Honeypots und Honeynets: Pheromone für Hacker

Nachdem er die Sicherheitslücke im WU-FTP Server ausgenutzt hat, ist der Hacker drin. Schnell richtet er sich über einen weiteren Programmierfehler im FTP-Daemon Root-Rechte ein, dann beginnt er damit, seine Spuren zu verwischen. Immer wieder kontrolliert er die aktiven Computer und angemeldeten Nutzer, in dieser Phase seines Angriffs ist er einem aufmerksamen Administrator weitgehend ausgeliefert. Alles bleibt ruhig, er kann eine Verbindung aus dem angegriffenen Netzwerk, durch die Firewall, zu seinem verdeckten Server im Internet aufbauen und ein Rootkit, (also eine Sammlung mit modifizierten Systemprogrammen) nachladen. Geschafft, nun sind seine Aktivitäten praktisch unsichtbar.

Dieselbe Zeit, ein anderer Ort: der Administrator lehnt sich vor seinem Monitor zurück, auf dem er seit zehn Minuten den Aktionen des Hackers zugesehen hat. Was für den Angreifer wie das Netzwerk des Forschungsbereichs eines mittelständischen Unternehmens aussah, war ein Honeynet – eine geschickt gestellte und gut getarnte Falle, die Hacker anlocken sollte. Offensichtlich mit Erfolg, diese Woche meldeten die IDS-Systeme schon den Dritten neugierigen Gast.

Das bedeutet zwar Überstunden für den Admin, doch die Adresse des Servers, von der der Hacker sein Rootkit nachlud, enthielt einen Namen im Klartext, der bei der Suche nach der Identität des Angreifers hilft.