Honeypotting: ouvindo o que a internet tem a dizer

A técnica chamada Honeypot nos permite escutar a internet para monitorar as últimas ameaças digitais em curso. Através dela, podemos registrar e analisar os passos preliminares de um atacante (seja ele um bot ou humano) antes que ele inicie a infecção de sistemas. A técnica é utilizada desde o meio da década de noventa como a ponta de lança na descoberta de novos vetores de ataque.

Atualmente, os honeypots são uma importante ferramenta de acesso a dados que facilitam o trabalho de investigação e desenvolvimento de soluções orientadas a mitigar ameaças de segurança. Além disso, nos permitem criar um sistema que facilite ou complemente o trabalho de detecção de invasões nos sistemas de defesa das empresas.

Analisamos os eventos registrados durante uma sondagem que recolheu o tráfego online durante pouco menos de dois meses. Ainda que este experimento não seja algo novo, a interpretação dos dados cria uma visão atual de como ocorrem os ataques na web. Durante o exercício, recebemos um grande volume tráfego não solicitado com bots que fizeram varreduras aleatórias (e, em alguns casos, direcionada) e nos permitiram ver como a “pesca de arrasto” é feita na internet.

A técnica de honeypot é algo comum, implantada tanto em laboratório como por pesquisadores individuais. Ela cria um sensor valioso que nos ajuda a compor uma fotografia do estado da internet em sua forma mais primitiva ou selvagem: máquinas que encontram outras máquinas para trocar mensagens. Com esse experimento simples, pudemos verificar que:

O protocolo SIP (Session Initiation Protocol) é muito utilizado na rede. Servidores vulneráveis são procurados por atacantes ou utilizados como vetores de ataque. A ferramenta mais utilizada para alcança-los é o SIP Vicious, detectável por seu user-agent “friendly scanner” e com o método Options. Os endereços IP vêm, principalmente, da França.
O protocolo SSH foi o mais requisitado, foram 36.000 solicitações (de 2.560 endereços únicos) recebidas, principalmente, dos Estados Unidos, seguidos de perto por China, Holanda, Vietnã, Índia, França e Rússia.
Nos ataques que utilizam SSH, não se busca utilizar o método de força bruta que esgote por completo um dicionário de senhas comuns. O que os atacantes buscam nesse serviço são as falhas de configuração, testando um punhado de combinações de senhas e usuários conhecidos.
Os nomes de usuário mais utilizados são “root” e “admin”, seguidos por “user”, “pi”, “test”, “ubnt”, “guest” ou “ftpuser”.
O tráfego restante inclui protocolos comuns como DNS, HTTP, SNMP e em alguns casos, curiosamente, o DHCP.

As conclusões, mesmo que não revelem grandes novidades, nos fizeram recorda a importância de adotar a segurança como padrão sob todas as perspectivas do negócio. O verdadeiro desafio não está em recompilar a informação coletada, mas no foco do investigador que analisa os eventos para perceber qual parte desse tráfego é produzido com clara intenção maliciosa, aprender com suas técnicas e articular conhecimento para criar soluções que melhorem a segurança. Essa fotografia, no entanto, não pode ser estática. Para aproveitar ao máximo a técnica do honeypot como uma ferramenta de segurança, é necessário aplica-la de maneira permanente em sintonia com as soluções e ambientes adotados pela empresa. O honepotting permanente, que reproduza ou simule a infraestrutura real da companhia (para eliminar falsos positivos) e que seja utilizado como elemento de segurança diretamente ligado as soluções de segurança críticas, pode ajudar a bloquear as últimas ameaças de segurança das companhias.
O relatório completo do estudo (em sua versão original em espanhol) pode ser acessado abaixo:

Inovação e Laboratório

www.elevenpaths.com

Cibersegurança: um oceano de oportunidades para startupsBuscando o “lado obscuro» das aplicações cliente/servidor