Honeypots - Honigtöpfe – standen im Mittelpunkt der IT-Defense 2004. So bezeichnet man Rechner, deren ausschließliche Aufgabe es ist, Hacker und Schadprogramme anzuziehen. Jene können dort kein Unheil anrichten, weil nichts draufläuft außer der Honeypot-Software, einem Programm, das dem Angreifer vorspiegelt, ein Produktiv-Rechner zu sein. Der Administrator aber kann unterdessen beobachten, welche Aktivitäten der Eindringling entfaltet. Martin Rösch, der Cheftechniker der IT-Sicherheitsfirma SourceFire erläutert die Funktion der Honigtöpfe so:
Sie sind dazu da, um bewusst Angriffspunkte bieten zu können. Auf Leute mit feindlichen Absichten wirken sie wie niedrig hängende reife Früchte. Und danach greifen solche Leute ja sehr gerne. Die Honigtöpfe sind Teil der IT-Sicherheitspolitik eines Unternehmens, die vorschreibt, dass niemand das Netz scannen oder erkunden darf und wer auf welche Systeme Zugriff hat. Hinsichtlich der Honigtöpfe bekommt niemand irgendwelche Rechte. Darauf zuzugreifen ist verboten. Und deshalb kann man aus dem schieren Umstand, dass jemand es trotzdem versucht, auf dessen feindliche Absichten schließen. So jemand ist verdächtig. Und deshalb zeichnet man dann auf, was er tut, und versucht herauszubekommen, was er vorhat und über welche Fähigkeiten er verfügt.
Die Software wird von Teams innerhalb des weltweiten Honeynet-Projekts geschrieben. In diesen Tagen kommt eine neue Version heraus. Und die kann nicht nur einen einzelnen Rechner simulieren, sondern gleich ein ganzes Netz, und zwar genau das Netz, das im jeweiligen Unternehmen tatsachlich installiert ist. Dabei aktualisiert sich die Simulation, wenn sich die reale IT-Umgebung verändert. Lance Spitzner, der Gründer des Projekts, nennt derartiges einen dynamischen Honeypot:
Es beobachtet das Netz, was für Systeme es gibt, welche Dienste diese benutzen und bildet dann virtuelle Honigtöpfe, die vorgaukeln dieses System zu sein.
Es kann sehr lehrreich sein, Hacker an die Honigtöpfe zu lassen. Deshalb ist es unter Umständen auch sinnvoll, manches, was verdächtig erscheint, nicht gleich an der Firewall des Unternehmens abzublocken, sondern es stattdessen zu einem Honeypot zu dirigieren. Hot Zoning heißt diese Technik. Lance Spitzner:
Man leitet allen Datenverkehr, von dem man weiß, dass er gefährlich ist, auf einen Honeypot um. Jenen, der für den Mail-Server bestimmt ist, aber nicht aus Mails besteht, beispielsweise. Und dann untersucht man, wer eindringt, warum und so weiter.
Allerdings eignet sich die Honeypot-Software, so wie man sie aus dem Internet laden kann, nicht für den Umgang mit den Cleversten der Hacker. Denn diese kennen die Programme natürlich auch. Deshalb empfiehlt es sich für besonders gefährdete Unternehmen, Honeypots vor der Installation zu modifizieren.
Spitzenhacker können Gegenmaßnahmen ergreifen. Wenn eine Organisation etwas über die am weitesten entwickelten Hackermethoden herausbekommen möchte, dann muss sie etwas tun, das sich von dem unterscheidet, das öffentlich bekannt und verfügbar ist. Aber das ist keine einfache Aufgabe.
Sie sind dazu da, um bewusst Angriffspunkte bieten zu können. Auf Leute mit feindlichen Absichten wirken sie wie niedrig hängende reife Früchte. Und danach greifen solche Leute ja sehr gerne. Die Honigtöpfe sind Teil der IT-Sicherheitspolitik eines Unternehmens, die vorschreibt, dass niemand das Netz scannen oder erkunden darf und wer auf welche Systeme Zugriff hat. Hinsichtlich der Honigtöpfe bekommt niemand irgendwelche Rechte. Darauf zuzugreifen ist verboten. Und deshalb kann man aus dem schieren Umstand, dass jemand es trotzdem versucht, auf dessen feindliche Absichten schließen. So jemand ist verdächtig. Und deshalb zeichnet man dann auf, was er tut, und versucht herauszubekommen, was er vorhat und über welche Fähigkeiten er verfügt.
Die Software wird von Teams innerhalb des weltweiten Honeynet-Projekts geschrieben. In diesen Tagen kommt eine neue Version heraus. Und die kann nicht nur einen einzelnen Rechner simulieren, sondern gleich ein ganzes Netz, und zwar genau das Netz, das im jeweiligen Unternehmen tatsachlich installiert ist. Dabei aktualisiert sich die Simulation, wenn sich die reale IT-Umgebung verändert. Lance Spitzner, der Gründer des Projekts, nennt derartiges einen dynamischen Honeypot:
Es beobachtet das Netz, was für Systeme es gibt, welche Dienste diese benutzen und bildet dann virtuelle Honigtöpfe, die vorgaukeln dieses System zu sein.
Es kann sehr lehrreich sein, Hacker an die Honigtöpfe zu lassen. Deshalb ist es unter Umständen auch sinnvoll, manches, was verdächtig erscheint, nicht gleich an der Firewall des Unternehmens abzublocken, sondern es stattdessen zu einem Honeypot zu dirigieren. Hot Zoning heißt diese Technik. Lance Spitzner:
Man leitet allen Datenverkehr, von dem man weiß, dass er gefährlich ist, auf einen Honeypot um. Jenen, der für den Mail-Server bestimmt ist, aber nicht aus Mails besteht, beispielsweise. Und dann untersucht man, wer eindringt, warum und so weiter.
Allerdings eignet sich die Honeypot-Software, so wie man sie aus dem Internet laden kann, nicht für den Umgang mit den Cleversten der Hacker. Denn diese kennen die Programme natürlich auch. Deshalb empfiehlt es sich für besonders gefährdete Unternehmen, Honeypots vor der Installation zu modifizieren.
Spitzenhacker können Gegenmaßnahmen ergreifen. Wenn eine Organisation etwas über die am weitesten entwickelten Hackermethoden herausbekommen möchte, dann muss sie etwas tun, das sich von dem unterscheidet, das öffentlich bekannt und verfügbar ist. Aber das ist keine einfache Aufgabe.