La investigación sobre las nuevas tendencias del malware y sobre los nuevos vectores de ataque diseñados por los usuarios maliciosos (normalmente, gente que gana mucho dinero a costa de los problemas de seguridad) es un campo que requiere mucha interacción con el entorno real de operaciones.
Sin ese estrecho contacto no sería posible ver qué hacen esos usuarios maliciosos, cómo y cuando lo hacen, y con qué propósito. Para investigar estas nuevas tendencias, es totalmente imprescindible acudir a la más profunda mimetización con el medio: las mejores evidencias y datos se recopilan cuando los recibimos sin levantar sospecha, empleando las herramientas adecuadas.
En este ámbito, perteneciente a la ciencia forense, surgen los Honeynets. La Wikipedia los define bastante bien:
Los Honeynet son un tipo especial de Honeypots de alta interacción que actuan sobre una red entera, diseñada para ser atacada y recobrar así mucha más información sobre posibles atacantes. Se usan equipos reales con sistemas operativos reales y corriendo aplicaciones reales.
Este tipo de honeypots se usan principalmente para la investigación de nuevas técnicas de ataque y para comprobar el modus-operandi de los intrusos.
Un Honeynet es un Honeypot específico para lograr captación de datos muy real, puesto que la interacción con el medio es total. Los Honeypots o tarros de miel son trampas colocadas a conciencia que permiten, simulando un estado de vulnerabilidad, la recolección de todo tipo de muestras, bien sean malware, bien sea spam. He hablado en este weblog anteriormente de Honeypots, así que no me reiteraré.
Los Honeynets de tercera generación (GenIII) permiten la recolección de información hasta el nivel más profundo. Sin duda, el Honeynet GenIII más popular, por su impresionante rendimiento y resultados, es Sebek, un desarrollo de Honeynet Project de altísima calidad.
Totalmente multiplataforma, con clientes para Solaris, W32, Linux, *BSD y con una capacidad muy elevada, Sebek es espectacular capturando tráfico malicioso. En este documento hay una descripción muy elaborada de Sebek a modo de white paper. Para los que conozcáis MWCollect, es algo parecido, pero a un nivel mucho más profundo, con mucha más interacción.
En Infocus han publicado un artículo interesante al hilo de este proyecto, titulado Sebek 3: tracking the attackers, part one. Una lectura obligatoria, puesto que además de una correcta introducción, incluye las nuevas funcionalidades de Sebek así como retos futuros de este software.
Resumen de enlaces
ES MUY INTERESANTE EL PODER BUSCAR INTRUSIONES DEBIDO A QUE NOS DEBE DE PREOCUPAR Y HACER CONCIENCIA QUE NO SOLO BUSCAN ARCHIVOS IMPORTANTES SINO QUE BUSCAN COMO INGRESAR A CUALQUIER LUGAR ME INTERESA MUCHO LO DE LOS HONEYPOTS VOS PODEIS MANDAME MAS INFORMACION Y SI EXISTEN SOFTWARE LIBRES DE ESTOS HONEYPOTS CONAPTIBLES CON WINDOWS