O documento descreve um projeto de implementação de um honeypot de alta-inferência para Mac OS X com o objetivo de alertar a VAD Portugal para correções de segurança necessárias e apoiar o CERT-IPN. O trabalho realizado incluiu a implementação de KEXTs, ocultação de ficheiros e processos, programação de um NKE e filtragem de tráfego de rede. O trabalho futuro inclui validação em ambiente real e análise dos resultados.
Capturar informação e controlar as actividades dos atacantes; Garantir Robustez e integridade nos dados capturados; Proporcionar segurança aos sistemas informáticos da instituição acolhedora e prevenir ataques a sistemas exteriores; Oferecer um conjunto de meios para o desenvolvimento e implementação de honeypot específicos. Gerar dados estatísticos sobre os serviços mais explorados, a proveniência dos ataques e as tácticas e ferramentas mais utilizadas
Firewall A firewall filtrará os acessos realizados do honeypot ao exterior, não permitindo comunicações por portas que não estejam associadas, ou relacionadas aos serviços disponibilizados impedindo que o honeypot comunique por IRC, ou realize ataques DOS a outros sistemas. Back-Office O extit{Back-Office} fornecerá apoio ao extit{honeypot}, registará de forma permanente os dados capturados e publicação de resultados apenas acessíveis à rede do CERT-IPN. Esse registo será realizado através de uma base de dados e de um programa de sincronização de informação persistente base de dados organizará os comandos executados pelo invasor e a informação trocada pela rede e pelo honeypot programa de sincronização da informação persistente r egistará as alterações efectuadas nos ficheiros. Covert Channel A comunicação entre o Back-Office e o honeypot será imperceptível para o invasor Técnica baseia-se na ocultação dos dados transferidos entre dois hosts Escondendo -> camada de transporte e de rede através da utilização de campos opcionais, ou uma imprópria, mas válida construção de um pacote de rede Port Knocking Administrador -> manutenção do sistema -> SSH (2) -> não serão recolhidas as informações das suas actividades técnica de PortKnocking -> permite o acesso unicamente ao utilizador que tenha uma sequência de pacotes correcta (sequência esta q
A imagem representa uma situação da captura de informação pelo sistema O atacante acede remotamente ao honeypot e este irá capturar os dados trocados entre o honeypot e a rede, através de 1. Paralelamente haverá informações recolhidas que dizem respeito apenas à componente de rede. De seguida os comandos executados pelo invasor serão capturados pelo 2, que representa a intersecção do fluxo de consola, ou chamado também de tty sniffing. Serão alteradas algumas chamadas de sistema, de modo a que os ficheiros criados com informação recolhida sejam escondidos. Deste modo quando o atacante executar o comando de listagem de directório, processos em execução, ou os módulos carregados, serão ocultadas todas as referências relativas à recolha de informação. O componente 3 representa a nova função de sistema criada, esta função terá o objectivo de guardar os dados recebidos e invocar a chamada de sistema original. A função original irá retornar os dados pedidos e estes serão filtrados e enviados de volta ao invasor. Relativamente ao componente 5, este servirá para sincronizar os ficheiros modificados ou acrescentados para um disco na rede, mais propriamente no back-office.
O planeamento feito foi cumprido na sua totalidade até à data. Foram realizados contactos com a VAD Portugal no sentido de proporcionarem informações acerca: mapeamento utilização e tabelas de indexação das chamadas de sistema programação da extensão dos módulos de Kernel (Kext) e do Kernel de rede (NKE), Xserver e Mac Mini -> VAD Portugal firewall -> CERT-IPN
Espera-se que a Intersecção do fluxo de rede -> grandes quantidades de informação. Neste momento só serão recolhidas informações apenas do protocolos e portas que o utilizador pretender. Podendo definir estas na altura em que lança o daemon que recebe as informações do módulo de kernel. Futuramente, para a evolução do projecto foi idealizado uma filtragem por detecção de padrões A validação da implementação será realizada em duas fases: num ambiente controlado e em ambiente real. No ambiente controlado serão realizados testes em laboratório e será realizada uma auditoria de segurança ao sistema por elementos do CERT-IPN, onde serão efectuados testes com ferramentas, ou técnicas de invasão conhecidas, e em relação às quais se saiba qual o comportamento que o honeypot deverá ter. Só se passará para a fase de validação em ambiente real quando se verificar conformidade em todos os testes realizados, de modo a não colocar em risco a rede da entidade acolhedora. Em ambiente real será realizada uma monitorização cuidada e eventualmente proceder à reinstalação do mesmo, caso o invasor consiga ultrapassar alguma das barreiras de segurança criadas.