Um honeypot é um recurso computacional construído para ser comprometido, atacado ou testado, num ambiente que possibilita o registro e o gerenciamento dessas ações. Não tem como objetivo banir a presença de hackers, mas sim enganá-los com um sistema cujos valores são falsos, fazendo-os pensar que estão no sistema real.
Uma vez na honeypot, o hacker tem todas as suas atividades monitoradas. As informações obtidas são de grande importância, pois expõem uma série de vulnerabilidades que muitas vezes estão presentes no sistema real. Com base nessas valiosas informações, qualquer organização pode se proteger muito melhor.
Vários serviços falsos são simulados em um honeypot, como SMTP, POP3, TELNET, WEB e FTP. As senhas e nomes de usuários desses serviços são configuradas para serem facilmente quebradas e, quando um hacker tenta acessá-los, um aviso é gerado, permitindo que as atividades do invasor possam ser acompanhadas em tempo real. Ele encontrará várias falhas de segurança, virtuais ou reais, colocadas de maneira intencional ou não.
Uma vez que o hacker perde muito tempo e recursos tentando invadir a rede falsa, quando poderia estar direcionando esses mesmos recursos para a rede de produção, os honeypots podem ser considerados medidas de prevenção a ataques. Além disso, quando o intruso se dá conta de que caiu em uma honeypot, e teve todas as suas atividades analisadas, ficará mais receoso em tentar invadir a rede verdadeira.
Como são muito reduzidas as chances de alguém acidentalmente acessar o IP do honeypot, a quantidade de falsos positivos gerados é sempre muito baixa e, por isso, todo o tráfego, a princípio, é considerado uma ameaça. Até pelas honeypots serem um território destinado aos hackers, os alertas são poucos e os logs gerados geralmente são curtos, o que facilita a compreensão dos danos feitos ao sistema, como esse foi acessado e de onde surgiu o acesso. De posse dessas informações, deve-se procurar as autoridades, como o Ministério Público e a Polícia Federal.
Outras vantagens do honeypot são que ele consegue trabalhar com dados criptografados, não exige muitos recursos para ser executado, quase todos os dados relatados são importantes para a organização, pode ser desconectado (ao contrário da rede de produção) e é de baixa complexidade, o que implica em menos erros e menos riscos. Como se não bastasse, honeypots estão isentos dos ruídos gerados na rede de produção real.
Mas já que nem tudo é perfeito, há também desvantagens. Para começar, informações obtidas em ataques aleatórios, quando um hacker não planeja um ataque específico e está apenas tentando atingir uma grande quantidade de alvos, ao acaso, não são muito relevantes. Prosseguindo, se for malconfigurado, ou ainda muito complexo, o honeypot trará uma série de riscos ao sistema real. E outro problema é que se o hacker descobre a armadilha, ela perde todo o sentido. Nesse ponto, deve-se tomar cuidado com algumas versões comerciais, pois os erros desses produtos acabam se tornando impressões digitais do honeypot, o que facilita muito sua identificação.
São três os tipos de honeypot. O primeiro é o honeypot dinâmico, que não só define a quantidade de honeypots, como também o modo como esses serão instalados, além de ter a capacidade de se adaptar às mudanças do sistema. O segundo tipo são os honeytokens, que são informações falsas, como logins números de cartões de crédito, tabelas de bancos de dados etc. E o terceiro tipo são os farms, que redirecionam os intrusos para uma rede de honeypots quando um ataque real acontece.
Quanto ao objetivo, pode-se classificar os honeypots como de produção ou de pesquisa. Os de pesquisa têm como objetivo principal entender o comportamento hacker (ferramentas e exploits usados, teclas digitadas, motivação etc), fornecendo muito mais informações que os de produção, mas correndo muito mais riscos. Por esse motivo, as empresas preferem os honeypots de produção, que não necessitam de informações tão detalhadas, sendo de fácil utilização e ainda podem ser configurados da mesma maneira que a rede de produção real.
Honeypots podem fornecer maior ou menor interação entre hackers e sistema. Os de baixo nível de envolvimento são aqueles que emulam aplicações e serviços, dispensando mecanismos de contenção, sendo de fácil instalação e manutenção e gerando dados muito limitados. Já os de alto nível de envolvimento têm características exatamente opostas mas, por fornecerem aplicações e serviços reais, são bastante arriscados. Por fim, os de nível médio de envolvimento agregam características mistas.
Para um melhor aproveitamento do honeypot, deve ser fornecido a ele um endereço IP que não esteja em uso e, quando for preciso acessá-lo, nunca fazer via rede, evitando assim possíveis ruídos. Quanto mais isolamento, melhor.
Também deve-se fazer um estudo sobre a real necessidade da organização em ter um sistema assim e qual o nível de envolvimento. É importante ainda ter regras do que deve ser feito com os dados obtidos, como por exemplo, realizar possíveis alterações na política de segurança.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.