HONEY POTS

A tradução inglês/português de Honeypot é "Pote de Mel". Imagine a seguinte situação fictícia: você possui uma bela flor no seu quarto, e vira e mexe aparece uma ou outra abelha para dar uma "cheiradinha" nela. Você não têm a menor idéia de onde as abelhas vêm, de quantas existem por perto, ou seja, nenhuma informação. Daí você têm uma idéia. Pega um Pote de Mel e coloca em cima de uma caixa no seu jardim. Minutos depois têm dezenas de abelhas ali. Você vai então e carinhosamente as mata utilizando Baygon. Essa é a função de um honeypot.

Com o Honeypot você pode simular serviços falsos, como SMTP, POP3, FTP, TELNET, FINGER, WEB... que à vista do "invasor" funciona de verdade. Você configura um nome de usuário e uma senha bem fáceis para o hacker "conseguir dificilmente quebrar" e entrar no sistema simulado. Assim, enquanto o espertalhão pensar que está invadindo, você estará vendo tudo o que ele faz.... os comandos que digita, os erros, enfim, tudo. Esse tipo de software é excelente para ser usado em uma rede.

Vamos supor que você têm dados importantes em vários computadores de uma rede com Ips públicos (sem NAT). Você quer evitar que um computador com importantes dados seja "varrido" à procura de métodos de invadí-lo. Daí você pega uma das máquinas, a menos útil delas, e instala o honeypot. Assim ao varrer a rede, o hacker vai achar aquele ponto "mais fácil" e esquecer dos seus dados importantes. E claro, você também pode dar boas risadas vendo o invasor realmente acreditando ter invadido o sistema.

Existem poucos honeypots para Windows (para Unix(s) existem muitos) e os poucos que existem :

- São confusos de se configurar
- São comerciais sem versões de avaliação
- São fracos em interatividade (apenas abrem portas, como o Anti-Trojans e o Xô BoBus)
- Não rodam nos Windows 95/98/ME

Dois exemplos são o programa opensource HoneyD e o comercial Specter. Pensando que programas estão começando a se tornar essenciais para a segurança do sistema, desenvolvi o honeypot Valhala (que vocês já viram em uma coluna anterior, mas apenas o scanner). O Valhala é gratuito, roda em todos os Windows, e em sua versão 1.3.0 possui vários servidores interativos: WEB, FTP, TELNET, FINGER, POP3 e SMTP.

É interessante o fato da pessoa realmente "achar" que está invadindo. Quando ela se conecta via telnet, por exemplo e consegue "descobrir usuário e senha " (cujos você já deixou fáceis de propósito), a pessoa cai em um prompt do MS-DOS simulado... ela realmente acha que invadiu o sistema. E você fica vendo todos os comandos que ela digitaria se tivesse realmente conseguido acesso ao seu shell. Não se preocupe se o comando DEL ou FORMAT for digitado. O sistema é totalmente simulado, nenhum acesso ao DOS real... além disso os invasores têm grandes surpresas ao tentar "vasculhar" o DOS simulado do Valhala... experimente para ver.


Para dúvidas, críticas ou sugestões, mande um e-mail para o autor da coluna:

Marcos Assuncao


Participe do nosso Fórum