Eine Falle für die Hacker

Als 1990 Clifford Stolls Buch «The Cuckoo’s Egg» erschien, ahnte noch niemand, dass seine Beobachtungen Inspiration zum Honeypot-Konzept sein sollten. Stoll bemerkte eines Abends einen Einbrecher in seinem Computersystem, und entgegen der damals üblichen Vorgehensweise schaltete er den Rechner nicht sofort ab, sondern begann, den Eindringling zu studieren. Er wollte mehr über die Vorgehensweise lernen. Während der nächsten paar Monate verfolgte Stoll die Aktivitäten des Angreifers und beobachtete, wie dieser weitere Computer der amerikanischen Regierung und des Militärs einzunehmen versuchte. Stoll war durch die gewonnenen Erkenntnisse in der Lage, die bedrohten Maschinen zu schützen.

Hier wird ein Nutzen der Honeypot-Strategie offensichtlich. Durch die erlangten Erkenntnisse kann man gleichartige Angriffe abwehren. Stoll brachte sogar eine Methodik ins Spiel, indem er erfundene Unterlagen auf kompromittierten Computern ablegte und deren Inhalt als geheim klassifizierte. So vermochte er den Eindringling zeitlich stark zu binden, weil dieser mit dem Durchlesen der Dokumente beschäftigt war. Diese Zeit nutzte Stoll, um den Angreifer zu lokalisieren. Dieser gab unbeabsichtigt immer mehr Informationen über seine Persönlichkeit und Motivation preis. So war er beispielsweise nicht an finanziellen Dokumenten interessiert, sondern las nur Dokumente, die von nationaler Sicherheit handelten. Aus den Aktivitäten Stolls entstand schliesslich das Konzept der Honeypots.

Nach und nach erschienen Produkte auf dem Markt, welche diese Ideen implementierten. Mittlerweile sind diese Produkte hoch entwickelt. Ein Name hat sich speziell exponiert: The Honeynet Project. Dabei handelt es sich um eine bereits 1999 gegründete gemeinnützige Organisation, die sich zum Ziel gesetzt hat, von der Blackhat Community (Hacker, die illegale Aktionen durchführen) die Werkzeuge, Taktiken und Motive zu lernen und das Gelernte allgemein zugänglich zu machen.
Die Honeypot-Organisation ist auf 30 Mitglieder beschränkt. Die kleine Anzahl von Mitgliedern erlaubt es, schnell mit kurzen Kommunikationswegen zu reagieren. Schnelligkeit ist bei den heutigen Angriffen ein Schlüssel. Das Zeitalter der automatisierten Angriffe hat schon längst begonnen. Die Zeit zwischen Angriffserkennung und Ergreifen von Abwehrmassnahmen wird immer kürzer. Während man heute die sogenannten Intrusion Detection Systems (IDS) noch von Hand mit neuen Angriffsignaturen füttern muss, arbeitet man schon an IDS-Systemen, die ihre Signaturdatenbank durch Honeypots aktualisieren können.

Honeypot mit Honeyd

Die veränderte Motivation der Hacker

War früher das Hacken eines Computers ein Kavaliersdelikt und ein Zeugnis überdurchschnittlicher Kenntnisse, so hat sich dieses Bild in der Zwischenzeit gründlich gewandelt. Die Cyberkriminalität beginnt sich auszuzahlen und ist immer besser organisiert. Vorbei sind die Zeiten, in denen die Mafia Zahlungsunwillige mit einem Betonklotz im Meer versenkt hat. Heute werden die Websites der Geschäfte bei Nichtbezahlen der Erpressungsgelder einfach mit DDoS-Attacken lahmgelegt.
Die Ziele der Angriffe werden entweder nach dem Prinzip «target of choice» oder «target by opportunity» ausgesucht. Beim ausgesuchten Ziel («choice») sind meist Auftragshacker mit grossen Sachkenntnissen und präzisem Vorgehen am Werk. Beim Gelegenheitsziel («opportunity») stecken dagegen meist Scriptkiddies dahinter.
Mit Hilfe der Honeypot-Technologien ist man in der Lage, Angriffs-Informationen zu sammeln und die Aktivitäten zu beobachten. Immer wieder passiert es, dass die Angreifer einen Honeypot einnehmen und für ihre Zwecke herrichten. Die Eindringlinge merken nicht, dass sie bei ihrer Arbeit beobachtet und alle ihrer Schritte aufgezeichnet und später ausgewertet werden. Das ist einer der Hauptgründe, wieso Honeypots so erfolgreich sind. Man lässt den Eindringling gewähren, beobachtet und lernt.

Arten von Honeypots

In der Klassifizierung der Honeypots ist der oben genannte Typ ein sogenannter Research-Honeypot. Es gibt daneben noch den Production-Honeypot. Dieser wird nicht nur zu Beobachtungszwecken verwendet, sondern auch aktiv im Verteidigungsplan der Firma eingesetzt.
Bei der Prevention hat ein Honeypot wenig zu bieten. Ein schlecht konfigurierter Honeypot kann das Risiko sogar erhöhen. Beim Entdecken eines Angriffs oder eines Einbruchs zeigt der Honeypot dagegen seine Stärken. Während Netzwerk- und Host-basierte IDS immer wieder mit sogenannten false positives sowie false negatives zu kämpfen haben, kann man bei einem Alarm, der von einem Honeypot ausgelöst wird, mit sehr grosser Wahrscheinlichkeit davon ausgehen, dass wirklich etwas Unerlaubtes geschehen ist. Diese Aussage basiert auf der Tatsache, dass der Honeypot eigentlich nichts tut, er wartet nur darauf, bis jemand eine illegale Aktion ausführt. Hier sieht man auch gut die Positionierung eines Honeypot in der Verteidigungsstrategie einer Unternehmung. Die Reaktionen, die ein Honeypot auslösen kann, sind vielfältig und können mit IDS und Firewall korreliert werden.

Honeypots werden zusätzlich nach den Möglichkeiten unterschieden, die sie dem Angreifer bieten. Nehmen wir Honeyd (www.honeyd.org), einen typischen «low interaction»-Honeypot. Er wird üblicherweise konfiguriert, um ein paar Services nach aussen anzubieten, so wie das beispielsweise Windows auf dem Port 135 macht. Ein Angreifer sieht einfach den Footprint einer Windows-Maschine und einen offenen Port 135. Programme, die automatisiert Angriffe auf Port 135 ausführen, können von honeyd perfekt vorgeführt werden.
Auf der anderen Seite der Skala steht Honeynet (www.honeynet.org), ein Vertreter der «high interaction»-Honeypots. Ein Honeynet offeriert alle Dienste, die ein Netzwerk zu bieten hat. Demzufolge ist auch der Wartungsaufwand um einiges grösser. Je mehr Dienste angeboten werden, desto mehr spielt man mit dem Feuer. Um ein Honeynet kontrolliert zu betreiben, braucht es zwei Voraussetzungen: Data Control und Data Capture.
Die Kontrolle über die Daten wird im Honeynet mit der sogenannten Honeywall gemacht. Diese kontrolliert vor allem die Daten, die zum Angreifer zurückfliessen. Ebenso stellt sie sicher, dass keine Angriffe auf benachbarte Computernetze erfolgen, denn ein Honeynet ist fast immer Teil eines Produktionsnetzes. Ein isoliertes Netz ohne jeglichen Verkehr würde auch dem ungeübten Angreifer sofort auffallen.

Folgendes Szenario hebt die Wichtigkeit der Kontrolle hervor: Der Angreifer bemächtigt sich eines Honeypot und richtet ihn als Basis für weitere Angriffe auf Computer ein. Diese liegen entweder in demselben Firmennetz oder auf Rechnern in fremden Netzen. Hier spielen auch die gesetzlichen Vorschriften eine Rolle. Man möchte verhindern, dass Klagen gegen den Betreiber des Honeynet eingereicht werden, nachdem der Angriff aus einem in seinem Verantwortungsbereich liegenden Honeypot erfolgte.
Ein anderes Szenario wäre, wenn der Angreifer beginnt, sensible Daten an sich oder andere Computer zu verschicken. Dieser Kontrollmechanismus verhindert sozusagen die Ausbreitung des Schadens.
Kontrolliert werden die Verbindungen nach aussen auf der TCP/IP-Protokollebene und mit Hilfe eines erweiterten IDS, dem sogenannten Inline-Snort. Bemerkenswert ist dabei die Möglichkeit, den Inhalt von Paketen zu ersetzen, die von und zum Angreifer transportiert werden – dieser wird getäuscht. Will er einen Buffer-Overflow nützen und schickt einen Shellcode, wird dieser durch Inline-Snort erkannt und geändert, so dass kein Erfolg resultiert. Der Honeywall kommt somit eine zentrale Bedeutung im Honeynet zu. Sie ist Dreh- und Angelpunkt des Datenverkehrs zu den einzelnen Honeypots, sammelt alle Aufzeichnungen und legt diese an einem sicheren, für einen Angreifer unerreichbaren Ort ab. Um diese Arbeit problemlos verrichten zu können, ist die Honeywall unsichtbar im TCP/IP-Netz.

Einsatzgebiete

Die Vorteile eines Honeypot liegen in seinen wenigen, aber wertvollen Daten, die er produziert. Die Handhabung von Honeypots ist einfach und sie zeigen ihren Wert als Sicherheitsressource sofort. Als Nachteil muss dafür die eingeschränkte Sicht in Kauf genommen werden. Das heisst, wenn keine Attacke auf die Ressource ausgeführt wird, bekommt man auch keine Daten. Ebenso können Honeypots enttarnt werden: Es sind Programme im Internet zu finden, die (beschränkt) erkennen, ob ein Angriffsziel ein Honeypot ist oder sein könnte.

Wie bereits angedeutet, können Honeypots bei unsachgemässer Konfiguration auch ein zusätzliches Risiko beherbergen. Ein nicht zu unterschätzender Einwand vieler Kritiker ist auch der anfallende Nadelhaufen (im Gegensatz zur Nadel im Heuhaufen). Man bekommt viele Hinweise auf das Vorgehen eines Eindringlings, längst nicht alle aufgezeichneten Bewegungen des Angreifers sind aber von Nutzen oder machen Sinn.
Inzwischen kennt man die Aufgabengebiete im produktiven Umfeld sehr genau. Es entstehen auch immer neue, wie beispielsweise das kürzlich erschienene GHH (Google Hack Honeypot). GHH ist ein von Google entwickelter und auf Open-Source-Lizenz basierender Honeypot, der die in letzter Zeit mit negativen Schlagzeilen
ins Licht gerückten, zu illegalen Zwecken missbrauchten Google-Abfragen entdecken soll. Eine andere Neuentwicklung ist die sogenannte «bait’n’switch»-Honeypot-Technologie, bei der ganze Produktionsnetze gespiegelt werden. Bei einem erkannten Angriff wird der Eindringling einfach auf die Kopie des Netzes gelenkt. In London und Washington wurden auch schon grossangelegte Versuche mit Wireless Honeypots gestartet.

Honeynetze als kommerzieller Service ist speziell bei grösseren Firmen ein Thema. Anstatt die Honeypots im firmeneigenen Netz anzusiedeln, wird jeder Verkehr von und zu einem Honeypot in eine Zentrale umgeleitet, wo sich speziell geschulte Profis dem Angreifer, der sich noch immer auf dem Computer der attackierten Firma glaubt, annehmen.
Genauso wie eine Firewall allein keine allzu grosse Sicherheit darstellt und daher mit anderen Sicherheitsressourcen kombiniert werden sollte, muss der Honeypot auch als solche Ergänzung eingestuft werden.

Mit Honeywall geschütztes Honeynet

Der Autor

Bruno Joho ist Dozent für IT-Sicherheit an der Hochschule für Technik+Architektur Luzern.