Samstag, 26.09.2020
 
Seit 14:05 Uhr Campus & Karriere
StartseiteComputer und KommunikationSüße Falle für Hacker31.01.2004

Süße Falle für Hacker

"Honeynet" bietet Hackern eine kontrollierte Spielwiese

<strong> IT-Defense, so nennt sich ein kleiner, aber feiner Kongress, auf dem stets Leute über die neusten Trends berichten, die man in der Szene gerne als Gurus bezeichnet. Nun werden die Trends im Bereich der Sicherheit aber nicht von diesen Gurus gesetzt - vielmehr geben Hacker, Spammer und Virenschreiber vor, was gefährlich und deshalb wichtig ist. "Von den Übeltätern lernen" könnte man denn auch das Motto des diesjährigen Kongresses nennen, der diese Woche in Ludwigsburg tagte. Im Fokus standen dabei auch so genannte "Honeypots" – Köder-Systeme, die jedes Detail von Angriffen aufzeichnen und Aufschluss über die neuesten Techniken der Hacker geben.</strong>

Von Achim Killer

Mit "Honeypots" lernen Experten von Hackern. (IT-Defense)
Mit "Honeypots" lernen Experten von Hackern. (IT-Defense)

Honeypots - Honigtöpfe – standen im Mittelpunkt der IT-Defense 2004. So bezeichnet man Rechner, deren ausschließliche Aufgabe es ist, Hacker und Schadprogramme anzuziehen. Jene können dort kein Unheil anrichten, weil nichts draufläuft außer der Honeypot-Software, einem Programm, das dem Angreifer vorspiegelt, ein Produktiv-Rechner zu sein. Der Administrator aber kann unterdessen beobachten, welche Aktivitäten der Eindringling entfaltet. Martin Rösch, der Cheftechniker der IT-Sicherheitsfirma SourceFire erläutert die Funktion der Honigtöpfe so:

Sie sind dazu da, um bewusst Angriffspunkte bieten zu können. Auf Leute mit feindlichen Absichten wirken sie wie niedrig hängende reife Früchte. Und danach greifen solche Leute ja sehr gerne. Die Honigtöpfe sind Teil der IT-Sicherheitspolitik eines Unternehmens, die vorschreibt, dass niemand das Netz scannen oder erkunden darf und wer auf welche Systeme Zugriff hat. Hinsichtlich der Honigtöpfe bekommt niemand irgendwelche Rechte. Darauf zuzugreifen ist verboten. Und deshalb kann man aus dem schieren Umstand, dass jemand es trotzdem versucht, auf dessen feindliche Absichten schließen. So jemand ist verdächtig. Und deshalb zeichnet man dann auf, was er tut, und versucht herauszubekommen, was er vorhat und über welche Fähigkeiten er verfügt.

Die Software wird von Teams innerhalb des weltweiten Honeynet-Projekts geschrieben. In diesen Tagen kommt eine neue Version heraus. Und die kann nicht nur einen einzelnen Rechner simulieren, sondern gleich ein ganzes Netz, und zwar genau das Netz, das im jeweiligen Unternehmen tatsachlich installiert ist. Dabei aktualisiert sich die Simulation, wenn sich die reale IT-Umgebung verändert. Lance Spitzner, der Gründer des Projekts, nennt derartiges einen dynamischen Honeypot:

Es beobachtet das Netz, was für Systeme es gibt, welche Dienste diese benutzen und bildet dann virtuelle Honigtöpfe, die vorgaukeln dieses System zu sein.

Es kann sehr lehrreich sein, Hacker an die Honigtöpfe zu lassen. Deshalb ist es unter Umständen auch sinnvoll, manches, was verdächtig erscheint, nicht gleich an der Firewall des Unternehmens abzublocken, sondern es stattdessen zu einem Honeypot zu dirigieren. Hot Zoning heißt diese Technik. Lance Spitzner:

Man leitet allen Datenverkehr, von dem man weiß, dass er gefährlich ist, auf einen Honeypot um. Jenen, der für den Mail-Server bestimmt ist, aber nicht aus Mails besteht, beispielsweise. Und dann untersucht man, wer eindringt, warum und so weiter.

Allerdings eignet sich die Honeypot-Software, so wie man sie aus dem Internet laden kann, nicht für den Umgang mit den Cleversten der Hacker. Denn diese kennen die Programme natürlich auch. Deshalb empfiehlt es sich für besonders gefährdete Unternehmen, Honeypots vor der Installation zu modifizieren.

Spitzenhacker können Gegenmaßnahmen ergreifen. Wenn eine Organisation etwas über die am weitesten entwickelten Hackermethoden herausbekommen möchte, dann muss sie etwas tun, das sich von dem unterscheidet, das öffentlich bekannt und verfügbar ist. Aber das ist keine einfache Aufgabe.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk