Anzeige
Technik

Elektronischer Honigtopf als Köder

Wie funktionieren Honeypots?

Da Angreifer im Internet unerkannt bleiben wollen, muss man ihnen eine Falle stellen. Die Bochumer IT-Forscher nutzen dafür sogenannte Honeypots – Englisch für Honigtöpfe. Im Netz allerdings sollen diese elektronischen Köder keine Süßes liebenden Tiere anlocken, sondern Angreifer, die einen Rechner unterwandern wollen. Sie werden ausgelegt, um deren Verhalten leichter studieren zu können.

Honigtöpfe im übertragenen Sinne entwickeln Thorsten Holz und seine Kollegen - Netzwerkkomponentne dienen ihnen als elektronische Köder. © RUB

Leicht zu kapernde Netzwerk-Komponenten als Köder

Als Köder für diese Strategie dienen Netzwerkressourcen, beispielsweise Computer, Router oder Switches, deren einziger Zweck darin besteht, angegriffen und kompromittiert zu werden. Diese Honeypots haben keine spezielle Aufgabe im Netzwerk, sind aber für Uneingeweihte nicht von regulären Komponenten zu unterscheiden. Die Köder sind – für Angreifer nicht sichtbar – mit spezieller Software ausgestattet, welche die anschließende Analyse eines Angriffs deutlich erleichtert. Netzwerke von Honeypots, so genannte Honeynets, bieten dabei verschiedene Arten von elektronischen Ködern auf einmal an und können so verschiedene Arten von Angreifern anlocken.

Im Prinzip bekämpfen Honeypot-Strategien die Angreifer mit ihren eigenen Methoden. Die Fähigkeiten und die Werkzeuge, die ein Verteidiger anwendet, unterscheiden sich dabei kaum von denen der Angreifer. So entstand beispielsweise die Honeynet-Software Sebek aus einem verbreiteten Hackerwerkzeug. Außerdem versucht der Betreiber eines Honeypot genau das, was ein erfahrener Angreifer ebenfalls tun würde, nämlich seine Existenz im System mit allen Mitteln zu verbergen.

Wanze im System

Die gezielten, aber für Angreifer verborgenen Veränderungen im Betriebssystem des Honeypots erlauben es, alle Aktivitäten eines Angreifers direkt mitzuschneiden. Man erhält dadurch konkrete Informationen zum Ablauf eines Angriffs. Durch die Vielfalt der so gewonnenen Daten lassen die Angriffswege, Motive und Methoden von Angreifern schneller und genauer erforschen. Auch kann man die benutzten Angriffswerkzeuge, die normalerweise nach erfolgter Kompromittierung gelöscht werden, sofort sicherstellen.

Vermeintlich leicht zu kapernde Netzwerk-Komponenten dienen als Köder © Holz/RUB

Die von den Honeypots gesammelten Informationen machen es möglich, Abwehrmaßnahmen in unterschiedlichen Umgebungen effizienter und effektiver zu gestalten. Effizienter werden solche Maßnahmen beispielsweise dadurch, dass man sich auf relevante Angriffe konzentrieren kann, also nur die Angriffe untersucht, die auch eine konkrete Bedrohung für die eigenen Rechner in einem Netzwerk darstellen. Effektiver werden Abwehrmaßnahmen, indem mit Hilfe der Honeypots neue Schwachstellen und Verwundbarkeiten entdeckt und schnell analysiert werden können.

Anzeige

Allerdings herrscht auch in der IT-Sicherheit ein ewiger Wettlauf: Die Angreifer können die Funktionsweise von Honeypots studieren und entsprechend bessere Angriffsmethoden entwickeln. Dies erfordert dann weitere Innovationen auf der Verteidiger-Seite. Letztlich führt dies zu einem kontinuierlichen Entwicklungsprozess, bei dem beide Seiten immer wieder neue Methoden entwickeln müssen.

Wie aber wird ein solcher Honeypot in der Praxis eingesetzt?

  1. zurück
  2. |
  3. 1
  4. |
  5. 2
  6. |
  7. 3
  8. |
  9. 4
  10. |
  11. 5
  12. |
  13. 6
  14. |
  15. weiter

Thorsten Holz / RUBIN – Wissenschaftsmagazin der Ruhr-Universität Bochum
Stand: 16.11.2012

Teilen:
Anzeige

In den Schlagzeilen

Inhalt des Dossiers

Hacker im Honigtopf
Elektronische Köder locken Internet-Angreifer in die Falle

Gekaperte Rechner
Von Bots, Botnetzen und DdoS-Angriffen

Elektronischer Honigtopf als Köder
Wie funktionieren Honeypots?

Nur scheinbar verwundbar
System beobachtet und analysiert Angreifer in Echtzeit

Der Gegenangriff
Spione im gegnerischen Netz

Kontrolle über 120.000 Rechner
Forscher knacken Spam-Botnetz

Diaschauen zum Thema

News zum Thema

Spam-Flut muss nicht sein
Fraunhofer-Studie untersucht Spam-Aufkommen bei kostenlosen E-Mail-Diensten

Weltweit größter Schlag gegen Spam-Netzwerk
Konzertierte Aktion legt „Waledac- Botnetz" lahm

Dossiers zum Thema