuso por parte de quienes dependen de un volumen muy alto de abuso (por ejemplo, los spammers).
Estos honeypots pueden revelar la dirección IP del abusador y proporcionar captura masiva de spam (lo que permite a los operadores determinar las URL de los spammers y los mecanismos de respuesta). Como lo describe M. Edwards en ITPRo Today:
Normalmente, los spammers prueban un servidor de correo para comprobar si hay retransmisión abierta simplemente enviándose a sí mismos un mensaje de correo electrónico. Si el spammer recibe el mensaje de correo electrónico, el servidor de correo obviamente permite la retransmisión abierta. Sin embargo, los operadores de honeypot pueden utilizar la prueba de retransmisión para frustrar a los spammers. El honeypot capta el mensaje de correo electrónico de prueba de retransmisión, devuelve el mensaje de correo electrónico de prueba y, posteriormente, bloquea todos los demás mensajes de correo electrónico de ese spammer. Los spammers siguen utilizando el honeypot antispam para enviar spam, pero el spam nunca se entrega. Mientras tanto, el operador del honeypot puede notificar a los ISP de los spammers y hacer que sus cuentas de Internet se cancelen. Si los operadores del honeypot detectan spammers que utilizan servidores proxy abiertos, también pueden notificar al operador del servidor proxy que bloquee el servidor para evitar un mayor uso indebido. [15]
La fuente aparente puede ser otro sistema mal utilizado. Los spammers y otros abusadores pueden utilizar una cadena de sistemas mal utilizados para dificultar la detección del punto de partida original del tráfico malicioso.
Esto en sí mismo es un indicador del poder de los honeypots como herramientas antispam . En los primeros tiempos de los honeypots antispam, los spammers, que no se preocupaban demasiado por ocultar su ubicación, se sentían seguros al probar vulnerabilidades y enviar spam directamente desde sus propios sistemas. Los honeypots hacían que el abuso fuera más riesgoso y más difícil.
El spam sigue circulando a través de los relés abiertos, pero el volumen es mucho menor que en 2001-02. Aunque la mayor parte del spam se origina en los EE.UU., [16] los spammers saltan a través de relés abiertos a través de fronteras políticas para ocultar su origen. Los operadores de honeypots pueden utilizar pruebas de relés interceptados para reconocer y frustrar los intentos de retransmitir spam a través de sus honeypots. "Frenar" puede significar "aceptar el spam de retransmisión pero negarse a entregarlo". Los operadores de honeypots pueden descubrir otros detalles sobre el spam y el spammer examinando los mensajes de spam capturados.
Los honeypots de retransmisión abierta incluyen Jackpot, escrito en Java por Jack Cleaver; smtpot.py , escrito en Python por Karl A. Krueger; [17] y spamhole, escrito en C. [18] El Bubblegum Proxypot es un honeypot de código abierto (o "proxypot"). [19]
Una dirección de correo electrónico que no se utiliza para ningún otro fin que no sea el de recibir correo basura también puede considerarse una trampa de spam. En comparación con el término " trampa de spam ", el término "trampa de spam" podría ser más adecuado para los sistemas y técnicas que se utilizan para detectar o contraatacar las sondas. Con una trampa de spam, el correo basura llega a su destino de forma "legítima", exactamente como llegaría un correo electrónico que no fuera spam.
Una amalgama de estas técnicas es el Proyecto Honey Pot , un proyecto distribuido de código abierto que utiliza páginas honeypot instaladas en sitios web de todo el mundo. Estas páginas honeypot difunden direcciones de correo electrónico de trampas de spam con etiquetas exclusivas y, a continuación, se puede rastrear a los spammers ; el correo spam correspondiente se envía posteriormente a estas direcciones de correo electrónico de trampas de spam. [20]
Las bases de datos suelen ser atacadas por intrusos que utilizan la inyección SQL . Como los firewalls básicos no reconocen estas actividades, las empresas suelen utilizar firewalls de bases de datos para protegerse. Algunos de los firewalls de bases de datos SQL disponibles proporcionan/soportan arquitecturas honeypot para que el intruso se ejecute contra una base de datos trampa mientras la aplicación web sigue funcionando. [21]
Los sistemas de control industrial (ICS) suelen ser el objetivo de ciberataques. [22] Uno de los principales objetivos dentro de los ICS son los controladores lógicos programables . [23] Para comprender las técnicas de los intrusos en este contexto, se han propuesto varios honeypots. Conpot [24] [25] es un honeypot de baja interacción capaz de simular PLC de Siemens. HoneyPLC es un honeypot de interacción media que puede simular Siemens, Rockwell y otras marcas de PLC. [26] [27]
Así como los honeypots son armas contra los spammers, los sistemas de detección de honeypots son contraarmas empleadas por los spammers. Como los sistemas de detección probablemente utilizarían características únicas de honeypots específicos para identificarlos, como los pares de propiedades y valores de la configuración predeterminada del honeypot, [28] muchos honeypots en uso utilizan un conjunto de características únicas más grande y más desalentador para aquellos que buscan detectarlos y, por lo tanto, identificarlos. Esta es una circunstancia inusual en el software; una situación en la que la "versionitis" (una gran cantidad de versiones del mismo software, todas ligeramente diferentes entre sí) puede ser beneficiosa. También hay una ventaja en tener implementados algunos honeypots fáciles de detectar. Fred Cohen , el inventor del Deception Toolkit, sostiene que cada sistema que ejecute su honeypot debería tener un puerto de engaño que los adversarios puedan usar para detectar el honeypot. [29] Cohen cree que esto podría disuadir a los adversarios. Los honeypots también permiten la detección temprana de amenazas legítimas. No importa cómo detecte el honeypot el exploit, puede alertarlo inmediatamente sobre el intento de ataque. [30]
El objetivo de los honeypots es atraer y mantener en contacto a los atacantes durante un período lo suficientemente largo como para obtener indicadores de compromiso (IoC) de alto nivel, como herramientas de ataque y tácticas, técnicas y procedimientos (TTP). Por lo tanto, un honeypot debe emular los servicios esenciales de la red de producción y otorgarle al atacante la libertad de realizar actividades adversarias para aumentar su atractivo para el atacante. Aunque el honeypot es un entorno controlado y se puede monitorear mediante herramientas como honeywall, [31] los atacantes aún pueden usar algunos honeypots como nodos pivote para penetrar en los sistemas de producción. [32]
El segundo riesgo de los honeypots es que pueden atraer a usuarios legítimos debido a la falta de comunicación en redes empresariales de gran escala. Por ejemplo, el equipo de seguridad que aplica y supervisa el honeypot puede no revelar la ubicación del honeypot a todos los usuarios a tiempo debido a la falta de comunicación o la prevención de amenazas internas. [33] [34]
"Una 'red de miel' es una red de honeypots de alta interacción que simula una red de producción y está configurada de tal manera que toda la actividad es monitoreada, registrada y, en cierto grado, regulada discretamente".
-Lance Spitzner,
Proyecto Honeynet
Dos o más honeypots en una red forman una honeynet . Normalmente, una honeynet se utiliza para supervisar una red más grande y/o más diversa en la que un solo honeypot puede no ser suficiente. Las honeynets y los honeypots suelen implementarse como partes de sistemas de detección de intrusiones de red más grandes . Una honeyfarm es una colección centralizada de honeypots y herramientas de análisis. [35]
El concepto de red de miel comenzó en 1999 cuando Lance Spitzner, fundador del Proyecto Honeynet , publicó el artículo "Cómo construir una red de miel". [36]
Una formulación temprana del concepto, llamada "trampa", se define en FIPS 39 (1976) como "la implantación deliberada de fallas aparentes en un sistema con el propósito de detectar intentos de penetración o confundir a un intruso sobre qué fallas explotar". [37]
Las primeras técnicas de honeypot se describen en el libro de Clifford Stoll de 1989, The Cuckoo's Egg .
Uno de los primeros casos documentados del uso de honeypots en ciberseguridad comenzó en enero de 1991. El 7 de enero de 1991, mientras trabajaba en AT&T Bell Laboratories, Cheswick observó a un pirata informático criminal, conocido como cracker , que intentaba obtener una copia de un archivo de contraseñas. Cheswick escribió que él y sus colegas construyeron una "cárcel chroot" (o "motel de cucarachas") que les permitió observar a su atacante durante un período de varios meses. [38]
En 2017, la policía holandesa utilizó técnicas honeypot para rastrear a los usuarios del mercado de la darknet Hansa .
La metáfora de un oso que se siente atraído por la miel y la roba es común en muchas tradiciones, incluidas las germánicas, celtas y eslavas. Una palabra eslava común para el oso es medved "comedor de miel". La tradición de los osos que roban miel se ha transmitido a través de historias y folclore, especialmente el conocido Winnie the Pooh . [39] [40]