|
 por Mercè Molist 22/01/04
CRECE EL USO DE ORDENADORES TRAMPA PARA ESPIAR A LOS INTRUSOS INFORMÁTICOS
Su propósito es la defensa e investigación en seguridad
 En los últimos 18 meses, han aumentado de forma destacada las tecnologías para crear
"honeypots" (máquinas trampa o, literalmente, tarros de miel), según
informa "SecurityFocus". Son ordenadores que los investigadores conectan a Internet,
expresamente sin proteger, para que atraigan a los intrusos y poder monitorizar sus movimentos, con el
fin de estudiar sus herramientas y formas de ataque.
Los "honeypots" se basan en una vieja táctica de seguridad informática que
consiste en no desconectar un ordenador que ha sido atacado, a la espera de que el intruso vuelva otra vez y espiar sus
pasos. Cliff Stoll relata en "El huevo del cuco", publicado en
1989, como usó esta técnica para descubrir a un grupo de alemanes que robaba secretos de
ordenadores militares norteamericanos y los vendía al KGB. La vieja técnica se
redefinía a partir del año 2000, con la aparición del proyecto
"Honeynet": una red permanente de máquinas trampa coordinada por voluntarios.
Actualmente, hay un buen número de soluciones para crear "honeypots": comerciales, como
KFSensor, y libres, como Honeyd y Honeynets. Un sistema trampa es,
básicamente, un equipo aislado, conectado a la red, con algunas puertas abiertas a sabiendas, para atraer a los
intrusos y estudiar su forma de actuación, a fin de detectar nuevas tendencias en los ataques. Recientemente,
Rediris convocaba un reto de análisis forense que consistía en diseccionar
uno de estos ordenadores trampa.
 Rediris cuenta, desde 2001, con un proyecto aún incipiente de red de
máquinas trampa, donde participa Francisco Monserrat, de IRIS-CERT: "Para
montar una buena red hacen falta máquinas, tiempo para analizar los resultados y cómo aplicarlos. Una
máquina trampa no tiene mucho sentido para un usuario o una empresa pequeña, ya que por ahora no van a tener
ataques en su contra sinó ataques aleatorios, dirigidos a cualquiera que tenga funcionando el programa que emplea
una vulnerabilidad".
Pero, en redes grandes y grupos de seguridad, estas trampas son útiles, dice Monserrat,
"para analizar si un determinado problema de seguridad en un programa de uso común es muy atacado y así
avisar a los usuarios, o como señuelo, dejando la máquina protegida ante ataques externos per no ante los
ataques desde dentro de la organización. Además, sirven como laboratorio en el que probar nuestros
conocimientos de análisis forense digital, para después aplicarlos en situaciones reales".
Un riesgo importante es que, una vez comprometida la máquina, los intrusos la usen para atacar
a otras. Según Monserrat, puede evitarse: "Hay métodos como limitar el tráfico que
puede salir del equipo o instalar detectores que avisan cuando el intruso empieza a lanzar ataques y los cortan. Otras
máquinas trampa se bloquean cuando el atacante intenta ejecutar determinadas operaciones. Adicionalmente, todo el
tráfico con destino y origen a esta máquina es monitorizado, por lo que se puede seguir el rastro del
atacante".
El interés por los "honeypots" es tal que la policía
británica ha puesto en marcha uno específico para pedófilos. Pero, según
Monserrat, también tienen inconvenientes: "Requieren una monitorización exhaustiva y
sólo permiten capturar ataques aleatorios". Lance Spitzner, del proyecto
Honeynet, explica que otro peligro creciente radica en que se descubra que es una trampa: "Mientras crece
el uso de "honeypots", hemos empezado a ver nuevas herramientas y técnicas para detectarlos. Un ejemplo es el
programa comercial "Honeypot Hunter", usado por la industria del correo basura para
identificar "honeypots" especializados en pescar "spam"".
ENLACES RELACIONADOS
*Imágenes añadidas por maty
- MERCÈ MOLIST -
|
