Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en...
Transcript of Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en...
![Page 1: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/1.jpg)
Honeypots
Coordinación de Seguridad de la Información
UNAM-CERT
Sergio Anduin Tovar Balderas
![Page 2: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/2.jpg)
Agenda• UNAM-CERT y su historia
• Introducción
• Honey(pots|nets)
• Tipos
• Clasificación
![Page 3: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/3.jpg)
Agenda• Proyecto Honeynet UNAM – PHU
• PSTM
• SMART
• RDH
![Page 4: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/4.jpg)
Coordinación de Seguridad de la Información/UNAM-CERT
Contribuir al desarrollo de la UNAM, a través de laprestación de servicios especializados, la formaciónde capital humano y el fomento de la cultura deseguridad de la información.
![Page 5: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/5.jpg)
Historia
1993
Incidente de seguridad con la
Supercomputadora Cray
Área de Seguridad en Cómputo
1er Congreso de Seguridad en
Cómputo
19981994
1a edición del Día Internacional de la
Seguridad en Cómputo
1995
Becarios en super cómputo:
especialización de seguridad en cómputo
1999
Departamento de Seguridad en
Cómputo
![Page 6: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/6.jpg)
Historia
2001
Acreditaciónante FIRST
Coordinación de Seguridad de la
Información
20142005
Obtención de la certificación ISO
27001:2005
2010
Honeynet Project: UNAM Chapter
2015
Transición al ISO 27001:2013
![Page 7: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/7.jpg)
Colaboración
Policía cibernética
ISP
ANUIES
Gobierno Federal y
Estatal
CERT
SANS
Industria
Dependen-cias UNAM
![Page 8: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/8.jpg)
Universidad Nacional Autónoma de MéxicoLa UNAM en números (2017-2018)
• 80 mil 777 computadoras propiedad de la UNAM con conexión a Internet
• 156,701 cuentas activas en la Red Inalámbrica Universitaria
• Capacidad de supercómputo de 232 mil millones de operaciones aritméticas por segundo
http://www.estadistica.unam.mx/numeralia/
![Page 9: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/9.jpg)
Amenazas
![Page 10: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/10.jpg)
IoTInternet de las cosas (IoT por sus siglas en inglés)
• Objetos cotidianos conectados a Internet
– Cámaras
– Televisores
– Biométricos
– Automóviles
• Falta de seguridad (escasa)
– Contraseñas (hardcode)
![Page 11: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/11.jpg)
IoT
http://www.geekculture.com/joyoftech/joyimages/2340.png
![Page 12: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/12.jpg)
Mirai• Malware
– Ataques de diccionario
• Botnet IoT
• Infectó dispositivos de IoT
– Cámaras
– Routers
![Page 13: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/13.jpg)
WannaCry
![Page 14: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/14.jpg)
WannaCry
![Page 15: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/15.jpg)
WannaCry
https://www.seguridad.unam.mx/ataque-wannacry
![Page 16: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/16.jpg)
HoneypotsEs un recurso computacional (servicio, aplicación,sistema, etcétera) cuyo único objetivo es sersondeado, atacado, comprometido o usado demanera no autorizada.
• Surgieron a finales de los años 90
• Mecanismo de detección
• Lance Spitzner introdujo el término honeynet
![Page 17: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/17.jpg)
Honeynets• Una honeynet está formada por uno o más
honeypots desplegados bajo un esquema decontrol y análisis de tráfico de red.
![Page 18: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/18.jpg)
TiposPor su entorno:• Honeypots de producción• Honeypots de investigación
Por su modo de funcionamiento:• Honeypots de baja interacción• Honeypots de alta interacción
Por el tipo de recurso:• Honeypots tipo servidor• Honeypots tipo cliente
![Page 19: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/19.jpg)
Tecnologías de engañoLas técnicas de deception como los honeypots no sonun nuevo concepto en seguridad.
El engaño se utiliza como una técnica con finesdefensivos.
Estas tecnologías están definidas por el uso de:• Engaños• Trucos• Señuelos• Crean falsas vulnerabilidades/sistemas/servicios• Generan una respuesta engañosa
![Page 20: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/20.jpg)
Tecnologías de engañoPropósito
• Detectar
• Frustrar
• Interrumpir
• Obtener información del atacante
Se integran con otras tecnologías
• NGFW
• NGIPS
• Sandbox
• SIEM
![Page 21: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/21.jpg)
Honeypots• Kippo
• Cowrie
• Glastopf
• Conpot
• Nepenthes
• Dionaea
• Amun
• Elastic honey
• Shockpot
• Wordpot
• HiHat
• IoTCandyJar
• MysqlPot
• telnet-oit-honeypot
• Potd
• HoneyThing
![Page 22: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/22.jpg)
Glastopf: Honeypot de aplicaciones web• Baja interacción
• Emular miles de vulnerabilidades web
– Inserción remota de archivos (RFI)
– Inyección SQL
– Inserción local de archivos (LFI)
https://revista.seguridad.unam.mx/numero25/glastopf-honeypot-de-aplicaciones-web-ihttps://revista.seguridad.unam.mx/numero26/glastopf-honeypot-de-aplicaciones-web-ii
![Page 23: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/23.jpg)
Cowrie Honeypot: Ataques de fuerza brutaDiseñado para registrar los ataques de fuerza bruta yla interacción realizada por el atacante
• Media interacción
• Simula un servidor de Secure SHell (SSH) y Telnet
• Registra la actividad del atacante
• Usuario/Contraseña
• Comandos ejecutados
https://revista.seguridad.unam.mx/numero-28/cowrie-honeypothttps://www.youtube.com/watch?v=ZDcCp2-Ezk0&feature=youtu.be
![Page 24: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/24.jpg)
Conpot: Honeypot de Sistemas de Control Industrial
• Honeypot de baja interacción
• Simular Sistemas de Control Industrial (SCADA)
• Obtener los métodos de ataque más comunes aestas plataformas
• Simula un PLC de la compañía Siemens modeloSIMATIC S7-200
https://revista.seguridad.unam.mx/numero29/conpot-honeypot-de-sistemas-de-control-industrial
![Page 25: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/25.jpg)
Thug Honeyclient: Atrapando sitios web maliciosos
• Cliente honeypot (Honeyclient)
• Análisis híbrido de análisis (estático y dinámico)
• Imitar el comportamiento de un navegador web
• Detectar y emular contenidos maliciosos cuandointentan explotar alguna vulnerabilidad
https://revista.seguridad.unam.mx/numero30/thug-honeyclient-atrapando-sitios-web-maliciososhttps://www.honeynet.unam.mx/es/content/implementacion-del-honeyclient-thug
![Page 26: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/26.jpg)
HoneyProxy: análisis de tráfico HTTP
• Proxy de hombre en el medio
• Permite la inspección y análisis de tráfico HTTP(S)en tiempo real
• Aplicación web o de un dispositivo móvil
• Análisis de tráfico de red durante el análisisdinámico de malware
https://revista.seguridad.unam.mx/content/honeyproxy-analisis-de-trafico-httphttps://www.honeynet.unam.mx/es/content/implementacion-de-honeyproxy
![Page 27: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/27.jpg)
![Page 28: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/28.jpg)
¿Qué información obtenemos?• Comandos ejecutados
• Direcciones IP
• Sitios maliciosos
• Malware
• Exploits
![Page 29: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/29.jpg)
![Page 30: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/30.jpg)
¿Qué hacemos con la información que obtenemos?
• Anticipación de ataques
• Técnicas y tendencias de ataques
• Análisis de malware
• Mejorar la seguridad
![Page 31: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/31.jpg)
Proyecto Honeynet UNAM
![Page 32: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/32.jpg)
Proyecto Honeynet UNAM Chapter
![Page 33: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/33.jpg)
PSTMPlan de Sensores de Tráfico Malicioso
• Iniciativa del UNAM-CERT
• Crear una red de sensores para la identificación deactividad maliciosa en las redes de datos
![Page 34: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/34.jpg)
SMARTSensor de Monitoreo, Análisis y Recolección deTráfico
Compuesto por:
• Honeytrap
• Dionaea
• IDSmod
• Sensorview
![Page 35: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/35.jpg)
SMART
![Page 36: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/36.jpg)
SMART
![Page 37: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/37.jpg)
SMART
![Page 38: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/38.jpg)
RDHRed Distribuida de Honeypots
• Ataques en tiempo real
• Honeypots de UNAM-CERT e IES
• Los puntos rojos representan a los atacantes
• Los puntos verdes representan los objetivos
![Page 39: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/39.jpg)
RDH
![Page 40: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/40.jpg)
Difusión• Sitio de UNAM-CERT
– www.cert.unam.mx
– www.seguridad.unam.mx
• Revista .Seguridad Cultura de prevención para TI
– revista.seguridad.unam.mx
• Boletín Ouch! (colaboración con SANS Institute)
– www.seguridad.unam.mx/ouch
![Page 41: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/41.jpg)
Difusión• Proyecto Honeynet UNAM Chapter
– www.honeynet.unam.mx
• Red Distribuida de Honeypots
– map.cert.unam.mx
![Page 42: Honeypots - UNAM · •156,701 cuentas activas en la Red Inalámbrica ... un nuevo concepto en seguridad. El engaño se utiliza como una técnica con fines ... •Emular miles de](https://reader030.fdocuments.co/reader030/viewer/2022040222/5e47eb7054660e439c38a35c/html5/thumbnails/42.jpg)
Redes sociales• Twitter:
@unamcert
• Facebook:
/unamcert
• YouTube:
/user/SeguridadTV