Está en la página 1de 9

RESUMEN

Se llama honey-pot (en ingls, tarro de miel) a


una herramienta usada en el mbito de la
segurida de informtica para atraer y analizar el
comportamiento de los atacantes en I nternet. Se
denomina honey-pot al software o conjunto de
computadores cuya intencin es atraer a
atacantes, simulando ser sistemas vulnerables o
dbiles a los ataques. Es una herramienta de
seguridad informtica utilizada para recoger
informacin sobre los atacantes y sus tcnicas.
Los honey-pots pueden distraer a los atacantes
de las mquinas ms importantes del sistema, y
advertir rpidamente al administrador del
sistema de un ataque, adems de permitir un
examen en profundidad del atacante. La idea
atrs de los honey-pots es simple: mostrar a los
ata-cantes un sistema virtual que parezca el
sistema real, de esa manera los ataques se
efectuarn sobre ese sistema sin causar ningn
dao al sistema real. Es el software o hardware
(computadoras) cuya intenciones atraer (como la
miel) a los atacantes simulando ser sistemas
dbiles o con fallas de seguridad no del todo
evidentes, pero si lo suficiente para atraerlos y
ser un reto para sus habilidades de intrusin.
PALABRAS CLAVES

Black hat
Nix
Unix
Linux
Hacker
Spammers
Slammer
Nt
INTRODUCCION
En este documento podremos encontrar algunos
apuntes sobre seguridad y deteccin de intrusos en
general y ms en particular sobre los Honey-Pots
o tarros de miel, que es una de las tecnologas de
seguridad con ms auge en este momento.
Primero haremos una introduccin terica para
aprender los conceptos bsicos necesarios y luego
veremos cmo podemos aplicar stos a una
instalacin Linux y ver los resultados para
experimentar con ellos.
Cmo podemos defendernos contra un enemigo,
que no vemos y ni siquiera sabemos quin es?
La seguridad siempre ha sido un punto alto de los
sistemas nix, eso no quiere decir que equipos con
UNIX, Linux o sus variantes no sufran ataques, no
solamente los sufren, sino que algunas veces
tienen xito debido a vulnerabilidades existentes,
malas configuraciones o ataques internos.
HI STORI A
El inventor de los Honey-Pots se llama Lance
Spitzner.
La idea surgi en el ao 2000 por parte del
experto en seguridad Lance Spitzner, que
construy una red de ordenadores en su casa para
estudiar el comportamiento de los atacantes. El
sistema estuvo casi un ao de prueba y sus
resultados reflejaban que "en los momentos de
mayor intensidad de los ataques, las vas de
acceso ms comunes a los equipos de su casa eran
escaneadas, desde el exterior de su red, hasta 14
veces al da, utilizando herramientas de ataque
automatizadas".
Desde el xito de su herramienta, se ha generado
una comunidad de desarrolladores que ofrecen
estas herramientas y aconsejan cmo utilizarlas,
siempre alrededor de honeynet.org, creada por
Spitzner.
Y es que el anlisis de los nuevos mtodos de
ataque por Internet desde su vigilancia con
Honey-Pots permitir conocer mejor la parte
vulnerable de los atacantes y cmo pueden
evolucionar las amenazas en Internet.
Cuando surgieron los antivirus, por un tiempo se
crey resuelto el problema de la seguridad en
Internet. No obstante, la realidad fue muy
diferente: poco despus, las intrusiones
informticas se popularizaron y los firewalls o
cortafuegos (programas que restringen las
conexiones TCP/IP que puede iniciar o recibir una
computadora conectada a una red).

Se volvieron imprescindibles. Pero el gremio
hacker es especialmente obstinado, y no habra de
resignarse ante el nuevo obstculo. Por el
contrario, su pericia fue incrementndose ante las
dificultades, y surgi la necesidad de encontrar un
recurso para rastrear sus movimientos y estudiar
sus tcnicas, a efectos de poder combatirlos con
mayor efectividad. As nacieron los Honey-Pots.
En ingls, Honey-Pots significa pote de miel.
La analoga refiere a su utilidad: son sistemas
diseados para tentar a los piratas informticos

Mediante una serie de vulnerabilidades de
seguridad dispuestas intencionalmente para
funcionar como seuelos.
Los hackers, entonces, seran como las moscas
atradas por la miel de ese endeble elemento de
red que se les presenta, al cual entran sin
inconvenientes buscando contraseas, tratando de
alterar, copiar o destruir sus datos o pretendiendo
tomar control la mquina.
La cuestin es que, una vez adentro, no slo no
obtendrn rdito alguno sino que adems pasaran
de victimarios a vctimas, ya que, sin que lo noten,
sus pasos sern rastreados.
En definitiva, el objetivo es reunir informacin
sobre sus prcticas para aprender a proteger mejor
los verdaderos sistemas, y de paso distraerlos y
mantenerlos intilmente ocupados.
En los ltimos aos la tecnologa ha tenido un
crecimiento desproporcionado y dicha tecnologa
que ha sido enfocada en la seguridad de las
conexiones de internet, de los datos y de los
servicios informticos de las compaas, a
cambiado de alguna manera u otra el diario vivir
de la mayora de las personas en el mundo, los
nuevos modelos, tcnicas y herramientas
enfocadas en la seguridad de las comunicaciones
para contrarrestar la comunidad black hat estn
generando cambios en la cotidianidad de las
personas, puesto que los servicios y las
aplicaciones que necesitan de un grado de
confiabilidad estn mejorando ostensiblemente y
con esto el acceso a actividades que anteriormente
solo se realizaban personalmente por procesos y
aplicaciones en el cyberspacio.

En el arte de la guerra la mejor arma ms poderosa
es la informacin, y cuanto mejor conozcas a tu
enemigo, tendrs mejores opciones y mayor
posibilidad de vencerle, esta es la frase insignia de
un conjunto de investigadores The Honey
Projectque surgi con el propsito de recoger
informacin sobre los ataques y los atacantes que
tienen como medio el internet para llevar a cabo
su propsitos maliciosos.
Segn un informe realizado por el Computer
Security Institute
en el ao 2006 en Latinoamrica existen acerca de
90 millones de internautas y sin embargo la
mayora no tiene conocimiento acerca de las
vulnerabilidades y riesgos con que cuentan sus
equipos y mucho menos estn en conocimiento de
la comunidad Black hat y se increment en
nmero de ataques y se perdieron cerca de 15
millones de dlares por inyeccin de virus sin
considerar prdidas causadas por otros ataques.
Entonces la invitacin es para cada da ms
perfeccionar nuestros conocimientos acerca de la
seguridad en nuestros dispositivos y transacciones
ya que es un fenmeno demasiado explotado en la
mayora de los pases en el mundo.
Cuando surgieron los antivirus, por un tiempo se
crey resuelto el problema de la seguridad en
Internet. No obstante, la realidad fue muy
diferente: poco despus, las intrusiones
informticas se popularizaron y los firewalls o
cortafuegos (programas que restringen las
conexiones TCP/IP que puede iniciar o recibir una
computadora conectada a una red) se volvieron
imprescindibles. Pero el hacker es especialmente
obstinado, y no habra de resignarse ante el nuevo
obstculo. Por el contrario, su pericia fue
incrementndose ante las dificultades, y surgi la
necesidad de encontrar un recurso para rastrear
sus movimientos y estudiar sus tcnicas, a efectos
de poder combatirlos con mayor efectividad. As
nacieron los Honey-Pots.
A mediados de 2003, un ISP (PSINet) y una
empresa de seguridad (PanSec) britnicos
realizaron un experimento destinado a demostrar
la proliferacin del hacking malicioso en Internet.
Durante ocho semanas expusieron en la red dos
servidores web que simulaban ser bancos on-line,
pero sin ofrecer servicios ni contener datos
autnticos. A uno de ellos se le doto de un firewall
y al otro se lo lanzo sin proteccin alguna.

Transcurrido el tiempo de prueba, el sitio
protegido con los cortafuegos sufri alrededor de
200 ataques semanales, mientras que el indefenso
supero los 2000. Si en vez de ser honeypots estos
servers hubieran sido sistemas reales, los datos
habran sido cuantiosos.

APLI CACI ONES


Tambin se llama Honey-Pots a un sitio web o
sala de chat, que se ha creado para descubrir a otro
tipo de usuarios con intenciones criminales, (por.
ej., pedofilia).

Otra aplicacin est en los spammers, que abusan
de recursos como los servidores de correo abiertos
y los propios abiertos.
Algunos administradores de sistemas han creado
Honey-Pots que limitan este tipo de recursos para
identificar a los presuntos spammers.Algunos
Honey-Pots de este estilo incluyen Jackpot, escrito
en Java por Jack Cleaver; smtpot.py, escrito en
Python por Karl Krueger

y spamhole escrito en C

En 2006, la BBC realiz una investigacin para
determinar la incidencia de ataques que podra
sufrir un ordenador tpico. En una primera fase,
consistente en simplemente registrar el nmero y
tipo de ataques, los resultados fueron que cada 15
minutos, como media, el ordenador reciba spam
(molesta), tpicamente ofertas fraudulentas para
mejorar la seguridad del ordenador.
Sin embargo, cada hora, como media, el
ordenador reciba ataques ms serios, de gusanos
informticos tipo SQL Slammer y MS.Blaster.
La segunda fase de la investigacin consista en
dejar entrar el hardware y software para ver sus
eventuales efectos en el ordenador. El resultado
fue que, de tratarse de un ordenador cualquiera en
un hogar normal, hubiera quedado totalmente
insegura e inservible.
Cuando son utilizados con propsitos productivos
los Honey-Pots proveen proteccin a la
organizacin mediante prevencin, deteccin y
respuesta a un ataque.
Cuando son utilizados con propsitos de
investigacin, estos recolectan informacin que
dependen del contexto bajo el cual hayan sido
implementados. Algunas organizaciones estudian
la tendencia de las actividades intrusivas mediante
otras estn interesadas mientras otras esta
interesadas en la prediccin y prevencin
anticipada. Los Honey-Pots pueden ayudar a
prevenir los ataques en varias formas.
Defensa contra ataques autorizados: estos puntos
son basados en herramientas que aleatoriamente
rastrean redes enteras buscando sistemas
vulnerables. Si un sistema vulnerable es
encontrado, estas herramientas autorizadas
atacaran y tomaran el sistema con gusanos que se
replican en la victima.
Uno de los mtodos para proteger de tales ataques
es bajando la velocidad de su rastreo para despus
detenerlos. Proteccin contra intrusos humanos.
Este concepto se conoce como engao o
disuasin. La idea de esta contramedida es
confundir al atacante y hacerle perder tiempo y
recursos mientras interacta con el Honey-Pot.
Mientras este proceso se lleva a cabo de puede
detectar la actividad del atacante y se tiene tiempo
para reaccionar y detener el ataque.
Mtodos de deteccin precisa: Tradicionalmente
la deteccin ha sido una tarea extremadamente
difcil de llevar a cabo las tecnologas como los
sistemas de deteccin de intrusos y sistemas de
logueo han sido diferentes por diversas razones
generan informacin en cantidades excesivas
grandes porcentajes de falsos positivos, no
cuentan con la habilidad de detectar nuevos
ataques y/o de trabajar de forma encriptado o en
entornos IPv6.
Los Honey-Pots son excelentes en el ramo de la
detencin solventando muchos de los problemas
de la deteccin clsica: reduce los falsos positivos,
captura pequeas cantidades de datos y gran
importancia como ataques desconocidos y nuevos
mtodos de explotacin de vulnerabilidades y
trabajan de forma encriptado o en entorno IPv6. -
Labor ciber-forense.
Una vez que un administrador de red se da cuenta
que uno de sus servidores fueron comprometidos
ilegalmente es necesario proceder inmediatamente
a realizar un anlisis forense en el sistema
comprometido para realizar un control de datos
causados por el atacante sin embargo hay dos
problemas que afecta a la respuesta al incidente
frecuentemente, los sistemas comprometidos no
pueden ser desconectados de la red para ser
analizados y la cantidad de informacin que se
genera es considerablemente extensa, de manera
que es muy difcil determinar lo que hizo el
atacante dentro del sistema.
La nica actividad que guardan los Honey-Pots
son las relacionadas con el atacante, ya que no son
utilizadas por ningn otro usuario excepto los
atacantes.
La importancia de los Honey-Pots es la rpida
entrega de informacin, analizada en profundidad
previamente para responder rpido eficientemente
a un incidente.
FUNCIONES
Un Honey-pot es un sistema diseado para
analizar cmo los intrusos emplean sus armas para
intentar entrar en un sistema (analizan las
vulnerabilidades) y alterar, copiar o destruir sus
datos o la totalidad de stos (por ejemplo borrando
el disco duro del servidor).Por medio del
aprendizaje de sus herramientas y mtodos se
puede, proteger mejor los sistemas. Pueden
constar de diferentes aplicaciones, una de ellas
sirve para capturar al intruso o aprender cmo
actan sin que ellos sepan que estn siendo
vigilados.

Tambin existe el Honey-net, que es un conjunto
de Honey-pots, as abarca ms informacin para
su estudio. Incluso hace ms fascinante el ataque
al intruso, lo cual incrementa el nmero de
ataques.

La funcin principal a parte del estudiar las
herramientas de ataque, es la de desviar la
atencin del atacante de la red real del sistema y la
de capturar nuevos virus o gusanos para su
posterior estudio. Una de las mltiples
aplicaciones que tiene es la de poder formar
perfiles de atacantes y ataques.
Son sistemas que deliberadamente se decide
exponerlos a ser atacados o comprometidos.
Estos, no solucionan ningn problema de
seguridad, son una herramienta que nos sirve para
conocer las estrategias que se emplean a la hora de
vulnerar un sistema.
Son una herramienta muy til a la hora de conocer
de forma precisa los ataques que se realizan contra
la plataforma de trabajo que hemos elegido, o
bien, las plataformas configuradas de la misma
forma, y que sirven para guardar todos los
procesos que se estn ejecutando contra o en
nuestro sistema con el claro objetivo de acceder a
informacin sensible para una organizacin,
empresa o corporativo.
As mismo nos permiten conocer nuevas
vulnerabilidades y riesgos de los distintos
sistemas operativos y diversos entornos y
programas, las cuales an no se encuentren
debidamente documentadas.

Los cortafuegos o firewalls (sistemas o
combinacin de sistemas que fijan los lmites
entre dos o ms redes y restringen la entrada y
salida de la informacin) son parte esencial de
cualquier solucin de seguridad en redes y para
proporcionar la mxima proteccin contra ataques,
a la vez que permiten soportar aplicaciones
innovadoras, es importante que estos equipos
acten como parte de todo un sistema integral de
seguridad.
En definitiva, un firewall (barrera de proteccin o
procedimiento de seguridad que coloca un sistema
de cmputo programado especialmente entre una
red segura y una red insegura, pudiendo ser sta
ltima Internet pues es considerada siempre una
zona peligrosa) es un complemento al resto de
medidas corporativas que se han de tomar para
garantizar la proteccin de la informacin y que
han de contemplar no solo los ataques externos,
sino tambin los internos, que puede realizar el
propio personal, as como todas aquellas
aplicaciones que estn instaladas y que pueden
tener agujeros o huecos significativos por los que
se puedan colar los intrusos.
En seguridad toda medida es poca y hay que estar
innovando continuamente (actualizando polticas
y medios para afinar los recursos de seguridad)
para no dejar huecos por donde puedan colarse los
intrusos, pero como esto no siempre es evitable (la
seguridad absoluta en la prctica no existe,
podemos siempre irnos aproximando a ella, pero
como concepto constituye un objetivo
irrealizable), es como de manera obligada o
natural se abre paso a todo un universo de tcnicas
ms elaboradas e incluso ingeniosas, como es
facilitar la entrada a la red pero por caminos falsos
que no conducen a nada concreto o esperable para
un posible atacante y que permiten al responsable
de la seguridad del sistema detectar los intentos de
intrusin, con lo que se est sobre aviso y es ms
fcil protegerse.
A estas tcnicas se les conoce como honey-pots
o tarros de miel (y se usan para conseguir
literalmente que los intrusos, atacantes o
saboteadores se engolosinen y crean que en
realidad estn vulnerando todo y durante este
proceso se puedan tomar medidas verdaderamente
preventivas), y consisten en instalar servidores de
red (comnmente UNX o NT) especficamente
para atraer la atencin actuando como trampas,
consiguiendo registrar movimientos y alertando a
los administradores de la red de que se est
produciendo un intento de violacin, con lo cual
hay tiempo de reaccin para parar el ataque y
obtener los datos del posible intruso.
Simulan ser un elemento real de red, pero estn
desactivados para que no se pueda tomar su
control desde el exterior, se encuentran en una
zona al margen del trfico convencional y
disponen de un autntico filtro dedicado para
evitar todo el trfico saliente en caso de que fallen
o un experto (un verdadero hacker y no un
atacante furtivo o novato, o un autntico
especialista formado en estos temas) consiga
acercarse lo suficiente como para intentar tomar
su control.



EJ EMPLOS DE HONEY-POTS
Existen pocas herramientas comerciales que
cubran este mercado de honeypots, sin embargo,
en el mundo del cdigo libre, se ofrecen muchas
utilidades que pueden servir como honeypots,
tanto a empresas como a particulares.
Uno de los Honeypots comerciales ms conocidos
es Specter.

Es capaz de simular hasta 14 sistemas operativos
diferentes, y funciona bajo Windows. Su principal
atractivo es su facilidad de uso.

KFSensor tambin es un honeypot comercial que
acta como honeypot e IDS para sistemas
Windows.
En el mundo del cdigo abierto, se pueden
encontrar muchos ejemplos de Honeypots que
cubren todos los aspectos de estas herramientas:
Bubblegum Proxypot, Jackpot, BackOfficer
Friendly, Bigeye. HoneyWeb, Deception Toolkit,
LaBrea Tarpit, Honeyd, Sendmail SPAM Trap,
etc.



















BI BLI OGRAFI AS
http://honeypots.wordpress.com/
file:///D:/Downloads/honeypots_monitoriza
ndo_a_los_atacantes.pdf
http://www.zonavirus.com/articulos/que-
son-los-honeypots.asp
http://es.wikipedia.org/wiki/Honeypot
http://www.the-
evangelist.info/2011/09/introduccion-a-los-
honeypots/