Honeynets

Fliegenfalle

Honeynets sind mit ihren Honeypots speziell für Hackerangriffe konzipierte Netze, die nach außen wie Produktivsysteme wirken. In Wahrheit handelt es sich jedoch um streng überwachte und modifizierte Systeme, welche von Angreifern kompromittiert werden sollen.


Den Angreifer verstehen

Der Hintergedanke dabei ist einfach: Man will von den Angreifern lernen. In der Netztechnik gibt es viele Entwicklungen im Bereich Sicherheit: Firewalls, Intrusion Detection Systeme, Proxies usw. Das sind Einrichtungen, welche die Netz- bzw. Rechnersicherheit erhöhen. Jedoch haben diese Komponenten einen entscheidenden Nachteil: Sie können nur gegen bisher bekannte Schwachstellen wirken. Hierdurch entsteht ein ständiger Wettbewerb zwischen den Leuten, die Sicherheit schaffen möchten, und denen, die diese wieder durchbrechen.

Aufgrund der statischen Anpassung an die Bedrohung sind die Angreifer in einem zeitlichen Vorteil. Um diesen Abstand weiter zu minimieren, können Honeynets eingesetzt werden. Sie helfen, die Motive, Taktiken und Techniken der Angreifer zu erlernen und zu verstehen.

Das Honeynet von magellan netzwerke

Das von der magellan netzwerke errichtete Honeynet basiert auf den drei entscheidenden Anforderungen: Datenkontrolle, Datenerfassung und zentrale Datensammlung.

Hierbei nimmt der Punkt Datenkontrolle einen besonders hohen Stellenwert ein, denn wenn der Angreifer erst einmal in das Zielsystem eingedrungen ist, darf er nicht die Möglichkeit haben, andere Systeme im Internet anzugreifen. Diese Kontrolle des Datenflusses übernimmt die so genannte Honeywall, welche transparent zwischen Hacker und Zielsystem platziert ist. Sie hat die Aufgabe, alle Verbindungen zum und vom Honeynet zu kontrollieren und ggf. zu limitieren.

Mit Hilfe von IDS-Systemen und speziellen Protokollrechnern wird die gesamte Datenübertragung mitgespeichert, um sie anschließend analysieren zu können.

Gehackt nach 20 Minuten...

Die verwendeten Zielsysteme werden mit einem speziellen Kernel-Patch versehen, der es ermöglicht, alle Eingaben des Angreifers auf dem System zu protokollieren. So können jederzeit die Schritte des Angeifers verfolgt werden, selbst wenn er eine verschlüsselte Übertragung verwendet.

Kaum zu fassen ist, dass der erste Honeypot bereits nach 20 Minuten Online-Zeit gehackt wurde. Der Angreifer hatte auf ihm ein Rootkit und diverse weitere Werkzeuge installiert. Aber auch der zweite und dritte Honeypot wurden bereits nach zwei bzw. zehn Tagen kompromittiert. In einem Fall hatte der Angreifer eBay Phishing-Seiten installiert und versucht, mit diesen einen Kreditkartenbetrug durchzuführen.

An knapp 80.000 Empfänger wurde versucht, Phishing-Emails mit dem Absender der US SunTrust Bank zu versenden. Nachdem diese über den auf dem Honeypot installierten Dienst informiert wurde, ist der US Secret-Service eingeschaltet worden. Auf Anfrage wurden die gesammelten Informationen des Einbruchs an den Sicherheitsdienst übermittelt. In unseren Testnetzen setzen wir Honeynets ein, um stets aktuelle Sicherheitsbedrohungen unterschiedlicher Systeme in einem abgesicherten Umfeld kennenzulernen. Dabei teilen wir unsere Informationen mit der internationalen Honeynet Research Alliance [2].

Nähere Informationen zu dem Phishing-Angriff können Sie auch in dem von uns mitveröffentlichten „Know Your Enemy: Phishing“ Whitepaper nachlesen (3. Link).

Weblinks:

www.honeynet.org
www.honeynet.org/papers/phishing/