Em uma sexta-feira normal, eu estaria feliz por estar chegando o final de semana e poder descansar ou sair por aí no sábado. Mas não na semana que se passou. Esta semana a gente quer evitar o domingo, dia em que o FISL acaba! 🙁 Infelizmente nem tudo é alegria, porém, fica a lembrança, e o mais importante, o conhecimento adquirido! No dia 13 estive em mais uma palestra.

A palestra Implementação de uma Rede de Honeypots Distribuídos Utilizando OpenBSD e Ferramentas de Software Livre foi ministrada às 15 horas por Marcelo HP Caetano Chaves.

Marcelo trabalha na cert.br, organização pertencente à cgi.br, que tem o objetivo de prever e amenizar possíveis ataques ou outros tipos de malwares que possam vir através da Internet.

A palestra foi iniciada explicando alguns conceitos importantes ao momento. O termo Honeypot se refere à um sistema computacional projetado para ser atacado. O objetivo de ser atacado é poder colher através dos ataques importantes informações sobre os métodos e ferramentas utilizadas pelos atacantes para assim, criar mecanismos anti-intrusão.

Existem basicamente dois tipos de Honeypots: os de baixa interatividade e os de alta interatividade. Um Honeypot de baixa interatividade é um serviço que é executado em uma máquina real com o objetivo de emular outros serviços, como Web, FTP, dentre outros. Um Honeypot de alta interatividade é um Sistema Operacional e Aplicações e Serviços reais rodando com o intuito de serem atacados.

O projeto conta com 25 Honeynets (redes de Honeypots) de baixa interatividade espalhados pelo Brasil em diversos lugares tentando realizar uma maior cobertura dos endereços IP da Internet nacional. O projeto é coordenado pelo cert.br.

Outra característica dos Honeypots é o relacionamento destes com o coletor. Uma máquina central de todos os dados que vai até os Honeypots para realizar a coleta de dados.

O projeto foi desenvolvido utilizando o Sistema Operacional OpenBSD utilizando vários serviços, como honeyd (emulação dos serviços), arpd (torna possível uma placa de rede responder por uma faixa intera de endereços), além de contar com um único IP para coleta dos dados e algumas modificações no código-fonte do ngrep.

Através das análises realizadas pelo coletor, é possível identificar diversas informações sobre os atacantes, como o Sistema Operacional utilizado, portas TCP/UDP e países freqüêntes. Além disso, o coletar realizar a criação de estatísticas, como pacotes/segudos trafegados e número de ataques diários ou em períodos menores.

Com todas essas informações torna melhor o trabalho de respostas à incidentes externos.

Marcelo HP ao final da palestra indicou alguns sítios Web interessantes, listados abaixo:

• http://www.cert.br/docs/palestras -> Apresentação da palestra
• http://www.cgi.br -> Comitê Gestor da Internet Brasileira
• http://www.cert.br -> Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
• http://www.honeypots-alliance.org.br -> Brazilian Honeypots Alliance
• http://www.honeynet.org.br -> Honeynet.BR

Estive verificando o sítio Web e ainda não vi a publicação da apresentação deste FISL. Creio que seja questão de mais alguns dias para que publiquem.

E eu ficarei por aqui até a próxima!

Até mais! 🙂