Auch wenn die Ergebnisse nicht immer so schnell und eindeutig ausfallen, Honeypots und Honeynets entwickeln sich meist zu wahren Fundgruben an Informationen über die Gegenseite. Wer genau wann damit angefangen hat, ist unklar, aber Hosts und Netzwerke wurden, wenn Administratoren Eindringlinge bemerkten, schon immer eine Weile beobachtet um Näheres über den Angreifer herauszufinden. Clifford Stoll beschreibt in seinem Buch „Kuckucksei„, wie er wegen eines Abrechungsfehlers um ein paar Cent einen Hacker aufspürt.
Von da war es nur noch ein kurzer Weg, um ganze Computer oder zumindest deren Simulation im Netz nur zu dem Zweck aufzustellen, Angreifer anzulocken und deren Methoden zu analysieren. Der Honeypot war geboren. Schließt man mehrere Systeme zu einem ganzen Netzwerk zusammen, entsteht ein Honeynet. Die Idee dahinter ist immer, möglichst interessante und umfangreiche Dienste anzubieten, um dem Angreifer das Gefühl zu geben, dass er ein lohnendes Ziel gefunden hat. Unterschieden wird dabei nach den Zielen, die der Betreiber des Honeypots verfolgt. Will er sein bestehendes, „richtiges“ Netzwerk schützen, zum Beispiel weil er den echten Mailserver in einer Phalanx von zehn simulierten Systemen tarnt, nennt man das Ergebnis „Produktionshoneypot“. Geht es vornehmlich um die Erforschung der Taktiken und Methoden von Hackern, spricht man von „Forschungshoneypots“.
| Profis ’salzen‘ ihre Honeypots mit Sicherheitslücken oder installieren gleich einen Trojaner wie Back-Orifice oder Subseven. |
Die nächste Unterscheidungsebene ist der Interaktionsgrad. Alle Honeypots, die nur simulieren, ohne die Dienste tatsächlich anzubieten, fallen in die Kategorie „Niedriger Interaktionsgrad“. Sie eignet sich für die reine Angriffserkennung, sammelt aber so gut wie keine Informationen über den Angreifer und dessen Methoden. Ein mittlerer Interaktionsgrad hingegen bietet dem Hacker zumindest etwas „Fleisch“. Das kann eine nachgebaute Sicherheitslücke sein, zum Beispiel die angesprochene WU-FTP Schwachstelle. Würde beispielsweise ein neuer Wurm auf der Suche nach dieser Schwachstelle den Honeypot finden, könnte er seine Schadroutine abliefern, ohne dass diese tatsächlich Wirkung zeigen würde. Der Administrator hätte so die Möglichkeit die Routine zu analysieren und Gegenmaßnahmen zu entwickeln.
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.