Login
Login-Name Passwort


 
Newsletter
Werbung

Mi, 29. März 2006, 16:12

Honeypots lassen sich aufspüren

Wie Amir Alsbih herausgefunden hat, lassen sich manche Honeypot-Systeme mit einem einfachen Test von realen Systemen unterscheiden, womit ihre Nützlichkeit grundsätzlich in Frage gestellt wird.

Honeypots werden verwendet, um die Angriffe und Vorgehensweisen von Hackern zu studieren. Die Grundidee ist, in einem Netzwerk einen oder mehrere Honeypots zu installieren, da ein Angreifer, der nicht zwischen echten Servern/Programmen und Honeypots unterscheiden kann und routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen wird und dabei alles von dem Honeypot-System mitprotokolliert wird. Ein Cracker, der in einen Honeypot einbricht, sollte keinen weiteren Schaden anrichten können, durch die Auswertung seiner Aktionen erhalten Sicherheitsforscher jedoch wertvolle Hinweise.

Amir Alsbih ist es gelungen, eine einfache Methode zu entwickeln, mit der man High-end Honeypots aufspüren kann. Dieses Verfahren ist ebenso einfach wie effektiv. Damit man einen gecrackten Honeypot nicht zum Einbruch in andere Rechner verwenden kann, wird er durch die Honeywall gesichert, die den Verkehr nach draußen (Netzwerk/Internet) überwacht und dabei Angriffe herausfiltert. Genau hier setzt das neue Verfahren an: Man schickt einfach einen Ping, an dem ein Shellcode hängt (Hping2) an den Server und vergleicht dies mit der Antwort des Servers. Hat der Server den Ping mit einem Datenpaket ohne Shellcode beantwortet oder es kommt gar keine Antwort, dann muss es sich um einen Honeypot samt Honeywall handeln.

Wenn sich aber erkennen lässt, ob ein System authentisch oder ein Honeypot ist, dann können Internet-Kriminelle in Zukunft solchen Code in ihre Programme einbauen und es vermeiden, Honeypots anzugreifen. Damit wäre es erheblich schwieriger, das Verhalten der Cracker zu analysieren. Die Konsequenz lautet für Amir Alsbih, dass das Design einer Honeywall überdacht werden muss.

Das Vorgehen wurde mit Honeywall RO-1.0.hw-189 getestet. Einen ausführlichen Bericht darüber findet man auf der Homepage des Autors (als PDF).

Werbung
Kommentare (Insgesamt: 10 || Alle anzeigen || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung