Título del proyecto: EUSKALERT Episodio II: Servicios Avanzados de Análisis en la Red Vasca de Honeypots

Desde: 2008  hasta: 2010

Área: Seguridad

Tema: Honeynets

Investigadores participantes: Urko Zurutuza, Roberto Uribeetxeberria, Miguel Fernández, Iñaki Vélez de Mendizábal

Entidades participantes: MGEP

Entidad financiadora: Diputación Foral de Gipuzkoa

Publicaciones relacionadas: -

Abstract:

Durante los últimos años se ha visto en Internet un aumento de ataques: Virus, gusanos, troyanos, spyware,… lo que ha provocado daños en las infraestructuras de IT además de una creciente desconfianza en Internet. Actualmente, los ataques se pueden extender a grandes partes de la red en pocos minutos, lo que nos obliga a intentar dar respuestas automatizadas.

Por otro lado, los sistemas trampa constituyen una herramienta en auge en el mundo de la seguridad informática. “El arte de la guerra se basa en el engaño”, Sun Tzu. Esta estrategia de engaño se puede trasladar a la defensa de las redes y los sistemas. Cuanto más conozcamos cómo actúan los atacantes, sus métodos y las herramientas que utilizan, mejor podremos protegernos. Uno de los medios que podemos utilizar para lograr este conocimiento es el de los sistemas trampa. A través del engaño podemos averiguar los medios que utiliza el atacante y, quizás, sus motivos, sin el coste de analizar un sistema en producción que haya sido comprometido. Esta información puede entonces ser utilizada para alimentar las tecnologías existentes.

Los sistemas trampa son “cebos”, señuelos, sistemas ficticios que se utilizan para detectar, prevenir y recolectar información sobre ataques. Son equipos generalmente conectados a Internet que ofrecen desde el exterior una configuración que los hace “apetecibles” a los atacantes.

A lo largo de los 2 años en los que desde la Escuela Politécnica Superior de Mondragon Unibertsitatea, en adelante MU, se ha trabajado en el proyecto Euskalert se ha implantado una red de Honeypots en la Comunidad Autónoma del País Vasco (CAPV). Los participantes alojan un sensor en su red corporativa y los datos sobre los ataques son recibidos y almacenados en nuestras instalaciones, todo ello de forma eficiente y segura. Los participantes tienen a su disposición un sitio Web donde pueden consultar libremente información y estadísticas sobre los ataques recibidos, así como compararse con otros participantes de forma anónima. Una vez la plataforma se encuentra estable y con cierta capacidad de análisis, las posibilidades en cuanto a explotación de la información se multiplican.

Los objetivos de esta segunda parte del proyecto se dividen en dos partes:
-    Aumento de las capacidades del sistema.
-    Explotación de la información.