Statt den Angreifer auf dem Server abzuwehren, legt man einen Köder aus und lockt ihn so in die Falle. Die Schwachstellen des simulierten Systems stellen für einen Hacker ein reizvolles Opfer dar.
Honeypot?
Software, die Angriffe auf das Netzwerk auf unwichtige Daten eines eigens zusammengestellten Systems lenkt, nennt man Honeypot. Wobei aber auch echte Technik hinter dem Honeypot stehen kann. Die Taten des Angreifers werden protokolliert. Diese Informationen können genutzt werden, um das eigentliche Netzwerk vor möglichen Angriffen besser zu schützen.
Klar kennen auch Hacker die Honeypot-Idee und analysieren schon lange, wo die Unterschiede zum echten Netzwerk liegen. Doch solange nicht jeder zwischen echten Netzwerk und Honeypots einen Unterschied ausmachen kann, bleibt es bei der gewohnten Überprüfung aller Netzwerk-Komponenten auf Schwachstellen. Die Falle schnappt zu.
Honeywall unter Vmware
Da der gefakte Rechner nicht genutzt wird, deutet sämtliche Aktivität auf illegale Zugriffe hin. Der Honeypot informiert über diese Angriffe, verhindern kann er sie nicht. Der Eindringling allerdings wird ausgebremst, sein Angriff auf virtuelle Ziele umgelenkt und damit von den eigentlich interessanten Zielen ferngehalten.
Tarnen und täuschen ist also alles, wozu man eine spezialisierte Software benötigt. Dabei unterscheidet man in High- und Low-Interaction Honeypots. High-Interaction ist aufwändiger als Low-Interaction, da hier nicht nur das Betriebssystem mit den gängigen Diensten, sondern auch die Software mit gefakten Daten und Datenfluss ein echtes System bilden, das der Hacker gerne angreifen darf. Er bekommt viele Interaktionsmöglichkeiten geboten. Low-Interaction-Honepots sind dagegen leichter zu installieren, werden aber auch schneller enttarnt.
Honeyd
Ein Beispiel für so ein Low-Interaction-Honepot ist die Open-Source-Software Honeyd, die Anwendungen unter verschiedenen Betriebssystemen emuliert. So könnte etwa ein Windows-Server-System mit den Anwendungen WWWServer und Exchange-Mail-Server, ein Windows-Client-System, ein Linux-Server-System mit Anwendungen wie Apache, POP-Server und FTP-Server oder auch ein Cisco-Router emuliert werden. Für die Emulation von Diensten werden Skriptdateien, zumeist Shell-Skripts, eingesetzt. Unter Windows müsste dazu eine Shell-Scripting-Engine installiert werden. Honeyd für Windows beinhaltet drei Skripts, die eine Telnet-Anmeldung, eine SSH-Sitzung (Secure Shell) und einen IIS-5.0-Server mit Standard-Verzeichnisnamen simulieren. Weitere Skripts findet man über Google.
Für den Angreifer wird es umso schwieriger, wenn mehrere Betriebssysteme gleichzeitig simuliert werden, was Honeyd ermöglicht. Alle Anstrengungen des Hackers werden dann in einer ASCII-Datei auf dem Host gespeichert. Wer sicher gehen möchte, speichert diese Daten besser auf einem Remote-Server, falls der Honeypot doch einmal geknackt wird.
Der Profi setzt auf einen so genannten Paket-Sniffer, um jeglichen Betrieb von und zum Honeypot abzufangen. Leider bietet das von Unix auf Windows portierte Programm noch keine Windows-GUI. Auch fehlt die Option zur Simulierung eines NetBIOS-Namen. Das könnte dem Störenfried ein Hinweis auf das unechte Netzwerk sein. Wem die Konfigurationsdatei zu abstrakt und die Befehlszeileneingabe zu ungewohnt ist, der sollte sich das voreingestellte Honeyd Linux Toolkit ansehen, das mit einer Auswahl der besten Skripts und einem Template daher kommt, oder sich gleich für einen einfachen Windows-Honeypot entscheiden. Einzigartig: Dieser Honeypot kann auch zum Abfangen von Spam verwendet werden.
Honeyd schafft virtuelle Netzwerke
BackOfficer
Ein simpler und kostenloser Honeypot ist BOF, der unter vielen Windows-Versionen und eingeschränkt auch auf Unix-Plattformen läuft. Die Windows-Version hat eine grafische Oberfläche und ist problemlos konfigurierbar.
Auch der BackOfficer ist ein Low Interactive Honeypot, der gerade das Unentbehrliche, wie etwa das Betriebssystem, den IP-Stack und gebräuchliche Dienste simuliert, wie FTP, Telnet, SMTP, HTTP oder POP3. Er enthält keinen Content oder gar laufende Anwendungen, dafür bietet er eine schnelle Einrichtung, was auch bei Kompromittierungen erfreut.
Nach dem Download wird als erstes die IP-Adresse bestimmt, auf der das Programm mithören soll, dann ein Betriebssystem sowie die IP-Ports, die vorgetäuscht werden. Kommt es zum Angriff, werden alle Versuche aufgezeichnet und der Administrator benachrichtigt. Darin liegt auch die Hauptarbeit dieser Software, die relativ schnell entlarvt werden kann. Weitergehende Konfigurationsmöglichkeiten, die etwa Honeyd bietet, fehlen hier.
Die protokollierten Verbindungsversuche
Symantec Decoy Server
Der Decoy Server (Hersteller Infos nicht bekannt) simuliert bis zu vier funktionstüchtige Server. Ergänzend generiert die Software auch gleich den üblichen E-Mail-Verkehr zwischen den virtuellen Anwendern, so das der Angreifer ein lebendiges Netzwerk vorfindet. Das Programm erkennt dabei sowohl Host- als auch netzwerkbasierte Angriffe. Die detaillierten Informationen werden in so genannten Datensammlungsmodulen geleitet und zur Auswertung bereitgestellt.
Filter ermöglichen es, belangloses automatisch zu verwerfen, so dass nur die Daten übrig bleiben, die zur Reaktion auf Bedrohungen notwendig sind. Wird der Angriff zu gefährlich, können automatisch Systeme heruntergefahren werden. Die Lizenz für 2 virtuelle Server, hier Cages genannt, kostet um die Neuntausend Euro. Symantec bietet weitere Komponenten zur Hackerabwehr, ist aber schon mit dem Decoy Server auf High-Interaction ausgerichtet.
Kommerzielle Honeypot-Lösung
Specter
Mit 599,00 Euro ist die Low-Interaction-Lösung von Netsec für Windows wesentlich günstiger. Die von Specter angebotenen Dienste können über Checkboxen aktiviert werden. Das schafft eine Übersicht, die anderen Programmen dieser Art auch gut stehen würde. So fällt die Wahl leicht, welche Betriebssysteme und Dienste simuliert werden sollen.
Auch wenn nur Windows XP für das Programm selbst in Frage kommt, simuliert werden auch Linux-, Solaris-, Unix- und Mac-OS-Rechner. Bei jeglicher Aktivität wird der Administrator benachrichtigt, der mit den gebotenen Informationen durchaus das Weiterkommen des Hackers verhindern kann. Denn neben den gängigen Daten wird auch gleich das Ziel des Täters angezeigt. Das Programm übernimmt also einen Teil der Analyse.
Funktionen abhaken
Google Hack Honeypot
Man glaubt es kaum, aber auch Google kann mißbraucht werden, um eine Website zu hacken. Es gibt zahlreiche Tricks, die ganze Bücher füllen. Als Beispiel sei die Suche nach Kreditkartennummern genannt. Der Hacker sucht nach den ersten vier Stellen der Kreditkarte, was funktioniert, da viele Karten an erster Stelle die gleichen Ziffern haben. Nehmen wir etwa 4052. Die Nummer im Ganzen ist zumeist 16-stellig. Die Suche wird also von 4052000000000000 bis 4052999999999999 gehen, was so in Google eingegeben wird. Die Suchergebnisse zeigen nun Websites, die 16-stellige Nummern haben, deren erste vier Stellen mit 4052 anfangen.
Je mehr dieser Nummern auf einer Website zu finden sind, umso höher ist auch die Position in den Suchergebnissen. Die Website mit den meisten Nummern wird also vermutlich auf Platz 1 landen. Das war sehr einfach, doch welche Website veröffentlicht schon tausende Kreditkartennummern? Keine, doch Googles Indexierung zeigt eben auch Unsichtbares auf, so auch schlecht programmierte Applikationen, etwa für den Online-Shop, der vielleicht eine Lücke zuviel hat.
Genau da kommt der Google Hack Honeypot ins Spiel, der so eine schlecht programmierte Applikation simuliert. Die Besucher der Website werden diese niemals zu sehen bekommen, doch Google findet sie. Jeder Möchtegern-Hacker wird nun zu einem PHP-Skript gelenkt, das jede Tat aufzeichnet. Der Zugriff wird also – Honeypot-typisch – nicht abgewehrt, sondern dokumentiert. Das sind Daten, die zur Sicherheit der Website und der Online-Geschäfte beitragen. Google Hack Honeypot steht unter der „GNU Public License“ und ist somit kostenlos.
Demonstration des GHH
Das Honeynet-Projekt
Wer seinen Feind kennt, kann ihn bekämpfen. Deshalb wird das Hacker-Verhalten gezielt erforscht. Das German Honeynet Project hat sich genau das auf die Flagge geschrieben und lockt mit nur scheinbar geschützten Servern den Täter in die Falle. Hauptziel ist die Untersuchung von so genannten Botnets, also Netzwerke, die etwa von Trojanern ferngesteuert werden. Deren Ziel könnte zum Beispiel die Verbreitung von Spam oder Denial-of-Service-Attacken sein. Wie man sich denken kann, stellen Botnets eine große Gefährdung für die Internet-Infrastruktur dar.
Das Team konnte über 100 Botnets anlocken, die im ganzen 226.585 Rechner kontrollierten. Die mächtigste Streitmacht ferngesteuerter PCs hatte ein Bot mit fast 50.000 Systemen. Um diese Technik besser zu verstehen, wurde ein eigener Bot programmiert, natürlich ohne die üblichen schädlichen Routinen. Von DoS-Attacken über Spam-Versand bis zum Auskundschaften einzelner User konnte der Bot zu allen Bosheiten verleitet werden. Die Ergebnisse ihrer Studien stellt das Team auf der Homepage zur Verfügung.
Die Honeynet Website
Honeywall
Die Honeywall CD-ROM des oben genannten Projekts hilft, einen eigenen High-Interaction-Honeypot zu erstellen. Man benötigt nur einen Köder-PC oder Vmware, für die unsichtbare Bridging-Firewall und ein komplexes Honeynet. Die Installation des Honeynet Gateways ist vollständig automatisiert. Diese Honeywall ist oft der schwierigste Teil der Installation eines Honeynets. Jeder, der in das Honeynet hinein oder daraus hinaus will, wird abgefangen und überprüft.
Alle benötigten Elemente werden auf einer einzigen bootfähigen CD-ROM zusammengefasst. Nach der Installation sind nur noch kleinere Konfigurationsarbeiten notwendig, um das System restlos einsatzbereit zu machen. Doch dazu mehr in einen eigenen Artikel.
Das Hauptmenü von Honeywall
Werden Schwachstellen geboten, zieht das natürlich Hacker an, wie eben Honig die Bienen. Er wird zum Angriff verleitet. Wenn ein guter Hacker den Honeypot erkennt, motiviert es ihn erst recht, weiterzumachen. Es bleibt eine Medaille mit zwei Seiten.
Auch sollte man bedenken, dass durch die Verwendung von Honeypots das eigentliche Netzwerk genauso verwundbar oder unverwundbar bleibt, wie zuvor. Folglich stellt ein Honeypot keine Alternative, sondern eine Erweiterung der üblichen Schutzmaßnahmen wie etwa Firewalls oder Intrusion Detection Systems dar.
Erstveröffentlichung 14.09.2005
