Auch wenn die Ergebnisse nicht immer so schnell und eindeutig ausfallen, Honeypots und Honeynets entwickeln sich meist zu wahren Fundgruben an Informationen über die Gegenseite. Wer genau wann damit angefangen hat, ist unklar, aber Hosts und Netzwerke wurden, wenn Administratoren Eindringlinge bemerkten, schon immer eine Weile beobachtet um Näheres über den Angreifer herauszufinden. Clifford Stoll beschreibt in seinem Buch „Kuckucksei„, wie er wegen eines Abrechungsfehlers um ein paar Cent einen Hacker aufspürt.
Von da war es nur noch ein kurzer Weg, um ganze Computer oder zumindest deren Simulation im Netz nur zu dem Zweck aufzustellen, Angreifer anzulocken und deren Methoden zu analysieren. Der Honeypot war geboren. Schließt man mehrere Systeme zu einem ganzen Netzwerk zusammen, entsteht ein Honeynet. Die Idee dahinter ist immer, möglichst interessante und umfangreiche Dienste anzubieten, um dem Angreifer das Gefühl zu geben, dass er ein lohnendes Ziel gefunden hat. Unterschieden wird dabei nach den Zielen, die der Betreiber des Honeypots verfolgt. Will er sein bestehendes, „richtiges“ Netzwerk schützen, zum Beispiel weil er den echten Mailserver in einer Phalanx von zehn simulierten Systemen tarnt, nennt man das Ergebnis „Produktionshoneypot“. Geht es vornehmlich um die Erforschung der Taktiken und Methoden von Hackern, spricht man von „Forschungshoneypots“.
Profis ’salzen‘ ihre Honeypots mit Sicherheitslücken oder installieren gleich einen Trojaner wie Back-Orifice oder Subseven. |
Die nächste Unterscheidungsebene ist der Interaktionsgrad. Alle Honeypots, die nur simulieren, ohne die Dienste tatsächlich anzubieten, fallen in die Kategorie „Niedriger Interaktionsgrad“. Sie eignet sich für die reine Angriffserkennung, sammelt aber so gut wie keine Informationen über den Angreifer und dessen Methoden. Ein mittlerer Interaktionsgrad hingegen bietet dem Hacker zumindest etwas „Fleisch“. Das kann eine nachgebaute Sicherheitslücke sein, zum Beispiel die angesprochene WU-FTP Schwachstelle. Würde beispielsweise ein neuer Wurm auf der Suche nach dieser Schwachstelle den Honeypot finden, könnte er seine Schadroutine abliefern, ohne dass diese tatsächlich Wirkung zeigen würde. Der Administrator hätte so die Möglichkeit die Routine zu analysieren und Gegenmaßnahmen zu entwickeln.
Neueste Kommentare
Noch keine Kommentare zu Honeypots und Honeynets: Pheromone für Hacker
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.