Um mecanismo para Coleta Automatizada de Evidências Digitais em Honeypots de Alta Interatividade
Resumo
Honeypots são recursos computacionais cujo valor está em sua sondagem, ataque ou comprometimento por invasores. Com isso, é possível obter informações a respeito de seus métodos, ferramentas e motivações. Em honeypots de alta interação, esta obtenção se dá, principalmente, através da coleta de evidências digitais, que é tradicionalmente feita manualmente e estaticamente, exigindo tempo e nem sempre rendendo bons resultados. Neste artigo, é descrito um mecanismo automático, dinâmico e transparente baseado na interceptação de chamadas de sistema para a coleta de evidências digitais em honeypots, eliminando as falhas encontradas nas metodologias tradicionais.
Referências
Cheswick, W. R. (1992). An evening with berferd in which a cracker is lured, endured and studied. In Proceedings of the Winter 1992 USENIX Conference.
dos Reis, M. A. (2003). Forense computacional e sua aplicação em segurança imunológica. Master's thesis, Intituto de Computação - UNICAMP. Campinas, SP.
Equipe Honeynet.BR (2002), Honeynet.BR: Desenvolvimento e Implantação de um Sistema para Avaliação de Atividades Hostis na Internet Brasileira. In Anais do IV Simpósio sobre Segurança em Informatica (SSI' 2002), São José dos Campos, SP.
Jain, K. and Sekar, R. (2000). User-level infrastructure for system call interposition: A platform for intrusion detection and confinement. In Proceedings of Network and Distributed System Security (NDSS 2000), San Diego, CA, USA.
Provos, N. (2002). Improving host security with system call policies. Technical Report 02-3, University of Michigan.
Provos, N. 2003). Honeyd: A virtual honeypot daemon, In 10th DFN-CERT Workshop, Hamburg, Germany.
Silberschatz, A., Galvin, P. B., and Gagne, G. (2002). Operating System Concepts. John Wiley & Sons, New York, NW, USA, 6. ed edition.
Spitzner, L, (2000). Learning the tools and the tactics of the enemy with honeynets. In Proceedings of the 12th Annual Computer Security Incident Handling Conference, Chicago, IL, USA.
Spitzner, L. (2002). Honeypots: Tracking Hackers. Addison-Wesley, Boston, MA, USA.
Spitener L. (2003a), Honeypots: Definitions and values. Disponível em World Wide Web (Janeiro de 2004): <http://www.tracking-hackers/papers/honeypots.html>.
Spitzner, L. (2003b). Honeytokens: The other honeypot. Disponível em World Wide Web (Janeiro de 2004): <http://www.securityfocus.com/infocus/1713>
Steding-Jessen. K., Hoepers. C., and Montes, A. (2003). Mecanismos para Contenção de Tráfego Malicioso de Saída em Honeyneis. In Anais do V Simpósio sobre Segurança em Informática (SSI'2003), São José dos Campos, SP.
Stoll, C. (1991). The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage. Pan Books.
Tanenbaum. A. 8. (2003). Computer Networks. Prentice Hall, Upper Saddle River, NJ, USA, 4. edition.
The Honeynet Project (2001). Know Your Enemy: Revealing the Security Tools, Tactics, and Motives of the Blackhat Communit, Addison-Wesley, Indianapolis. IN, USA.
The Honeynet Project (2003a). Know your enemy: Genii honeynes. Disponível em World Wide Web (Janeiro de 2004): <http://project.honeynet.org/papers/gen2/>.
The Honeynet Project (2003b). Know your enemy: Sebek. Disponível em World Wide Web (Janeiro de 2004): <http://www.honeynet.org/papers/sebek.pdf>.