Honeypot

Als Honigtopf oder auch englisch Honeypot wird eine Einrichtung bezeichnet, die einen Angreifer oder Feind vom eigentlichen Ziel ablenken soll oder die Personen in einen Bereich hineinziehen soll, der sie sonst nicht interessiert hätte. Der Ursprung stammt aus der Beschäftigung mit Bären, die man mit einem Honigtopf sowohl von einem Angriff auf die eigene Person oder das eigene Lebensmittellager ablenken, als auch in eine Falle locken kann.

Im übertragenen Sinne werden sehr verschiedene Dinge als „Honeypot“ bezeichnet.

Computernetzwerke und -sicherheit

In der Computersicherheit wird ein Computerprogramm oder ein Server als Honeypot (oder früher auch Iron Box) bezeichnet, das Netzwerkdienste eines Computers, eines ganzen Rechnernetzes oder das Verhalten eines Anwenders simuliert. Honeypots werden eingesetzt, um Informationen über Angriffsmuster und Angreiferverhalten zu erhalten. Erfolgt ein Zugriff auf einen derartigen virtuellen Dienst oder Nutzer, werden alle damit verbundenen Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst. Das wertvolle reale Netzwerk bleibt von Angriffsversuchen möglichst verschont, da es besser gesichert ist als der Honeypot.

Die Idee hinter Honeypot-Diensten ist, in einem Netzwerk einen oder mehrere Honeypots zu installieren, die keine vom Anwender selbst oder seinen Kommunikationspartnern benötigten Dienste bieten und daher im Normalbetrieb niemals angesprochen werden. Ein Angreifer, der nicht zwischen echten Servern/Programmen und Honeypots unterscheiden kann und routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, wird früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen und dabei von dem Honeypot protokolliert werden. Da es ein ungenutztes System ist, ist jeder Zugriff darauf als ein Angriffsversuch zu werten.

Honeypots, die Anwender simulieren (honeyclients), nutzen normale Webbrowser und besuchen Websites, um Angriffe auf den Browser oder Browser-Plug-ins festzustellen.

Mehrere Honeypots können zu einem Honeynet zusammengeschlossen werden.

Kriterien zur Unterscheidung

Art der Implementierung

Ein physischer Honeypot ist ein realer Rechner im Netzwerk mit eigener Netzwerkadresse. Ein virtueller Honeypot ist ein logisch eigenständiges System, das durch einen anderen Rechner simuliert wird. Beim Client Honeypot wird ein realer Server von einer Honeypot-Software angesprochen. Beim Server Honeypot werden reale Clients von einer Honeypot-Software „bedient“.

Grad der Interaktion

Man unterscheidet unabhängig von der Art der Implementierung jeweils zwischen low interaction und high interaction Honeypots.

Typen

Low-Interaction Server Honeypots

Ein Low-Interaction server Honeypot ist meist ein Programm, das einen oder mehrere Dienste emuliert. Der Informationsgewinn durch ein Low-Interaction-Honeypot ist daher beschränkt. Er wird insbesondere zur Gewinnung statistischer Daten eingesetzt. Ein versierter Angreifer hat wenig Probleme, einen Low-Interaction-Honeypot zu erkennen. Um automatisierte Angriffe beispielsweise von Computerwürmern zu protokollieren, reicht ein Low-Interaction Honeypot allerdings vollständig aus. In diesem Sinn kann er als ein Intrusion Detection System genutzt werden.

Einige Beispiele für Low-Interaction Honeypots sind:

• honeyd, unter der GPL veröffentlicht, ist in der Lage, gesamte Netzwerkstrukturen zu emulieren; eine Instanz der Software kann viele verschiedene virtuelle Computer in einem Netzwerk simulieren, die alle unterschiedliche Dienste anbieten.

• mwcollectd ist ein freier Honeypot unter der Lesser GPL für POSIX-kompatible Betriebssysteme mit der Zielsetzung, automatisierte Attacken von Würmern nicht nur zu erkennen und protokollieren, sondern die Verbreitungsmechanismen der Würmer zu nutzen, um eine Kopie des Wurms zu erhalten. Dazu werden als verwundbar bekannte Dienste nur soweit wie benötigt emuliert, ausgehend von verfügbaren Angriffsmustern.

• Nepenthes, ebenfalls unter der GPL veröffentlicht, ist wie mwcollect ein Honeypot für posix-kompatible Betriebssysteme mit dem Fokus, Würmer zu sammeln.

• Amun ist ein in Python geschriebener Honeypot, der sowohl unter Linux als auch auf anderen Plattformen lauffähig ist. Amun ist unter GPL veröffentlicht. Durch die Simulation von Schwachstellen werden sich automatisiert verbreitende Schadprogramme geködert und eingefangen.

• honeytrap ist ein Open-Source-Honeypot für die Sammlung von Informationen zu bekannten und neuen netzbasierten Angriffen. Um auf unbekannte Attacken reagieren zu können, untersucht honeytrap den Netzwerk-Stream auf eingehende Verbindungsanfragen und startet dynamisch Listener für die entsprechenden Ports, um die Verbindungsanfragen verarbeiten zu können. Im „Mirror Mode“ können Attacken zum Angreifer zurückgespiegelt werden. Über eine Plugin-Schnittstelle ist honeytrap um zusätzliche Funktionen erweiterbar.

• multipot ist ein Honeypot für Windows; er emuliert wie Nepenthes und mwcollect Schwachstellen unter Windows, um Würmer zu sammeln.

Low-Interaction Client Honeypots

Low-Interaction Client Honeypots sind eigenständige Programme, die ohne die Verwendung von normalen WebBrowsern Webseiten besuchen und versuchen Angriffe auf den emulierten Browser zu erkennen.

phoneyc ist ein in Python geschriebener Client Honeypot, der Websites besucht um Angriffe auf bekannte Lücken in WebBrowsern und Plugins zu finden. phoneyc nutzt, die ebenfalls von Firefox verwendete, Javascript Engine SpiderMonkey um Angriffe zu erkennen.

High-Interaction Server Honeypots

High-Interaction Honeypots sind zumeist vollständige Server, die Dienste anbieten. Sie sind schwieriger einzurichten und zu verwalten als Low-Interaction Honeypots. Der Fokus bei einem High-Interaction-Honeypot liegt nicht auf automatisierten Angriffen, sondern darauf, manuell ausgeführte Angriffe zu beobachten und protokollieren, um so neue Methoden der Angreifer rechtzeitig erkennen zu können. Zu diesem Zweck ist es sinnvoll, dass es sich bei einem High-Interaction-Honeypot um ein high value target handelt, einen Server, dem von potentiellen Angreifern ein hoher Wert nachgesagt wird.

Sebek

Zur Überwachung eines High-Interaction-Honeypots wird eine spezielle Software eingesetzt, meist das frei verfügbare Sebek, die vom Kernelspace aus alle Programme des Userspace überwacht und die anfallenden Daten vom Kernelspace aus an einen loggenden Server sendet. Ziel von Sebek ist es, unerkannt zu bleiben; ein Angreifer soll nicht wissen und auch nicht ahnen können, dass er überwacht wird.

Argos

Der auf Qemu basierende Argos Honeypot kommt ohne eine spezielle Überwachungssoftware aus. Um Angriffe über das Netzwerk zu erkennen, werden Speicherinhalte, die Daten enthalten, die über das Netzwerk empfangen wurden, von dem modifiziertem Qemu als verseucht (tainted) markiert. Speicherinhalte die durch verseuchte Speicherinhalte erzeugt wurden, gelten ebenfalls als verseucht. Sobald verseuchter Speicherinhalt von der CPU ausgeführt werden soll, schreibt Argos den Datenstrom und Speicherinhalt zu weiteren forensischen Analyse nieder, und beendet sich.
Durch den für die Emulation und Überprüfung des Speichers notwendigen Mehraufwand erreicht ein Argos Honeypot nur ein Bruchteil der Geschwindigkeit eines nativen Systems auf gleicher Hardware.

High-Interaction Client Honeypots

High-Interaction Client Honeypots laufen auf regulären Betriebssystemen und nutzen reguläre Webbrowser um Angriffe auf Browser zu erkennen.

Capture-HPC nutzt eine Client-Server Architektur, bei der der Server die zu besuchenden Websites vorhält, die von den Clients besucht werden, und an den die Ergebnisse zurückgemeldet werden.

Honeypot-ähnliche Ansätze

Tarpits

Tarpits (engl. für „Teergrube“) dienen beispielsweise dazu, die Verbreitungsgeschwindigkeit von Würmern zu verringern. Das Verfahren ist auch unter dem Namen LaBrea bekannt. Teergruben täuschen große Netzwerke vor und verlangsamen oder behindern so beispielsweise die Verbreitung von Internetwürmern und/oder die Durchführung von Netzwerkscans. Ebenso gibt es aber auch Teergruben, die offene Proxyserver emulieren und – falls jemand versucht, Spam über diesen Dienst zu verschicken – den Sender dadurch ausbremsen, dass sie die Daten nur sehr langsam übertragen.

Honeylinks

Angelehnt an das Honeypot-Konzept existieren weitere Ansätze zum Entlarven von potenziellen Angreifern auf Web-Anwendungen. Spezielle Web Application Firewalls injizieren hierzu in HTML-Kommentaren versteckte Links auf nicht existierende Seiten bzw. potenziell interessante Teilbereiche einer Web-Anwendung. Diese sogenannten Honeylinks werden von den Nutzern nicht wahrgenommen, von potenziellen Angreifern im Rahmen einer Code-Analyse des HTML-Codes jedoch schon. Wenn nun ein solcher Honeylink aufgerufen wird, kann die WAF (Web Application Firewall) dies als Angriffsversuch werten und weitere Schutzmaßnahmen (z. B. ein Beenden der Web-Session) ergreifen.

Datenbank-Honeypots

Mit Hilfe sogenannter SQL Injection Attacken wird versucht direkt auf die Datenbanken einer Webseite zu gelangen. Da eine normale Firewall diese Zugriffe nicht erkennt (der Angriff kommt über die Webseite und somit von einem bekannten System), verwenden Unternehmen sogenannte Datenbank-Firewalls. Diese können so konfiguriert werden, dass Angreifer glauben erfolgreich zu sein in Wirklichkeit aber arbeiten sie auf einer Honeypot-Datenbank.^[1]

Urheberrechtsverletzung

Auch in Bezug auf die Verfolgung von Urheberrechtsverletzungen taucht manchmal der Begriff Honeypot auf. In diesem Fall werden urheberrechtlich geschützte Werke von Organisationen wie der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) angeboten, um unvorsichtige Erwerber oder Filesharer zu fassen.

Verfolgung von Straftaten

Strafverfolgungsbehörden, insbesondere das US-amerikanische FBI, fahnden auch mit Hilfe von Honeypots z. B. nach Konsumenten von Kinderpornografie. Dazu werden Server eingerichtet, welche vorgeben Kinderpornographie zum Download anzubieten. Tatsächlich werden strafrechtlich irrelevante Daten angeboten, die Zugriffe protokolliert und anschließend Strafverfahren gegen die zugreifenden Personen eingeleitet. Im Zuge dieser Strafverfahren werden über die Internetdienstanbieter die Identität der Personen ermittelt und Durchsuchungsbeschlüsse eingeholt. Dieses Verfahren wurde nach dem Einspruch eines Betroffenen durch ein Gericht für zulässig erklärt.^[2] Auf mögliche Statistik-Verfälschungen durch diese Honeypot-Website-Strategien machte Bettina Winsemann 2010 aufmerksam.^[3]

Ebenso wurden seit 2004 Webseiten des deutschen Bundeskriminalamts als „honeypot“ verwendet, um Mitglieder der militanten gruppe zu identifizieren. Dabei wurden nach einem getarnten Lockbeitrag in der Publikation Interim IP-Adressen der Besucher gespeichert, um diese Adressen bestimmten Kreisen zuzuordnen. Allerdings war das Unternehmen unter anderem aufgrund der fehlenden Vorratsdatenspeicherung erfolglos.^[4] 2009 untersagte das Bundesinnenministerium die Überwachung von Verbindungsdaten, da es diese für einen schwerwiegenden „Eingriff in das Grundrecht auf informationelle Selbstbestimmung“ hält.^[5]

Einzelnachweise

1. ↑ Honigtopf - Architekturen unter Verwendung einer Datebank Firewall
2. ↑ Heise online - FBI lockt Surfer in die Falle
3. ↑ Telepolis vom 8. Mai 2010: Honigtöpfe als Statistikfälscher
4. ↑ Heise online: BKA-Honeypot www.bka.de vom 27. März 2009
5. ↑ Heise online: Innenministerium stoppt Überwachung der BKA-Seite vom 21. März 2009

Literatur

Klassische Fallbeschreibungen:

• Cliff Stoll, The Cuckoo's Egg, Doubleday, New York, 1989

auf deutsch „Kuckucksei“, erschienen im Fischer-Verlag

• W.R.Cheswick, S.M.Bellovin, An Evening with Berferd in Firewalls and Internet Security, Addison-Wesley, 1994

• Lance Spitzner: Honeypots – Tracking Hackers Addison-Wesley, 2003, ISBN 0-321-10895-7
• N.Provos, T.Holz, Virtual Honeypots, Pearson, 2008
• Honeynet Projekt: Den Feind Erkennen I / Know Your Enemy I
• Honeynet Projekt: Den Feind Erkennen II / Know Your Enemy II
• Honeynet Projekt: Den Feind Erkennen III / Know Your Enemy III
• Honeynet Projekt: GenII Honeynets

Weblinks

• http://wiki.hackerboard.de/index.php/Honeypot - deutschsprachige Wiki
• http://www.honeyd.org – Webseite des honeyd-Projekts
• http://www.honeypots.net/honeypots/products - Sammlung von Software-Links
• http://nepenthes.sourceforge.net – Webseite des Nepenthes-Projekts
• http://www.mwcollect.org – Webseite des mwcollect-Projekts
• http://honeytrap.sourceforge.net – Webseite des honeytrap-Projekts
• http://www.idefense.com/iia/labs-software.php?show=9 – Webseite von MultiPot bei idefense
• http://www.honeynet.org/tools/sebek/ – Website des Sebek-Projekts
• http://www.honeynet.org – Honeynet Project
• http://www.pixel-house.net/mwc_facharbeit.pdf – Artikel 'Sammeln von Malware in nicht nativer Umgebung' von Georg Wicherski (PDF-Datei; 731 kB)
• http://www.WebCastellum.org/solution.html – Eine Open Source WAF (Web Application Firewall), welche Honeylinks unterstützt
• http://code.mwcollect.org/projects/show/mwcollectd - mwcollectd Projektseite