LaBrea

LaBrea

Als ein Honigtopf oder auch englisch Honeypot (früher auch Iron Box genannt) wird in der Computersicherheit ein Computerprogramm oder ein Server bezeichnet, das Netzwerkdienste eines Computers oder eines ganzen Rechnernetzes simuliert. Honeypots werden eingesetzt, um Informationen über Angriffsmuster und Angreiferverhalten zu erhalten. Erfolgt ein Zugriff auf einen derartigen virtuellen Dienst, werden alle damit verbundenen Aktionen protokolliert und gegebenenfalls ein Alarm ausgelöst.

Die Idee dahinter ist, in einem Netzwerk einen oder mehrere Honeypots zu installieren, die keine konventionellen Dienste bieten und daher niemals angesprochen werden. Ein Angreifer, der nicht zwischen echten Servern/Programmen und Honeypots unterscheiden kann und routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, wird früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen und dabei von dem Honeypot protokolliert werden. Da es ein ungenutztes System ist, ist jeder Zugriff darauf als ein Angriffsversuch zu werten.

Mehrere Honeypots können zu einem Honeynet zusammengeschlossen werden.

Inhaltsverzeichnis

Verschiedene Typen von Honeypots

nach Art der Implementierung

Ein physikalischer Honeypot ist ein realer Rechner im Netzwerk mit eigener Netzwerkadresse. Ein virtueller Honeypot ist ein logisch eigenständiges System, das durch einen anderen Rechner simuliert wird.

nach dem Grad der Interaktion

Man unterscheidet generell zwischen low interaction und high interaction Honeypots, ebenfalls in die Kategorie der Honeypots fallen sogenannte Tarpits.

Low-Interaction Honeypots

Ein Low-Interaction Honeypot ist meist ein Programm, das einen oder mehrere Dienste emuliert. Der Informationsgewinn durch ein Low-Interaction-Honeypot ist daher beschränkt. Er wird insbesondere zur Gewinnung statistischer Daten eingesetzt. Ein versierter Angreifer hat wenig Probleme, einen Low-Interaction-Honeypot zu erkennen. Um automatisierte Angriffe beispielsweise von Computerwürmern zu protokollieren, reicht ein Low-Interaction Honeypot allerdings vollständig aus. In diesem Sinn kann er als ein Intrusion Detection System genutzt werden.

Einige Beispiele für Low-Interaction Honeypots sind:

honeyd

honeyd, unter der GPL veröffentlicht, ist in der Lage, gesamte Netzwerkstrukturen zu emulieren; eine Instanz der Software kann viele verschiedene virtuelle Computer in einem Netzwerk simulieren, die alle unterschiedliche Dienste anbieten.

mwcollect

mwcollect ist ein freier Honeypot unter der GPL für posix-kompatible Betriebssysteme mit der Zielsetzung, automatisierte Attacken von Würmern nicht nur zu erkennen und protokollieren, sondern die Verbreitungsmechanismen der Würmer zu nutzen, um eine Kopie des Wurms zu erhalten. Dazu werden als verwundbar bekannte Dienste nur soweit wie benötigt emuliert, ausgehend von verfügbaren Angriffsmustern.

Nepenthes

Nepenthes, ebenfalls unter der GPL veröffentlicht, ist wie mwcollect ein Honeypot für posix-kompatible Betriebssysteme mit dem Fokus, Würmer zu sammeln.

honeytrap

honeytrap ist ein Open-Source-Honeypot für die Sammlung von Informationen zu bekannten und neuen netzbasierten Angriffen. Um auf unbekannte Attacken reagieren zu können, untersucht honeytrap den Netzwerk-Stream auf eingehende Verbindungsanfragen und startet dynamisch Listener für die entsprechenden Ports, um die Verbindungsanfragen verarbeiten zu können. Im „Mirror Mode“ können Attacken zum Angreifer zurückgespiegelt werden. Über eine Plugin-Schnittstelle ist honeytrap um zusätzliche Funktionen erweiterbar.

MultiPot

multipot ist ein Honeypot für Windows; er emuliert wie Nepenthes und mwcollect Schwachstellen unter Windows, um Würmer zu sammeln.

High-Interaction Honeypots

High-Interaction Honeypots sind zumeist vollständige Server, die Dienste anbieten. Sie sind schwieriger einzurichten und zu verwalten als Low-Interaction Honeypots. Der Fokus bei einem High-Interaction-Honeypot liegt nicht auf automatisierten Angriffen, sondern darauf, manuell ausgeführte Angriffe zu beobachten und protokollieren, um so neue Methoden der Angreifer rechtzeitig erkennen zu können. Zu diesem Zweck ist es sinnvoll, dass es sich bei einem High-Interaction-Honeypot um ein high value target handelt, einen Server, dem von potentiellen Angreifern ein hoher Wert nachgesagt wird. Zur Überwachung eines High-Interaction-Honeypots wird eine spezielle Software eingesetzt, meist das frei verfügbare Sebek, die vom Kernelspace aus alle Programme des Userspace überwacht und die anfallenden Daten vom Kernelspace aus an einen loggenden Server sendet. Ziel von Sebek ist es, unerkannt zu bleiben; ein Angreifer soll nicht wissen und auch nicht ahnen können, dass er überwacht wird.

Tarpits

Hauptartikel: Teergrube (Informationstechnik)

Tarpits (engl. für „Teergrube“) dienen beispielsweise dazu, die Verbreitungsgeschwindigkeit von Würmern zu verringern. Das Verfahren ist auch unter dem Namen LaBrea bekannt. Teergruben täuschen große Netzwerke vor und verlangsamen oder behindern so beispielsweise die Verbreitung von Internetwürmern und/oder die Durchführung von Netzwerkscans. Ebenso gibt es aber auch Teergruben, die offene Proxyserver emulieren und – falls jemand versucht, Spam über diesen Dienst zu verschicken – den Sender dadurch ausbremsen, dass sie die Daten nur sehr langsam übertragen.

Honeypots in Bezug auf Urheberrechtsverletzung

Auch in Bezug auf die Verfolgung von Urheberrechtsverletzungen tauchte manchmal der Begriff Honeypot auf. In diesem Fall werden urheberrechtlich geschützte Werke von Organisationen wie der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) zum Download angeboten, um unvorsichtige Filesharer zu fassen.

Honeypots in der Verfolgung von Straftaten

Strafverfolgungsbehörden, insbesondere das US-amerikanische FBI, fahnden auch mit Hilfe von Honeypots nach Konsumenten von Kinderpornografie. Dazu wurden Server eingerichtet, welche vorgaben Kinderpornographie zum Download anzubieten. Tatsächlich wurden strafrechtlich irrelevante Daten angeboten, die Zugriffe protokolliert und anschließend Strafverfahren gegen die zugreifenden Personen eingeleitet. Im Zuge dieser Strafverfahren wurden über die Internetdienstanbieter die Identität der Personen ermittelt und Durchsuchungsbeschlüsse eingeholt. Dieses Verfahren wurde nach dem Einspruch eines Betroffenen durch ein Gericht für zulässig erklärt.[1]

Ebenso wurden seit 2004 Webseiten des Bundeskriminalamts als „honeypot“ verwendet um Mitglieder der militanten gruppe zu identifizieren. Dabei wurden nach einem getarnten Lockbeitrag in der Publikation Interim IP-Adressen der Besucher gespeichert, um diese Adressen bestimmten Kreisen zuzuordnen. Allerdings war das Unternehmen unter anderem aufgrund der fehlenden Vorratsdatenspeicherung erfolglos. [2] 2009 untersagte das Bundesinnenministerium die Überwachung von Verbindungsdaten, da sie dieses für einen schwerwiegenden „Eingriff in das Grundrecht auf informationelle Selbstbestimmung“ hält. [3]

Einzelnachweise

  1. Heise online
  2. Heise online: BKA-Honeypot www.bka.de vom 27. März 2009
  3. Heise online: Innenministerium stoppt Überwachung der BKA-Seite vom 21. März 2009

Literatur

Klassische Fallbeschreibungen:

  • Cliff Stoll, The Cuckoo's Egg, Doubleday, New York, 1989

auf deutsch "Kuckucksei", erschienen im Fischer-Verlag

  • W.R.Cheswick, S.M.Bellovin, An Evening with Berferd in Firewalls and Internet Security, Addison-Wesley, 1994

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Lábrea — is a municipality located in the Brazilian state of Amazonas. Its population was 26,475 (2005) and its area is 68,229 km² [IBGE [http://www.ibge.gov.br/cidadesat/default.php] ] . The town is the seat of the Territorial Prelature of… …   Wikipedia

  • Labrea — Labrea, Hauptort der Comarca Purus im brasil. Staat Amazonas, am Rio Purus, Dampferstation, 1871 gegründet, besteht meist aus Palmstrohhütten; Kirche, Schule, Gefängnis und Geschäftshäuser sind aus soliderm Material. L. ist Sitz der Behörden und… …   Meyers Großes Konversations-Lexikon

  • Labrea — Admin ASC 2 Code Orig. name Lábrea Country and Admin Code BR.04.1302405 BR …   World countries Adminstrative division ASC I-II

  • Lábrea fever — Lábrea fever, also known as Lábrea s black fever and Lábrea hepatitis, is a lethal tropical viral infection discovered in the 1950s in the city of Lábrea, in the Brazilian Amazon basin, where it occurs mostly in the area south of the Amazon River …   Wikipedia

  • Labrea hepatitis — a fulminant type of viral hepatitis seen in the western Amazon basin in Brazil, thought to be related to hepatitis B or D …   Medical dictionary

  • Labrea hepatitis — La·bre·a hepatitis (lahґbre ə) [Lбbrea, Amazonas, Brazil, where it was first observed] see under hepatitis …   Medical dictionary

  • Kommissar LaBréa — Seriendaten Originaltitel Kommissar LaBréa Produktionsland Deutschland …   Deutsch Wikipedia

  • Territorialprälatur Lábrea — Basisdaten Staat Brasilien Metropolitanbistum Erzbistum Porto Velho …   Deutsch Wikipedia

  • Territorial Prelature of Lábrea — Infobox Diocese| jurisdiction=Territorial Prelature name= Lábrea latin= Territorialis Praelatura Labreanus country= Brazil| metropolitan=Porto Velho rite=Latin Rite cathedral = Catedral Prelatícia Nossa Senhora de Nazaré cocathedral = area=… …   Wikipedia

  • Tarpit (networking) — A tarpit (also known as Teergrube, the German word for tarpit) is a service on a computer system (usually a server) that delays incoming connections for as long as possible. The technique was developed as a defense against a computer worm, and… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”