Neuer Test stellt Sinn von Honeypots in Frage

EnterpriseSicherheit

Honeypots sollen Hacks oder Spam ins Leere laufen lassen. Dafür werden sie getarnt. Ein Test führt dies offenbar ad absurdum.

Wie der Computerfreak und Forscher Amir Alsbih von der Universität Freiburg  herausgefunden haben will, gibt es einen einfachen Test, der Honeypots sozusagen enttarnt und dadurch ihren Sinn grundsätzlich hinterfragt.

Alsbihs Blog zufolge macht sich ein Ping-Test die Wirkungsweise von Honeypots zunutze. Hier heißt es: “Da ein Angreifer, der nicht zwischen echten Servern/Diensten und Honeypots unterscheiden kann, routinemäßig alle Netzkomponenten auf Schwachstellen untersucht, wird dieser früher oder später die von einem Honeypot angebotenen Dienste in Anspruch nehmen; dabei werden sämtliche Aktivitäten von dem Honeypot protokolliert. Hackt er also diesen Honeypot können all seine Aktivitäten ausgewertet werden und daraus Schlussfolgerungen und Analysen erstellt werden.” Honeypots werden normalerweise so im Netz platziert, dass sie wie echte Server wirken und Angreifer anlocken wie Wespen in einen Honigtopf.

Desweiteren schreibt Alsbih, dass ein Angreifer aber ganz einfach die Schutzwand ‘Honeywall’ nutzen kann, die vermeiden soll, dass ein Honeypot trotz aller Vorkehrungen zum Spammen verwendet wird. “Genau hier setzt das Verfahren an, man schickt einfach einen Ping mit einem Datenpaket, das einen Shellcode enthält”, beschreibt er. Der Angreifer müsse dann nur noch das ausgehende ICMP-Paket mit der Rückgabe des Servers vergleichen. Stimme beides nicht überein oder fehlte etwas, so handle es sich bei dem vermeintlich angegriffenen Server um einen Honeypot. Alsbih hat für den einfachen und schnellen Test einen Honeypot mit Honeywall des Max-Planck-Instituts verwendet. Im Sinne der Anwender, die auf die Sicherheit solcher Techniken vertrauen, rät er dazu, das Design von Honeypots zu überdenken.