Honeypots und Honeynets: Pheromone für Hacker

Verkehrte Welt: Während man normalerweise alles tut, um einen Host im Internet so sicher wie möglich zu konfigurieren, geht es bei einem Honeypot in die entgegen gesetzte Richtung. Der Computer oder das Netzwerk muss zumindest halbwegs angreifbar aussehen, sonst lassen die üblichen Verdächtigen erst Mal die Finger davon. Darum „salzen“ Profis ihre Honeypots entweder mit plakativen Sicherheitslücken oder installieren gleich einen Trojaner wie Back-Orifice oder Subseven, um bei Scans auf diese Ports Interesse auf sich zu ziehen. Oft wird auch komplett auf eine Firewall verzichtet, um es so einfach wie möglich zu machen.

Hat der Angreifer Witterung aufgenommen, zeigt sich, ob das Honeynet seinen Zweck erfüllt. Wichtig ist, dass die falsche Umgebung so lange wie möglich unerkannt bleibt. Dazu müssen alle eindeutigen Hinweise auf mitlaufende Aufzeichnungen tunlichst vermieden werden. Intrusion Detection Systeme wie Snort, die bei praktisch jedem Honeynet zum Einsatz kommen, arbeiten rein passiv. Aber auch sie benötigen einen Hostrechner und belegen Rechenzeit, so dass sie ein erfahrener Angreifer aufspüren kann.

Kommerziell angebotene Honeynet-Lösungen wie Decoy Server (Mantrap) von Symantec umgehen diese Schwierigkeit durch den Einsatz eines transparenten Gateways. Es ist sogar in der Lage potenziell gefährliche Befehle wie das berüchtigte Angriffskommando /bin/sh durch ben/sh zu ersetzen. Im Open Source-Bereich bietet das IDS-Gateway Hogwash ähnliche Funktionen. Kommerzielle Software sorgt auch dafür, dass entsprechend banale oder interessante Inhalte den Hacker davon überzeugen, ein echtes Produktionsnetz gefunden zu haben. Eigene Content-Generatoren sorgen für Mails, Dokumente und andere Spuren eines normal bevölkerten Netzwerks.