01/03/07 17:28:43


TRAMPAS EN LA RED ESPÍAN A LA DELINCUENCIA CIBERNÉTICA


Mercè Molist
Su misión es tender trampas a los salteadores, diseminando equipos desprotegidos por Internet. Son cientos de profesionales de la seguridad informática de todo el mundo, también España, que participan voluntariamente en el Proyecto HoneyNet. Su éxito ha sido tal que cada vez más empresas usan trampas parecidas para defenderse.

"TotalDark" es un travieso adolescente convencido de que hoy es su día de suerte: husmeando por Internet, ha descubierto un equipo de muy fácil acceso. Indaga en sus entrañas, buscando un botín y calibrando qué usos dará a su recién descubierta Cueva de Ali Babá. "TotalDark" no sabe que ha caído en una trampa y graban sus movimientos, para analizarlos después.

La Internet española está minada de una cantidad indeterminada de trampas instaladas por empresas, universidades y el Proyecto HoneyNet España. La comunidad académica RedIRIS fue pionera en montar una red de este tipo, a finales del año 2000, hoy reconvertida en otros proyectos de sistemas trampa, especialmente "Bichos" que capta el código malicioso que corre por sus redes.

El objetivo de las trampas de RedIRIS es investigar cómo se llevan a cabo los ataques, pero también defenderse, haciendo que los señuelos distraigan al intruso para analizar sus acciones y orquestar el contraataque. Esta segunda razón ha hecho que cada vez más empresas pongan trampas en sus redes: engañan a los atacantes externos e internos, creando un laberinto de falsos caminos y sensores que los espían.

La idea de los sistemas trampa nació con el Proyecto HoneyNet, cuyo objetivo no es defender una red concreta sino investigar y compartir experiencias sobre las nuevas tendencias en ataques informáticos, difíciles de descubrir con otros métodos. Su influencia ha sido tal que hoy en día la palabra "honeynet" (red de miel) es sinónimo de sistema trampa.

El Proyecto HoneyNet tiene 6 señuelos en la Internet española. Pocos aún pero suficientes para inferir que la mayoría de atacantes no son personas sino máquinas: "Existe mucha actividad relativa a sondeos y ataques automatizados de virus y gusanos. En esto no somos diferentes del resto del mundo", explica Diego González, de HoneyNet España.

Al principio, las trampas estaban abiertas a todo tipo de ataques pero con el tiempo se han especializado. En España, las hay dedicadas sólo al correo basura: "Distribuimos direcciones en los foros para que las cojan los "spammers". Así sabemos el tiempo que pasa desde que aparece la dirección en Internet hasta que el equipo trampa recibe correo basura, o el tipo de "spam" que mandan", explica Javier Fernández-Sanguino, miembro del grupo.

Otra trampa consiste en un ordenador conectado a Internet con un sistema operativo configurado tal cual viene de fábrica. HoneyNet España trabaja también en señuelos para conexiones inalámbricas o el novedoso protocolo IPv6. A nivel internacional, la Alianza HoneyNet investiga los cada vez más ataques contra aplicaciones web, las intrusiones que usan Google como fuente de información y los asaltos a ordenadores de usuarios.

HoneyNet España destaca por la sofisticación de sus trampas: "Puedes hacer sistemas que serán comprometidos rápidamente por intentos automatizados y otros que sólo un atacante, con cierta capacidad técnica, podría hacerse con ellos. Nuestra investigación se ha centrado más en esto: poner sistemas difíciles de romper", explica Fernández-Sanguino.

Cuando un intruso cae en la trampa, afirma Raúl Siles, otro integrante del grupo, se toman diversas medidas según el incidente: "Notificarlo a las autoridades, avisar al proveedor de servicios o a la empresa propietaria de la dirección IP. Muchas veces, los ataques vienen de empresas que desconocen que sus sistemas están siendo usados para asaltar otros equipos".

Además de las trampas diseminadas por la Internet española, el grupo ha creado otras 17 para el Proyecto HoneyNet mundial. La razón de no ponerlas aquí es la precariedad con que trabajan: "Disponemos de pocos equipos físicos donde instalar los sistemas trampa, por eso utilizamos "software" de virtualización que nos permite tener más de una trampa en un mismo equipo físico", explican.

Siles añade: "No tenemos ayuda económica de ningún organismo, toda la financiación y la dedicación han salido de nuestros bolsillos y nuestro tiempo". Esto limita su infraestructura y también la vitalidad del grupo, que ha pasado de 7 a 4 miembros desde su fundación, en verano de 2004. "Estamos abiertos a recibir propuestas de empresas y organismos interesados", afirman.




UNA TECNOLOGÍA QUE INTERESA A LAS EMPRESAS


El Proyecto HoneyNet se gestó en 1999 de la mano de Lance Spitzner, con el lema: "Aprender del enemigo y compartir las lecciones aprendidas". Hoy agrupa a 200 voluntarios de 25 países que forman la Alianza HoneyNet, cuyos informes leen ávidamente los profesionales de seguridad, pues vienen de fuentes de primera mano.

Pero no es sólo la información lo que ha hecho famoso al Proyecto HoneyNet sino también un sinfín de nuevas tecnologías, desarrolladas por sus voluntarios y usadas actualmente por todo tipo de profesionales y empresas que quieren detectar actividades maliciosas en sus redes y analizarlas.

Crear las trampas no es fácil, explica Carles Fragoso, de HoneyNet España: "Exige el máximo de creatividad y técnica, pues requiere un amplio dominio en los ámbitos de protección, detección y respuesta". El señuelo debe parecer vulnerable, pero es sólo un disfraz: tiene sensores que capturan todo tipo de datos sobre las técnicas del atacante.

Además, cuenta con sistemas de control para evitar que los asaltantes envíen virus, correo basura o ataquen otras máquinas desde la trampa. Con esta intención se creó la conocida herramienta "HoneyWall" (muro de miel), un cortafuegos al revés: mientras los convencionales protegen un equipo de los ataques procedentes de Internet, "HoneyWall" protege a Internet de los ataques que puedan venir de los sistemas trampa.



Proyecto HoneyNet España
http://www.honeynet.org.es/es

Antigua red de máquinas trampa de RedIRIS
https://www.rediris.es/cert/ped


 
Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provided this notice is preserved.
 

<<