Honeypotting

Der Honeypot, zu Deutsch Honigtopf, ist eine süß duftende Versuchung. Ein Lockmittel, von dem sich schon der ein oder andere Bär hat täuschen lassen. ...

Ein Computersystem, der metaphorische Honigtopf, wird absichtlich mit Sicherheitslücken ausgestattet, um Hacker gezielt anzulocken und zu überführen.

Einrichtung von Honeypots

Beschäftigungstherapie für Hacker
  • Betriebssystem ohne Updates und mit Standard-Einstellungen und Optionen installieren
    • Anwendungen installieren
    • Datenbanken installieren
    • Client/Server Struktur
    • Sicherungssystem(e)
  • System nur mit Daten ausstatten, die risikofrei gelöscht oder zerstört werden können
    • Dummy Daten
    • Fake Daten
    • Falsche Entwicklungsdaten
    • gefälschte Statistiken
  • Anwendung installieren, die die Aktivitäten des Angreifers aufzeichnet
    • Tracking
    • Tracing
    • ...
  • Vor der Firewall und in verschiedenen Netzwark Segmenten

Wie funktioniert Honeypotting?

Und warum

Immer häufiger und verstärkt werden IT Systeme Opfer von Hackerangriffen.

Um dem entgegenzuwirken, werden unter anderem Honeypots als Maßnahme zur Ergänzung von Firewalls eingesetzt.

Bei einem Angriff ist die Wahrscheinlichkeit groß, dass zunächst der Honeypot angegriffen wird, da dieser nicht wie die anderen Server des Computersystems durch eine Firewall geschützt ist.

Während eines Angriffs versendet die Überwachungsanwendung Warnungen und zeichnet die Aktivitäten des Hackers auf und blockiert dessen IP-Adresse.

Verschiedene Honeypots

Mehrere Honeypots spiegeln eine Firma besser wieder

Je nach Zielsetzung können Honeypots in Produktions- und Forschungs-Honeypots unterteilt werden. Erstere haben eine begrenzte Informationserfassung und dienen vor allem der Sicherheit eines Unternehmen, letztere sind komplexer und finden ihren Einsatz in Forschungs-, Verwaltungs- und Militäreinrichtungen.

Produktions-Honeypots

Beispiel für eine Produzierende Firma

Serverseitiges Honeypotting:

  • Honeypot simuliert eine Serveranwendung (z. B. einen Webserver)
  • Angreifer werden in diesen isolierten Bereich gelockt
  • Sobald Einbruch versucht wird, zeichnet Honeypot Aktivitäten auf, meldet Vorgang oder startet Gegenmaßnahmen
  • Nutzung der gesammelten Informationen zur effektiveren Sicherung des Computersystems

Clientseitiges Honeypotting:

  • Imitation einer Anwendungssoftware, die unsichere Websites aufruft
  • Angriffe auf Browser werden protokolliert
  • Nutzung der Informationen zur Verbesserung der Software und Verminderung von Sicherheitsrisiken

Forschungs-Honeypots

Beispiel für eine Firma mit Forschung und Entwicklung
  • erfassen und analysieren multidimensionale Informationen
  • Organisationen wie das Honeypot-Netzwerk "Project Honey Pot" nutzen sie zur Sammlung von Daten (z.B. IP-Adressen)
  • steigern Wissen, welche Vorgehensweise und Werkzeuge Angreifer momentan nutzen
  • Erkenntnisse aus der Forschung werden für die Allgemeinheit veröffentlicht

Welche Chancen und Risiken gibt es?

Vorteile

  • Sammlung, Protokolle und Analyse von Daten
  • Zusätzliche Kontrollfunktion zum Intrusion Detection System (=Angriffserkennungssystem) und zur Firewall
  • Verwendung zur Überwachung der Wirksamkeit der Sicherheitssysteme = Qualitätssicherung
  • bei ordentlicher Überwachung von Honeypots gibt es keine Falschmeldungen

Nachteile

  • Sicherheitssysteme können von hohem Datenverkehr überfordert sein, das führt zu Verlust von Datenpaketen (Limitierungen schaffen Abhilfe)
  • Wenn Honeypot nicht gefunden wird, verfehlt er den Sinn (Also offensichtlich, aber nicht zu sehr)
  • Gefahr, dass ein Einbruch auf Honeypot erfolgreich ist und dieser für weitere Angriffe gegen das Netzwerk genutzt wird
  • Keine Gesetzesregelung, Anwendung von Honeypots könnte je nach Applikation Straftat darstellen (Beihilfe zum Einbruch)