Einbrüche im High Interaction Honeynet beobachten

Vorsicht ist geboten

Einbruchsstudien mittels Honeypots sind lehrreich und helfen vorbeugen. Rechtlich bewegt sich der Honeynet-Betreiber jedoch in einer Grauzone. Aus dem deutschen Recht sind mindestens drei Sachverhalte zu beachten: Beihilfe zu einer Straftat, Datenschutz sowie Haftung für den mittelbar durch einen Honeypot verursachten Schaden.

Die Beihilfe zur Straftat kommt laut einem juristischen Konferenzvortrag [14] nicht zum Tragen, wenn das Honeynet durch geeignete Sicherheitsmaßnahmen abgesichert ist. Meistens ist das Honeynet sogar deutlich sicherer als normale Rechner. Im zweiten Fall geht es um die Frage, ob man aus Datenschutzgründen überhaupt die Aktivitäten auf einem Honeypot aufzeichnen darf. Diese Frage erübrigt sich allerdings, da auch im realen Leben Überwachungssysteme Einbrecher aufzeichnen.

Für die Haftung gibt es keine eindeutige Antwort. Es bleibt, das Honeynet bestmöglich abzusichern, um Schaden abzuwenden. Der Betrieb eines Honeynet ist nichts, was man mal eben nebenbei tut. Der Betreiber muss schon rund um die Uhr hinschauen, um rechtzeitig eingreifen zu können. (ake)

Infos
[1] Siehe auch folgenden Honeypot-Artikel: Frank Bernhard, "Süße Versuchung - Angriffe auf nicht vorhandene IP-Adressen": Linux-Magazin 01/2002, S. 68 [2] Roo:[https://projects.honeynet.org/honeywall] [3] Honeynet Project, "Roo CDROM User\'s Manual":[http://yum.honeynet.org/roo/manual] [4] Snort-Inline:[http://snort-inline.sourceforge.net] [5] Ryan Talabis, "A Primer on Honeynet Data Control Requirements":[http://www.philippinehoneynet.org] [6] POF:[http://lcamtuf.coredump.cx/p0f.shtml] [7] Swatch: [http://swatch.sourceforge.net] [8] Sebek:[http://www.honeynet.org/tools/sebek] [9] Edward Balas and Camilo Viecco, "Towards a Third Generation Data Capture Architecture for Honeynets":[http://old.honeynet.org/papers/individual/hflow.pdf] [10] PHP Ads New:[http://www.openx.org/phpadsnew] [11] PHP-Schwachstelle XMLRPC:[http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2498] [12] Kernel-Schwachstelle Ptrace: [http://www.csnc.ch/misc/files/publications/Linux_PTrace_Root_Compromize.pdf] [13] Forensik-Schwerpunkt im Linux-Magazin 06/2008: [http://www.linux-magazin.de/heft_abo/ausgaben/2008/06] [14] Maximilian Dornseif, Felix Freiling, Thorsten Holz, "Ermittlung von Verwundbarkeiten mit elektronischen Ködern":[http://arxiv.org/pdf/cs/0406059]

Infos

[1] Siehe auch folgenden Honeypot-Artikel: Frank Bernhard, "Süße Versuchung - Angriffe auf nicht vorhandene IP-Adressen": Linux-Magazin 01/2002, S. 68

[2] Roo:[https://projects.honeynet.org/honeywall]

[3] Honeynet Project, "Roo CDROM User\'s Manual":[http://yum.honeynet.org/roo/manual]

[4] Snort-Inline:[http://snort-inline.sourceforge.net]

[5] Ryan Talabis, "A Primer on Honeynet Data Control Requirements":[http://www.philippinehoneynet.org]

[6] POF:[http://lcamtuf.coredump.cx/p0f.shtml]

[7] Swatch: [http://swatch.sourceforge.net]

[8] Sebek:[http://www.honeynet.org/tools/sebek]

[9] Edward Balas and Camilo Viecco, "Towards a Third Generation Data Capture Architecture for Honeynets":[http://old.honeynet.org/papers/individual/hflow.pdf]

[10] PHP Ads New:[http://www.openx.org/phpadsnew]

[11] PHP-Schwachstelle XMLRPC:[http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2498]

[12] Kernel-Schwachstelle Ptrace: [http://www.csnc.ch/misc/files/publications/Linux_PTrace_Root_Compromize.pdf]

[13] Forensik-Schwerpunkt im Linux-Magazin 06/2008: [http://www.linux-magazin.de/heft_abo/ausgaben/2008/06]

[14] Maximilian Dornseif, Felix Freiling, Thorsten Holz, "Ermittlung von Verwundbarkeiten mit elektronischen Ködern":[http://arxiv.org/pdf/cs/0406059]

Die Autoren
Markus Engelberth, Jan Göbel, Christian Gorecki und Philipp Trinius sind Doktoranden am Lehrstuhl für Praktische Informatik 1 der Universität Mannheim. Neben Honeypots gehören Spam-Mitigation, Botnet-Tracking und Malware-Analyse zu den Schwerpunkten des Lehrstuhls.