Saltar para o conteúdo

Pote de mel (computação): diferenças entre revisões

Origem: Wikipédia, a enciclopédia livre.
Explorar interativamente o histórico
← Ver a alteração anteriorVer a alteração posterior →
Conteúdo apagado Conteúdo adicionado
VisualTexto wiki
GKNishimoto (discussão | contribs)
2 848 edições
m Gkiyoshinishimoto moveu Honeypot para Pote de mel (computação)
GKNishimoto (discussão | contribs)
2 848 edições
Etiqueta: Inserção de predefinição obsoleta
Linha 1: Linha 1:
​{{Short description|Mecanismo de segurança de computador}}
'''Honeypot''' (tradução livre para o português: "pote de mel") é uma ferramenta que tem a função de propositalmente simular [[Segurança da informação|falhas de segurança de um sistema]] e colher informações sobre o invasor.<ref>{{citar web|url=http://www.cert.br/docs/whitepapers/honeypots-honeynets/|título=www.cert.br/docs/whitepapers/honeypots-honeynets/|autor=Cristine Hoepers, Klaus Steding-Jessen e Marcelo H. P. C. Chaves|data=1 de agosto de 2007|publicado= [[Cert.br]] |acessodata=1 de julho de 2013}}</ref> É uma espécie de armadilha para invasores. O honeypot não oferece nenhum tipo de proteção.
Na terminologia de computador, um '''pote de mel''' é um mecanismo de [[Segurança de computadores|​​segurança de computador]] configurado para detectar, desviar ou, de alguma maneira, neutralizar tentativas de uso não autorizado de [[Sistema de informação|sistemas de informação]]. Geralmente, um pote de mel consiste em [[dados]] (por exemplo, em um ''site'' da rede) que parecem ser uma parte legítima do ''site'' e contêm informações ou recursos de valor para os invasores. Na verdade, é isolado, monitorado e capaz de bloquear ou analisar os invasores. Isso é semelhante a <!-- [[:en:Sting operation]] -->operações policiais, coloquialmente conhecidas como "atrair" um suspeito.<ref>{{Cite web|url=https://www.sans.edu/cyber-research/security-laboratory/article/honeypots-guide|title=Potes de mel: guia do gerente de segurança para potes de mel
|last1=Cole|first1=Eric|last2=Northcutt|first2=Stephen|language=en|urlmorta=sim|archive-url=https://web.archive.org/web/20170316110416/https://www.sans.edu/cyber-research/security-laboratory/article/honeypots-guide|archive-date=2017-03-16}}</ref>
[[File:Honeypot diagram.jpg|thumb|Diagrama de um pote de mel de sistema de informação]]
==Tipos==
Os potes de mel podem ser classificados com base em sua implantação (uso/ação) e em seu nível de envolvimento. Com base na implantação, os potes de mel podem ser classificados como:<ref name=":0">{{Cite journal|last1=Mokube|first1=Iyatiti|last2=Adams|first2=Michele|date=03-2007|title=Potes de mel: conceitos, abordagens e desafios|
url=https://doi.org/10.1145/1233341.1233399|journal=Procedimentos da 45ª conferência regional sudeste anual|pages=321 à 326|doi=10.1145/1233341.1233399<!-- |s2cid=15382890 -->|language=en}}</ref>
* Potes de mel de produção
* Potes de mel de pesquisa
Os '''potes de mel de produção''' são fáceis de usar, capturam apenas informações limitadas e são usados principalmente por empresas. Os potes de mel de produção são colocados dentro da rede de produção com outros servidores de produção por uma organização para melhorar seu estado geral de segurança. Normalmente, os potes de mel de produção são potes de mel de baixa interação, que são mais fáceis de implantar. Eles fornecem menos informações sobre os ataques ou invasores do que os potes de mel de pesquisa.<ref name=":0" />


Os '''potes de mel de pesquisa''' são executados para reunir informações sobre os motivos e táticas da comunidade de <!-- [[:en:Black hat (computer security)]] -->chapéu preto que visa diferentes redes. Esses potes de mel não agregam valor direto a uma organização específica; em vez disso, eles são usados para pesquisar as ameaças que as organizações enfrentam e aprender como se proteger melhor contra essas ameaças.<ref>{{cite book|title=Potes de mel rastreando hackers|author=Lance Spitzner|publisher=[[Addison-Wesley]]|isbn=0-321-10895-7|year=2002|pages=68 à 70|language=en}}</ref> Os potes de mel de pesquisa são complexos de implantar e manter, capturam informações extensas e são usados principalmente por organizações de pesquisa, militares ou governamentais.<ref name="Attacks Landscape in the Dark Side of the Web">{{Cite web |url=http://www.madlab.it/papers/sac17_darknets.pdf|title=Paisagem de ataques no lado escuro da ''web''|last=Katakoglu|first=Onur |date=2017-04-03|website=acm.org |access-date=2017-08-09|language=en}}</ref>
== Tipos de honeypot ==
* ''Honeypots de pesquisa'': acumular o máximo de informações dos Invasores e suas ferramentas – Grau alto de comprometimento – Redes externas ou sem ligação com rede principal.
* ''Honeypots de produção'': diminuir risco – Elemento de distração ou dispersão....


Com base em critérios de ''design'', os potes de mel podem ser classificados como:<ref name=":0" />
== Níveis de honeypot ==
* Potes de mel puros
* ''Baixa Interatividade:'' serviços Falsos – Listener TCP/UDP – Respostas Falsas
* Potes de mel de alta interação
* ''Média Interatividade:'' ambiente falso – Cria uma ilusão de domínio da máquina
* Potes de mel de baixa interação
* ''Alta Interatividade:'' so com serviços comprometidos – Não perceptível ao atacante


Os '''potes de mel puros''' são sistemas de produção completos. As atividades do invasor são monitoradas por meio de um ''bug tap'' que foi instalado no ''link'' do pote de mel com a rede. Nenhum outro ''software'' precisa ser instalado. Mesmo que um pote de mel puro seja útil, a furtividade dos mecanismos de defesa pode ser garantida por um mecanismo mais controlado.
{{referências}}


Os '''potes de mel de alta interação''' imitam as atividades dos sistemas de produção que hospedam uma variedade de serviços e, portanto, um invasor pode receber muitos serviços para desperdiçar seu tempo. Ao empregar [[Máquina virtual|máquinas virtuais]], vários potes de mel podem ser hospedados em uma única máquina física. Portanto, mesmo se o pote de mel estiver comprometido, ele pode ser restaurado mais rapidamente. Em geral, os potes de mel de alta interação fornecem mais segurança por serem difíceis de detectar, mas são caros de manter. Se as máquinas virtuais não estiverem disponíveis, um computador físico deve ser mantido para cada pote de mel, o que pode ser exorbitante. Exemplo: <!-- [[:en:Honeynet Project]] -->Honeynet.
==Ligações externas==
* {{Link||2=http://www.ravel.ufrj.br/sites/ravel.ufrj.br/files/publicacoes/honeynet.pdf|3=Honeypots - A segurança através do disfarce.}}
* {{Link||2=http://www.hugoazevedo.eti.br/doc/honeypot_honeynet.pdf|3=Honeypots.}}
{{Esboço-redes}}
{{Portal3|Tecnologias de informação}}


Os '''potes de mel de baixa interação''' simulam apenas os serviços frequentemente solicitados pelos invasores. Como consomem relativamente poucos recursos, várias máquinas virtuais podem ser facilmente hospedadas em um sistema físico, os sistemas virtuais têm um tempo de resposta curto e menos código é necessário, reduzindo a complexidade da segurança do sistema virtual. Exemplo: [[Honeyd]].
{{DEFAULTSORT:Honeypot}}
===Tecnologia de engano===
Recentemente, um novo segmento de mercado chamado <!-- [[:en:Deception technology]] -->tecnologia de engano surgiu usando a tecnologia básica de pote de mel com a adição de automação avançada para escala. A tecnologia de engano aborda a implantação automatizada de recursos de pote de mel em uma grande empresa comercial ou instituição governamental.<ref>{{cite web|url=http://blogs.gartner.com/lawrence-pingree/2016/09/28/deception-related-technology-its-not-just-a-nice-to-have-its-a-new-strategy-of-defense/|title=Tecnologia relacionada ao engano - não é apenas "bom ter", é uma nova estratégia de defesa – Lawrence Pingree|date=28-09-2016|language=en}}</ref>
===Potes de mel de ''malware''===
Os potes de mel de ''malware'' são usados para detectar ''malware'', explorando a replicação conhecida e os vetores de ataque de ''malware''. Os vetores de replicação, como [[USB flash drive|unidades ''flash USB'']], podem ser facilmente verificados quanto a evidências de modificações, seja por meios manuais ou utilizando potes de mel para fins especiais que emulam unidades. Cada vez mais, o ''malware'' é usado para pesquisar e roubar criptomoedas.<ref>{{cite web|last1=Litke|first1=Pat|title=Cenário de ''malware'' para roubo de criptomoedas|url=https://www.secureworks.com/research/cryptocurrency-stealing-malware-landscape|website=Secureworks.com|publisher=SecureWorks|access-date=9-03-2016|archive-url=https://web.archive.org/web/20171222223453/https://www.secureworks.com/research/cryptocurrency-stealing-malware-landscape|archive-date=22-12-2017|language=en}}</ref>
===Versões de ''spam''===
Os [[Spam|''spammers'']] abusam de recursos vulneráveis, como [[Open mail relay|retransmissores de ''e-mails'']] e ''proxies'' abertos. Esses são servidores que aceitam ''e-mail'' de qualquer pessoa na ''Internet'' - incluindo ''spammers'' - e os enviam ao seu destino. Alguns administradores de sistema criaram programas pote de mel que se disfarçam como esses recursos abusivos para descobrir a atividade do ''spammer''.


Existem vários recursos que esses potes de mel fornecem a esses administradores e a existência de tais sistemas, falsos e abusáveis, torna o abuso mais difícil ou arriscado. Os potes de mel podem ser uma contramedida poderosa contra o abuso daqueles que dependem de um abuso de alto volume (por exemplo, ''spammers'').
[[Categoria:Softwares de segurança computacional]]

Esses potes de mel podem revelar o [[Endereço IP|endereço ''IP'']] do abusador e fornecer captura de ''spam'' em massa (que permite aos operadores determinar os ''[[URL]]s'' dos ''spammers'' e mecanismos de resposta). Conforme descrito por M. Edwards na ITPRo Today:

{{Quote|text=Normalmente, os ''spammers'' testam um servidor de ''e-mail'' para retransmissão aberta, simplesmente enviando uma mensagem de ''e-mail'' para si mesmos. Se o ''spammer'' receber a mensagem de ''e-mail'', o servidor de ''e-mail'' obviamente permite a retransmissão aberta. Operadores de potes de mel, no entanto, podem usar o teste de retransmissão para impedir ''spammers''. O pote de mel captura a mensagem de ''e-mail'' de teste de retransmissão, retorna a mensagem de ''e-mail'' de teste e, subsequentemente, bloqueia todas as outras mensagens de ''e-mail'' desse ''spammer''. Os ''spammers'' continuam a usar o pote de mel ''antispam'' para ''spam'', mas o ''spam'' nunca é entregue. Enquanto isso, o operador do pote de mel pode notificar os ''ISPs'' dos ''spammers'' e ter suas contas de acesso à ''Internet'' canceladas. Se os operadores de potes de mel detectarem ''spammers'' que usam servidores ''proxies'' abertos, eles também podem notificar os operadores do servidores ''proxies'' para bloquearem os servidores e evitaren mais usos indevidos.<ref>{{cite web|last1=Edwards|first1=M.|title=Potes de mel antispam causam dores de cabeça aos ''spammers''|url=http://windowsitpro.com/exchange-server/antispam-honeypots-give-spammers-headaches|publisher=Windows IT Pro|access-date=11-03-2015|archive-url=https://web.archive.org/web/20170701040344/http://windowsitpro.com/exchange-server/antispam-honeypots-give-spammers-headaches|archive-date=1-07-2017|urlmorta=sim|language=en}}</ref>}}

A fonte aparente pode ser outro sistema abusado. Os ''spammers'' e outros abusadores podem usar uma cadeia de tais sistemas abusados para dificultar a detecção do ponto de partida original do tráfego abusivo.

Isso por si só é indicativo do poder dos potes de mel como ferramentas <!-- [[:en:Anti-spam techniques]] -->''antispam''. Nos primeiros dias dos potes de mel ''antispam'', os ''spammers'' com pouca preocupação em ocultar sua localização se sentiam seguros testando vulnerabilidades e enviando ''spam'' diretamente de seus próprios sistemas. Os potes de mel tornaram os abusos mais arriscados e difíceis.

O ''spam'' ainda flui por meio de retransmissões abertas, mas o volume é muito menor do que em 2001-02. Enquanto a maioria do ''spam'' se origina nos Estados Unidos,<ref>{{cite web|title=Sophos revela os mais recentes países de retransmissão de ''spam''|url=https://www.helpnetsecurity.com/2006/07/24/sophos-reveals-latest-spam-relaying-countries/|work=Help Net Security|publisher=Help Net Security|access-date=14-06-2013|date=24-07-2006|language=en}}</ref> os ''spammers'' saltam através de retransmissores abertos através das fronteiras políticas para mascarar sua origem. Operadores de pote de mel podem usar testes de retransmissão interceptados para reconhecer e impedir tentativas de retransmissão de ''spam'' por meio de seus potes de mel. "Impedir" pode significar "aceitar o ''spam'' de retransmissão, mas se recusar a o entregar". Os operadores do pote de mel podem descobrir outros detalhes sobre o ''spam'' e o ''spammer'' examinando as mensagens de ''spam'' capturadas.

Os potes de mel de retransmissão aberta incluem o Jackpot, escrito em [[Java (linguagem de programação)|Java]] por Jack Cleaver; o ''smtpot.py'', escrito em ''[[Python]]'' por Karl A. Krueger;<ref>{{cite web|title=''Software'' pote de mel, produtos pote de mel, ''software'' enganador|url=http://www.honeypots.net/honeypots/products|year=2013|work=Recursos de detecção de intrusão, potes de mel e tratamento de incidentes|publisher=Honeypots.net|urlmorta=sim|archive-url=https://web.archive.org/web/20031008120110/http://www.honeypots.net/honeypots/products|archive-date=8-10-2003|access-date=14-06-2013|language=en}}</ref> e o ''spamhole'', escrito em [[C (linguagem de programação)|C]].<ref>{{cite web|title=''spamhole'' – A versão ''beta'' do retransmissor ''SMTP'' aberto falso|url=http://sourceforge.net/projects/spamhole/|work=SourceForge|publisher=Dice Holdings, Inc.|access-date=14-06-2013|author=dustintrammell|date=27-02-2013|language=en}}</ref> O ''Bubblegum Proxypot'' é um pote de mel de código aberto (ou "''proxypot''"). <ref name="Ec-Council2009">{{cite book|author=Ec-Council|title=Hacker ético certificado: protegendo a infraestrutura de rede em hackers éticos certificados|url=https://books.google.com/books?id=nERI0SQqF_sC&pg=SA3-PA23|access-date=14-06-2013|date=5-07-2009|publisher=Cengage Learning|isbn=978-1-4354-8365-1|pages=3–|language=en}}</ref>
===Armadilha de ''e-mail''===
<!-- {{Main|Spamtrap}} -->
Um endereço de ''e-mail'' que não seja usado para nenhum outro propósito além de receber ''spam'' também pode ser considerado um pote de mel de ''spam''. Comparado com o termo <!-- [[:en:Spamtrap]] -->"''spamtrap''", o termo "pote de mel" pode ser mais adequado para sistemas e técnicas usados para detectar ou contra atacar probes. Com uma armadilha de ''spam'', o ''spam'' chega ao seu destino "legitimamente" - exatamente como um ''e-mail'' sem ''spam'' chegaria.

Um amálgama dessas técnicas é o <!-- [[:en:Project Honey Pot]] -->
''Project Honey Pot'', um projeto distribuído de código aberto que usa páginas pote de mel instaladas em ''sites'' de todo o mundo. Essas páginas pote de mel disseminam endereços de ''e-mail'' de ''spamtrap'' marcados exclusivamente e os <!-- [[:en:List of spammers]] -->''spammers'' podem então ser rastreados - o ''e-mail'' de ''spam'' correspondente é subsequentemente enviado a esses endereços de ''e-mail'' de ''spamtrap''.
===Pote de mel de banco de dados===
Frequentemente, os bancos de dados são atacados por invasores usando [[Injeção de SQL|injeção de ''SQL'']]. Como tais atividades não são reconhecidas por ''firewalls'' básicos, as empresas costumam usar ''firewalls'' de banco de dados para proteção. Alguns dos ''firewalls'' de [[SQL|banco de dados ''SQL'']] disponíveis fornecem/suportam arquiteturas de pote de mel para que o invasor execute em um banco de dados de armadilhas enquanto o aplicativo da ''web'' permanece funcional.<ref>{{cite web|url=http://www.dbcoretech.com/?p=453|archive-url=https://web.archive.org/web/20120308171843/http://www.dbcoretech.com/?p=453|title=Proteja seu banco de dados usando a arquitetura pote de mel|archive-date=8-03-2012|date=13-08-2010|publisher=dbcoretech.com|urlmorta=sim|language=en}}</ref>
==Detecção de pote de mel==
Assim como os potes de mel são armas contra ''spammers'', os sistemas de detecção de potes de mel são contra armas empregadas por ''spammers''. Como os sistemas de detecção provavelmente usariam características exclusivas de potes de mel específicos para os identificar, como os pares de valor de propriedade da configuração de pote de mel padrão,<ref>{{cite conference|title=Revisão e análise de artefatos de <!-- [[:en:Cowrie (honeypot)]] -->Cowrie e seu potencial para serem usados de forma enganosa|last1=Cabral|first1=Warren|last2=Valli|first2=Craig|last3=Sikos|first3=Leslie|last4=Wakeling |first4=Samuel|year=2019|publisher=IEEE|book-title=Procedimentos da conferência internacional sobre ciência da computação e inteligência computacional de 2019|pages=166 à 171|doi=10.1109/CSCI49370.2019.00035|language=en}}</ref> muitos potes de mel em uso utilizam um conjunto de características exclusivas maiores e mais assustadoras para aqueles que procuram detectar e assim os identificar. Esta é uma circunstância incomum em ''software''; uma situação em que o [[wikt:Special:Search/versionitis|"versionitis]]" (um grande número de versões do mesmo ''software'', todas ligeiramente diferentes umas das outras) pode ser benéfico. Também há uma vantagem em ter alguns potes de mel fáceis de detectar implantados. <!-- [[:en:Fred Cohen]] -->
Fred Cohen, o inventor do ''deception toolkit'', argumenta que todo sistema executando seu pote de mel deve ter uma porta de engano que os adversários podem usar para detectar o pote de mel.<ref name="dtk">{{cite web|title=''Deception toolkit''|url=http://all.net/dtk/index.html|work=All.net|publisher=All.net|access-date=14-06-2013|year=2013|language=en}}</ref> Cohen acredita que isso pode dissuadir os adversários.
==Riscos==
O objetivo dos potes de mel é atrair e engajar invasores por um período suficientemente longo para obter <!-- [[:en:Indicator of compromise]] -->indicadores de comprometimento (''IoC'') de alto nível, como ferramentas de ataque e <!-- [[:en:Terrorist Tactics, Techniques, and Procedures]] -->táticas, técnicas e procedimentos (''TTPs''). Assim, um pote de mel precisa emular serviços essenciais na rede de produção e conceder ao invasor a liberdade de executar atividades adversárias para aumentar sua atratividade para o invasor. Embora o pote de mel seja um ambiente controlado e possa ser monitorado usando ferramentas como o honeywall,<ref>{{Cite web|title=''CDROM'' do honeywall – O projeto honeynet|url=https://www.honeynet.org/projects/old/honeywall-cdrom/|access-date=2020-08-07|language=en}}</ref> os invasores ainda podem ser capazes de usar alguns potes de mel como nós de pivô para penetrar nos sistemas de produção.<ref>{{Cite book|author=Spitzner, Lance|title=Potes de mel rastreando ''hackers''|year=2002|publisher=Addison-Wesley Professional|oclc=1153022947|language=en}}</ref> Essa compensação entre a atratividade do pote de mel e o risco de penetração foi investigada qualitativamente<ref>{{Cite book|author=Pouget, Fabien|author2=Dacier, Marc|author3=Debar, Hervé|title=Artigo: pote de mel, ''honeynet'', ''honeytoken'': questões terminológicas|date=2003-09-14|publisher=EURECOM|oclc=902971559|language=en}}</ref> e quantitativamente.<ref>{{Citation|last1=Huang|first1=Linan|title=Engajamento de pote de mel adaptável por meio do aprendizado de reforço de processos de decisão semi Markov|date=2019|work=Notas de aula em ciência da computação|pages=196 à 216|place=Cham|publisher=Springer International Publishing|isbn=978-3-030-32429-2|last2=Zhu|first2=Quanyan|doi=10.1007/978-3-030-32430-8_13|arxiv=1906.12182<!-- |s2cid=195750533 -->|language=en}}</ref>

O segundo risco dos potes de mel é que eles podem atrair usuários legítimos devido à falta de comunicação em redes corporativas de grande escala. Por exemplo, a equipe de segurança que aplica e monitora o pote de mel pode não divulgar a localização do pote de mel para todos os usuários a tempo devido à falta de comunicação ou à prevenção de ameaças internas.<ref>{{Cite journal|last1=Qassrawi|first1=Mahmoud T.|author2=Hongli Zhang|date=05-2010|title=Potes de mel de clientes: abordagens e desafios|url=https://ieeexplore.ieee.org/document/5488508|journal=4ª conferência internacional sobre novas tendências em ciência da informação e ciência de serviços|pages=19 à 25|language=en}}</ref><ref>{{Cite web|title=Redes ilusórias: por que os potes de mel estão estagnados no passado {{!}} ''NEA'' {{!}} Novos associados corporativos|url=https://www.nea.com/blog/illusive-networks-why-honeypots-are-stuck-in-the-past|access-date=2020-08-07|website=www.nea.com|language=en}}</ref> Um modelo teórico de jogo<ref>L. Huang e Q. Zhu, "Jogos de duplicidade para projeto de fraude com um aplicativo para mitigação de ameaças internas", em transações em perícia de informação e segurança ''IEEE'' (em inglês), doi:10.1109/TIFS.2021.3118886.</ref> foi proposto para simultaneamente incentivar usuários adversários e desincentivar usuários legítimos para o acesso ao pote de mel, explorando a diferença de utilidade entre dois tipos de usuários.
==Redes de mel==
{{Caixa de citação
|quote="Uma ''rede de mel'' é uma rede de potes de mel de alta interação que simula uma rede de produção e é configurada de forma que toda a atividade seja monitorada, registrada e, em certo grau, discretamente regulada."
|autor = -Lance Spitzner,<br/><!-- [[:en:Honeynet Project]] -->Honeynet Project
|source =
|align = floatright
|width = 18%
|qalign = justified
|salign = right
}}
Dois ou mais potes de mel em uma rede formam uma rede potes de mel. Normalmente, uma rede pote de mel é usada para monitorar uma rede maior e/ou mais diversa na qual um pote de mel pode não ser suficiente. Redes de mel e potes de mel são geralmente implementados como partes de [[Sistema de detecção de intrusos|sistemas de detecção de intrusão]] de redes maiores. Uma fazenda de mel é uma coleção centralizada de potes de mel e ferramentas de análise.<ref>{{cite web|url=http://www.reouterhelpsupport.com/cisco-customer-service.php|title=Suporte ao cliente de roteador cisco|publisher=Clarkconnect.com|access-date=2015-07-31|archive-url=https://web.archive.org/web/20170116043827/http://www.reouterhelpsupport.com/cisco-customer-service.php|archive-date=2017-01-16|urlmorta=sim|language=en}}</ref>

O conceito de rede de mel começou em 1999 quando Lance Spitzner, fundador do <!-- [[:en:Honeynet Project]] -->''Honeynet Project'', publicou o artigo "Para construir um pote de mel".<ref>{{cite web|title=Conheça o seu inimigo: redes de mel de segunda geração mais fáceis de implantar, mais difíceis de detectar e mais seguras de manter.|url=http://old.honeynet.org/papers/gen2/|date=12-05-2005|work=Honeynet Project|publisher=Honeynet Project|urlmorta=sim|archive-url=https://web.archive.org/web/20090125224729/http://old.honeynet.org/papers/gen2/|archive-date=25-01-2009|access-date=14-06-2013|language=en}}</ref>
==História==
As primeiras técnicas de pote de mel são descritas no livro de <!-- [[:en:Clifford Stoll]] -->Clifford Stoll, de 1989, <!-- [[:en:The Cuckoo's Egg (book)]] -->O ovo do cuco.

Um dos primeiros casos documentados de uso de um pote de mel na segurança cibernética começou em janeiro de 1991. Em 7 de janeiro de 1991, enquanto trabalhava na AT&T Bell Laboratories, Cheswick observou um ''hacker'' criminoso, conhecido como ''[[cracker]]'', tentando obter uma cópia de um arquivo de senha . Cheswick escreveu que ele e seus colegas construíram uma "prisão" chroot (ou "motel para baratas") ", que lhes permitiu observar o invasor por um período de vários meses.ref>{{cite web|url=http://cheswick.com/ches/papers/berferd.pdf|title=Uma noite com Bernard em que um ''cracker'' é seduzido, suportado e estudado|website=cheswick.com|access-date= 3-02-2021|language=en}}</ref>

Em 2017, a <!-- [[:en:National Police Corps (Netherlands)]] -->polícia holandesa usou técnicas de pote de mel para rastrear usuários do [[Mercados darknet|mercado ''darknet'']] [[Hansa (site)|Hansa]].

A metáfora de um urso sendo atraído e roubando mel é comum em muitas tradições, incluindo a germânica, a céltica e a eslava. Uma palavra eslava comum para o urso é ''medved'' "comedor de mel". A tradição de ursos roubando mel foi transmitida por meio de histórias e folclore, especialmente do conhecido [[ursinho Pooh]].<ref>{{cite web|url=http://www.pitt.edu/~votruba/qsonhist/bearetymologyslovakenglishwelsh.html|title=A palavra para "urso"|website=Pitt.edu|access-date=12-09-2014|language=en|urlmorta=sim}}</ref><ref>Shepard, E. H., Milne, A. A. (1994). Os contos completos do Ursinho Pooh. Reino Unido: Livros infantis de Dutton. (em inglês)</ref>
==Referências e notas==
{{Reflist}}
== Further reading ==
* {{cite book|title=Potes de mel rastreando ''hackers''|author=Lance Spitzner|publisher=[[Addison-Wesley]]|isbn=0-321-10895-7|year=2002|language=en}}
* {{cite book|title=<!-- [[:en:Reverse Deception]] -->Engano reverso: contra exploração de ameaças cibernéticas organizadas|author=Sean Bodmer|author2=Max Kilger|author3=Gregory Carpenter|author4=Jade Jones|publisher=<!-- [[:en:McGraw Hill Education]] -->McGraw Hill Education|isbn=978-0-07-177249-5|year=2012|language=en}}
==Ligações externas==
* [http://projects.webappsec.org/w/page/29606603/Distributed%20Web%20Honeypots Projeto de potes de mel de proxy aberto distribuído: ''WASC''] (em inglês)
* [https://web.archive.org/web/20090918210959/http://www.sans.org/resources/idfaq/honeypot3.php Instituto ''SANS'': O que é um pote de mel?] (em inglês)
* [http://www.sans.org/reading_room/whitepapers/detection/fundamental-honeypotting_2054 Instituto ''SANS'': envasamento de mel fundamental](em inglês)
* [http://www.projecthoneypot.org/ Projeto pote de mel](em inglês)
* [https://github.com/paralax/awesome-honeypots#honeypots/ Uma lista selecionada de potes de mel, ferramentas e componentes focados em projetos de código aberto] (em inglês)
{{Malware}}
[[Categoria:Spam]]

Revisão das 06h13min de 30 de outubro de 2021

Na terminologia de computador, um pote de mel é um mecanismo de ​​segurança de computador configurado para detectar, desviar ou, de alguma maneira, neutralizar tentativas de uso não autorizado de sistemas de informação. Geralmente, um pote de mel consiste em dados (por exemplo, em um site da rede) que parecem ser uma parte legítima do site e contêm informações ou recursos de valor para os invasores. Na verdade, é isolado, monitorado e capaz de bloquear ou analisar os invasores. Isso é semelhante a operações policiais, coloquialmente conhecidas como "atrair" um suspeito.[1]

Diagrama de um pote de mel de sistema de informação

Tipos

Os potes de mel podem ser classificados com base em sua implantação (uso/ação) e em seu nível de envolvimento. Com base na implantação, os potes de mel podem ser classificados como:[2]

  • Potes de mel de produção
  • Potes de mel de pesquisa

Os potes de mel de produção são fáceis de usar, capturam apenas informações limitadas e são usados principalmente por empresas. Os potes de mel de produção são colocados dentro da rede de produção com outros servidores de produção por uma organização para melhorar seu estado geral de segurança. Normalmente, os potes de mel de produção são potes de mel de baixa interação, que são mais fáceis de implantar. Eles fornecem menos informações sobre os ataques ou invasores do que os potes de mel de pesquisa.[2]

Os potes de mel de pesquisa são executados para reunir informações sobre os motivos e táticas da comunidade de chapéu preto que visa diferentes redes. Esses potes de mel não agregam valor direto a uma organização específica; em vez disso, eles são usados para pesquisar as ameaças que as organizações enfrentam e aprender como se proteger melhor contra essas ameaças.[3] Os potes de mel de pesquisa são complexos de implantar e manter, capturam informações extensas e são usados principalmente por organizações de pesquisa, militares ou governamentais.[4]

Com base em critérios de design, os potes de mel podem ser classificados como:[2]

  • Potes de mel puros
  • Potes de mel de alta interação
  • Potes de mel de baixa interação

Os potes de mel puros são sistemas de produção completos. As atividades do invasor são monitoradas por meio de um bug tap que foi instalado no link do pote de mel com a rede. Nenhum outro software precisa ser instalado. Mesmo que um pote de mel puro seja útil, a furtividade dos mecanismos de defesa pode ser garantida por um mecanismo mais controlado.

Os potes de mel de alta interação imitam as atividades dos sistemas de produção que hospedam uma variedade de serviços e, portanto, um invasor pode receber muitos serviços para desperdiçar seu tempo. Ao empregar máquinas virtuais, vários potes de mel podem ser hospedados em uma única máquina física. Portanto, mesmo se o pote de mel estiver comprometido, ele pode ser restaurado mais rapidamente. Em geral, os potes de mel de alta interação fornecem mais segurança por serem difíceis de detectar, mas são caros de manter. Se as máquinas virtuais não estiverem disponíveis, um computador físico deve ser mantido para cada pote de mel, o que pode ser exorbitante. Exemplo: Honeynet.

Os potes de mel de baixa interação simulam apenas os serviços frequentemente solicitados pelos invasores. Como consomem relativamente poucos recursos, várias máquinas virtuais podem ser facilmente hospedadas em um sistema físico, os sistemas virtuais têm um tempo de resposta curto e menos código é necessário, reduzindo a complexidade da segurança do sistema virtual. Exemplo: Honeyd.

Tecnologia de engano

Recentemente, um novo segmento de mercado chamado tecnologia de engano surgiu usando a tecnologia básica de pote de mel com a adição de automação avançada para escala. A tecnologia de engano aborda a implantação automatizada de recursos de pote de mel em uma grande empresa comercial ou instituição governamental.[5]

Potes de mel de malware

Os potes de mel de malware são usados para detectar malware, explorando a replicação conhecida e os vetores de ataque de malware. Os vetores de replicação, como unidades flash USB, podem ser facilmente verificados quanto a evidências de modificações, seja por meios manuais ou utilizando potes de mel para fins especiais que emulam unidades. Cada vez mais, o malware é usado para pesquisar e roubar criptomoedas.[6]

Versões de spam

Os spammers abusam de recursos vulneráveis, como retransmissores de e-mails e proxies abertos. Esses são servidores que aceitam e-mail de qualquer pessoa na Internet - incluindo spammers - e os enviam ao seu destino. Alguns administradores de sistema criaram programas pote de mel que se disfarçam como esses recursos abusivos para descobrir a atividade do spammer.

Existem vários recursos que esses potes de mel fornecem a esses administradores e a existência de tais sistemas, falsos e abusáveis, torna o abuso mais difícil ou arriscado. Os potes de mel podem ser uma contramedida poderosa contra o abuso daqueles que dependem de um abuso de alto volume (por exemplo, spammers).

Esses potes de mel podem revelar o endereço IP do abusador e fornecer captura de spam em massa (que permite aos operadores determinar os URLs dos spammers e mecanismos de resposta). Conforme descrito por M. Edwards na ITPRo Today:

Normalmente, os spammers testam um servidor de e-mail para retransmissão aberta, simplesmente enviando uma mensagem de e-mail para si mesmos. Se o spammer receber a mensagem de e-mail, o servidor de e-mail obviamente permite a retransmissão aberta. Operadores de potes de mel, no entanto, podem usar o teste de retransmissão para impedir spammers. O pote de mel captura a mensagem de e-mail de teste de retransmissão, retorna a mensagem de e-mail de teste e, subsequentemente, bloqueia todas as outras mensagens de e-mail desse spammer. Os spammers continuam a usar o pote de mel antispam para spam, mas o spam nunca é entregue. Enquanto isso, o operador do pote de mel pode notificar os ISPs dos spammers e ter suas contas de acesso à Internet canceladas. Se os operadores de potes de mel detectarem spammers que usam servidores proxies abertos, eles também podem notificar os operadores do servidores proxies para bloquearem os servidores e evitaren mais usos indevidos.[7]

A fonte aparente pode ser outro sistema abusado. Os spammers e outros abusadores podem usar uma cadeia de tais sistemas abusados para dificultar a detecção do ponto de partida original do tráfego abusivo.

Isso por si só é indicativo do poder dos potes de mel como ferramentas antispam. Nos primeiros dias dos potes de mel antispam, os spammers com pouca preocupação em ocultar sua localização se sentiam seguros testando vulnerabilidades e enviando spam diretamente de seus próprios sistemas. Os potes de mel tornaram os abusos mais arriscados e difíceis.

O spam ainda flui por meio de retransmissões abertas, mas o volume é muito menor do que em 2001-02. Enquanto a maioria do spam se origina nos Estados Unidos,[8] os spammers saltam através de retransmissores abertos através das fronteiras políticas para mascarar sua origem. Operadores de pote de mel podem usar testes de retransmissão interceptados para reconhecer e impedir tentativas de retransmissão de spam por meio de seus potes de mel. "Impedir" pode significar "aceitar o spam de retransmissão, mas se recusar a o entregar". Os operadores do pote de mel podem descobrir outros detalhes sobre o spam e o spammer examinando as mensagens de spam capturadas.

Os potes de mel de retransmissão aberta incluem o Jackpot, escrito em Java por Jack Cleaver; o smtpot.py, escrito em Python por Karl A. Krueger;[9] e o spamhole, escrito em C.[10] O Bubblegum Proxypot é um pote de mel de código aberto (ou "proxypot"). [11]

Armadilha de e-mail

Um endereço de e-mail que não seja usado para nenhum outro propósito além de receber spam também pode ser considerado um pote de mel de spam. Comparado com o termo "spamtrap", o termo "pote de mel" pode ser mais adequado para sistemas e técnicas usados para detectar ou contra atacar probes. Com uma armadilha de spam, o spam chega ao seu destino "legitimamente" - exatamente como um e-mail sem spam chegaria.

Um amálgama dessas técnicas é o Project Honey Pot, um projeto distribuído de código aberto que usa páginas pote de mel instaladas em sites de todo o mundo. Essas páginas pote de mel disseminam endereços de e-mail de spamtrap marcados exclusivamente e os spammers podem então ser rastreados - o e-mail de spam correspondente é subsequentemente enviado a esses endereços de e-mail de spamtrap.

Pote de mel de banco de dados

Frequentemente, os bancos de dados são atacados por invasores usando injeção de SQL. Como tais atividades não são reconhecidas por firewalls básicos, as empresas costumam usar firewalls de banco de dados para proteção. Alguns dos firewalls de banco de dados SQL disponíveis fornecem/suportam arquiteturas de pote de mel para que o invasor execute em um banco de dados de armadilhas enquanto o aplicativo da web permanece funcional.[12]

Detecção de pote de mel

Assim como os potes de mel são armas contra spammers, os sistemas de detecção de potes de mel são contra armas empregadas por spammers. Como os sistemas de detecção provavelmente usariam características exclusivas de potes de mel específicos para os identificar, como os pares de valor de propriedade da configuração de pote de mel padrão,[13] muitos potes de mel em uso utilizam um conjunto de características exclusivas maiores e mais assustadoras para aqueles que procuram detectar e assim os identificar. Esta é uma circunstância incomum em software; uma situação em que o "versionitis" (um grande número de versões do mesmo software, todas ligeiramente diferentes umas das outras) pode ser benéfico. Também há uma vantagem em ter alguns potes de mel fáceis de detectar implantados. Fred Cohen, o inventor do deception toolkit, argumenta que todo sistema executando seu pote de mel deve ter uma porta de engano que os adversários podem usar para detectar o pote de mel.[14] Cohen acredita que isso pode dissuadir os adversários.

Riscos

O objetivo dos potes de mel é atrair e engajar invasores por um período suficientemente longo para obter indicadores de comprometimento (IoC) de alto nível, como ferramentas de ataque e táticas, técnicas e procedimentos (TTPs). Assim, um pote de mel precisa emular serviços essenciais na rede de produção e conceder ao invasor a liberdade de executar atividades adversárias para aumentar sua atratividade para o invasor. Embora o pote de mel seja um ambiente controlado e possa ser monitorado usando ferramentas como o honeywall,[15] os invasores ainda podem ser capazes de usar alguns potes de mel como nós de pivô para penetrar nos sistemas de produção.[16] Essa compensação entre a atratividade do pote de mel e o risco de penetração foi investigada qualitativamente[17] e quantitativamente.[18]

O segundo risco dos potes de mel é que eles podem atrair usuários legítimos devido à falta de comunicação em redes corporativas de grande escala. Por exemplo, a equipe de segurança que aplica e monitora o pote de mel pode não divulgar a localização do pote de mel para todos os usuários a tempo devido à falta de comunicação ou à prevenção de ameaças internas.[19][20] Um modelo teórico de jogo[21] foi proposto para simultaneamente incentivar usuários adversários e desincentivar usuários legítimos para o acesso ao pote de mel, explorando a diferença de utilidade entre dois tipos de usuários.

Redes de mel

"Uma rede de mel é uma rede de potes de mel de alta interação que simula uma rede de produção e é configurada de forma que toda a atividade seja monitorada, registrada e, em certo grau, discretamente regulada."

-Lance Spitzner,
Honeynet Project

Dois ou mais potes de mel em uma rede formam uma rede potes de mel. Normalmente, uma rede pote de mel é usada para monitorar uma rede maior e/ou mais diversa na qual um pote de mel pode não ser suficiente. Redes de mel e potes de mel são geralmente implementados como partes de sistemas de detecção de intrusão de redes maiores. Uma fazenda de mel é uma coleção centralizada de potes de mel e ferramentas de análise.[22]

O conceito de rede de mel começou em 1999 quando Lance Spitzner, fundador do Honeynet Project, publicou o artigo "Para construir um pote de mel".[23]

História

As primeiras técnicas de pote de mel são descritas no livro de Clifford Stoll, de 1989, O ovo do cuco.

Um dos primeiros casos documentados de uso de um pote de mel na segurança cibernética começou em janeiro de 1991. Em 7 de janeiro de 1991, enquanto trabalhava na AT&T Bell Laboratories, Cheswick observou um hacker criminoso, conhecido como cracker, tentando obter uma cópia de um arquivo de senha . Cheswick escreveu que ele e seus colegas construíram uma "prisão" chroot (ou "motel para baratas") ", que lhes permitiu observar o invasor por um período de vários meses.ref>«Uma noite com Bernard em que um cracker é seduzido, suportado e estudado» (PDF). cheswick.com (em inglês). Consultado em 3 de fevereiro de 2021 </ref>

Em 2017, a polícia holandesa usou técnicas de pote de mel para rastrear usuários do mercado darknet Hansa.

A metáfora de um urso sendo atraído e roubando mel é comum em muitas tradições, incluindo a germânica, a céltica e a eslava. Uma palavra eslava comum para o urso é medved "comedor de mel". A tradição de ursos roubando mel foi transmitida por meio de histórias e folclore, especialmente do conhecido ursinho Pooh.[24][25]

Referências e notas

  1. Cole, Eric; Northcutt, Stephen. «Potes de mel: guia do gerente de segurança para potes de mel» (em inglês). Arquivado do original em 16 de março de 2017 
  2. a b c Mokube, Iyatiti; Adams, Michele (março de 2007). «Potes de mel: conceitos, abordagens e desafios». Procedimentos da 45ª conferência regional sudeste anual (em inglês): 321 à 326. doi:10.1145/1233341.1233399 
  3. Lance Spitzner (2002). Potes de mel rastreando hackers (em inglês). [S.l.]: Addison-Wesley. pp. 68 à 70. ISBN 0-321-10895-7 
  4. Katakoglu, Onur (3 de abril de 2017). «Paisagem de ataques no lado escuro da web» (PDF). acm.org (em inglês). Consultado em 9 de agosto de 2017 
  5. «Tecnologia relacionada ao engano - não é apenas "bom ter", é uma nova estratégia de defesa – Lawrence Pingree» (em inglês). 28 de setembro de 2016 
  6. Litke, Pat. «Cenário de malware para roubo de criptomoedas». Secureworks.com (em inglês). SecureWorks. Consultado em 9 de março de 2016. Cópia arquivada em 22 de dezembro de 2017 
  7. Edwards, M. «Potes de mel antispam causam dores de cabeça aos spammers» (em inglês). Windows IT Pro. Consultado em 11 de março de 2015. Arquivado do original em 1 de julho de 2017 
  8. «Sophos revela os mais recentes países de retransmissão de spam». Help Net Security (em inglês). Help Net Security. 24 de julho de 2006. Consultado em 14 de junho de 2013 
  9. «Software pote de mel, produtos pote de mel, software enganador». Recursos de detecção de intrusão, potes de mel e tratamento de incidentes (em inglês). Honeypots.net. 2013. Consultado em 14 de junho de 2013. Arquivado do original em 8 de outubro de 2003 
  10. dustintrammell (27 de fevereiro de 2013). «spamhole – A versão beta do retransmissor SMTP aberto falso». SourceForge (em inglês). Dice Holdings, Inc. Consultado em 14 de junho de 2013 
  11. Ec-Council (5 de julho de 2009). Hacker ético certificado: protegendo a infraestrutura de rede em hackers éticos certificados (em inglês). [S.l.]: Cengage Learning. pp. 3–. ISBN 978-1-4354-8365-1. Consultado em 14 de junho de 2013 
  12. «Proteja seu banco de dados usando a arquitetura pote de mel» (em inglês). dbcoretech.com. 13 de agosto de 2010. Arquivado do original em 8 de março de 2012 
  13. Cabral, Warren; Valli, Craig; Sikos, Leslie; Wakeling, Samuel (2019). «Revisão e análise de artefatos de Cowrie e seu potencial para serem usados de forma enganosa». Procedimentos da conferência internacional sobre ciência da computação e inteligência computacional de 2019 (em inglês). IEEE. pp. 166 à 171. doi:10.1109/CSCI49370.2019.00035 
  14. «Deception toolkit». All.net (em inglês). All.net. 2013. Consultado em 14 de junho de 2013 
  15. «CDROM do honeywall – O projeto honeynet» (em inglês). Consultado em 7 de agosto de 2020 
  16. Spitzner, Lance (2002). Potes de mel rastreando hackers (em inglês). [S.l.]: Addison-Wesley Professional. OCLC 1153022947 
  17. Pouget, Fabien; Dacier, Marc; Debar, Hervé (14 de setembro de 2003). Artigo: pote de mel, honeynet, honeytoken: questões terminológicas (em inglês). [S.l.]: EURECOM. OCLC 902971559 
  18. Huang, Linan; Zhu, Quanyan (2019), «Engajamento de pote de mel adaptável por meio do aprendizado de reforço de processos de decisão semi Markov», ISBN 978-3-030-32429-2, Cham: Springer International Publishing, Notas de aula em ciência da computação (em inglês), pp. 196 à 216, arXiv:1906.12182Acessível livremente, doi:10.1007/978-3-030-32430-8_13 
  19. Qassrawi, Mahmoud T.; Hongli Zhang (maio de 2010). «Potes de mel de clientes: abordagens e desafios». 4ª conferência internacional sobre novas tendências em ciência da informação e ciência de serviços (em inglês): 19 à 25 
  20. «Redes ilusórias: por que os potes de mel estão estagnados no passado | NEA | Novos associados corporativos». www.nea.com (em inglês). Consultado em 7 de agosto de 2020 
  21. L. Huang e Q. Zhu, "Jogos de duplicidade para projeto de fraude com um aplicativo para mitigação de ameaças internas", em transações em perícia de informação e segurança IEEE (em inglês), doi:10.1109/TIFS.2021.3118886.
  22. «Suporte ao cliente de roteador cisco» (em inglês). Clarkconnect.com. Consultado em 31 de julho de 2015. Arquivado do original em 16 de janeiro de 2017 
  23. «Conheça o seu inimigo: redes de mel de segunda geração mais fáceis de implantar, mais difíceis de detectar e mais seguras de manter.». Honeynet Project (em inglês). Honeynet Project. 12 de maio de 2005. Consultado em 14 de junho de 2013. Arquivado do original em 25 de janeiro de 2009 
  24. «A palavra para "urso"». Pitt.edu (em inglês). Consultado em 12 de setembro de 2014 [ligação inativa] 
  25. Shepard, E. H., Milne, A. A. (1994). Os contos completos do Ursinho Pooh. Reino Unido: Livros infantis de Dutton. (em inglês)

Further reading

  • Lance Spitzner (2002). Potes de mel rastreando hackers (em inglês). [S.l.]: Addison-Wesley. ISBN 0-321-10895-7 
  • Sean Bodmer; Max Kilger; Gregory Carpenter; Jade Jones (2012). Engano reverso: contra exploração de ameaças cibernéticas organizadas (em inglês). [S.l.]: McGraw Hill Education. ISBN 978-0-07-177249-5 

Ligações externas

Obtida de "https://pt.wikipedia.org/w/index.php?title=Pote_de_mel_(computação)&oldid=62334673"