Die Überlebenszeit für einen ungeschützten Server ist lächerlich gering
Honig für die Hacker

IT-Profis bauen in ihrer Freizeit Fallen für Hacker - und wollen so auch Unternehmen helfen.

DÜSSELDORF. "Zu jedem Zeitpunkt der Geschichte mussten sich Organisationen darauf verlassen, Informationen über ihre Feinde zu sammeln" - Lance Spitzner spricht immer noch wie ein Soldat. Heute verdient der Sicherheitsexperte als Security Architect von Sun Microsystems in Chicago sein Geld. Doch einige Jahre lang fuhr Spitzner für die US-Army Panzer und nahm auch am Golfkrieg teil. Heute kämpft er im Cyberspace gegen die Bösen.

Dazu rief er Honeynet ins Leben: ein Projekt, an dem rund 30 IT-Experten aus drei Kontinenten arbeiten, um mehr über ihre virtuellen Feinde zu lernen - die Hacker.

Fehlende Auswertung erlaubt es den Hackern, alte Tricks immer wieder anzuwenden

Die Frage, wer wie, warum, wann und mit welcher Methode ein System angreift, bleibt häufig unbeantwortet, weil kaum ein ausspioniertes Unternehmen bereit ist, seine Erfahrungen zu publizieren. Einen Hack zuzugeben, ist schlecht für das Firmen- Image und zieht peinliche Nachfragen von Kunden und Geschäftspartnern nach sich. Die fehlende unternehmensübergreifende Auswertung von Sicherheitslücken erlaubt es den Hackern, alte Tricks immer wieder anzuwenden. Das soll sich durch die virtuellen Fallen ändern, die Spitzner zusammen mit Fachleuten von Firmen wie Sun und Cisco ausgelegt hat.

Seinen Namen verdankt das Honeynet einer alten Trapper-List: Mit Honig lockt man Bienen an. Der virtuelle Honigtopf besteht aus einer Reihe von Computern in Spitzners Gästeschlafzimmer. Solaris-, Linux- oder Windows-NT-Software wird in Verbindung mit Hardware wie Cisco Routern oder Switches von Alteon auf den so genannten Honeypots in immer neuen Konfigurationen zusammen gestellt.

Das Honeynet-Projekt geht damit einen Schritt weiter als andere Forschungsprojekte, die Hacker aus Beobachtungsgründen täuschen und dabei Software wie "Mantrap" oder "Deception Toolkit" einsetzen.

Erstere ist eine Software, mit der sich bestimmte Bereiche eines Systems abteilen lassen. Hacker können sich dort austoben und merken nicht, dass sie das Hauptsystem gar nicht aufgebrochen haben. Letztere ist eine Sammlung von Programmen, mit denen das Sicherheitsunternehmen Fred Cohen & Associates Schwachstellen in IT-Systemen simuliert.

Getrickst wird bei der Außenwirkung des Honignetzes: Die Projektbetreiber starten immer neue Netz-Seiten und täuschen vor, dass sich dahinter E-Commerce-Seiten, Krankenhaus- oder Universitäts-Computer befinden. "Schließlich geschieht das alles im Cyberspace, wo nicht nur die Hacker, sondern auch wir uns tarnen können", sagt Spitzner. Die Betreiber täuschen Postverkehr in E-Mail-Konten auf den Rechnern vor und füllen Verzeichnisse mit Informationshäppchen, die aussehen wie Unternehmensdaten. Wer die Rechner angreift, wird vom ersten bis zum letzten Schritt mit spezieller Software, dem Eindringlingsalarm Snort, beobachtet.

Die Überlebenszeit für einen ungeschützten Server ist lächerlich gering

Der Sicherheitssoftware-Hersteller Sourcefire hat Snort entwickelt, auch Geschäftsführer Martin Roesch arbeitet am Honeynet mit: "Wir haben dadurch ein hervorragendes Umfeld, um Software zu testen. Die Forschungsergebnisse des Projekts zeigen unseren Kunden in harten Zahlen, wie wichtig unsere Produkte sind."

Die Daten, die Snort sammelt, erlauben es, Hacker-Aktivitäten akribisch auszuwerten. Das ist der Job von Brad Powell. Der Network Security Architect von Sun Microsystems ist Chefermittler des Projekts: Er untersucht die endlosen digitalen Mitschnitte der Hacker-Attacken. Wie alle Beteiligten arbeitet er freiwillig mit und opfert Freizeit sowie private Ressourcen. Sun, Cisco und Co. stecken bislang keinen Cent in das Projekt. Sonderurlaub wegen Honeynet? Fehlanzeige. Die Mitglieder des Honig-Netzes treffen sich bei Sicherheitskonferenzen, kommunizieren über verschlüsselte E-Mails oder diskutieren auf verschlüsselten Chat-Seiten.

Die wenigsten Hacker sind politisch motiviert

Ihre wichtigsten Erkenntnisse: Die Überlebenszeit für einen ungeschützten Server ist lächerlich gering. Die durchschnittliche Lebenserwartung einer Standard-Installation eines Red-Hat-Linux-6.2-Servers liegt nach den Erkenntnissen der Honigfalle bei etwa drei Tagen. Danach haben Hacker das System bemerkt, gescannt und sind erfolgreich eingebrochen. Das Honeynet verzeichnet pro Tag im Schnitt 3,6 Angriffe. Im extremsten Fall wurde ein Computer bereits nach 15 Minuten am Netz erfolgreich gehackt.

Automatisierte Angriffe mit Software-Bausätzen stellen das Gros aller Attacken auf das Honeynet dar. Brad Powell hat bereits von etlichen Hack-Hilfen heimlich Kopien angefertigt, um ihre Funktionsweise und die Methoden ihrer Anwender zu veröffentlichen. Und obwohl fast alle Hacker ihre Angriffswege mit Verschlüsselungssoftware tarnen, geben sie unfreiwillig eine Menge über ihre Qualifikation und Motive preis.

Die Angreifer sind meist keine qualifizierten Programmierer. Sie verstehen wenig von dem was sie tun und nutzen die fertigen Bausätze aus dem Internet. Und: Die wenigsten Hacker sind politisch motiviert. Einigen geht es um Angeberei, andere sind schlicht gelangweilt.

"Unser Ziel ist nicht die Strafverfolgung, sondern etwas über die Bösen zu lernen", sagt Spitzner. "Und wenn wir Angreifer identifizieren, die eine Gefahr für die allgemeine Infrastruktur darstellen, geben wir die Informationen an das FBI weiter." Die Erkenntnisse der Honeynet-Projekts bestätigen, was Sicherheitsexperten vom Computer Security Institute (CSI) in San Francisco schon lange befürchten: Vielen Hackern ist egal, wen sie angreifen. Sie brauchen Rechnerleistung und Festplattenplatz, um Hackerprogramme zu verbreiten oder Kreditkartennummern zu verkaufen.

Den Wert ihrer Forschung sehen die Honeynet-Mitarbeiter vor allem in den Einblicken in die Hackerseele. Mit Hilfe dieser Informationen lassen sich Schutzsysteme genauer auf künftige Attacken einstellen.

Oder sie tun es Honeynet gleich: Als strategisch platzierte Köder in der zweiten Verteidigungslinie hinter den Firewalls können Schein-Rechner Firmennetzwerke schützen, indem sie Hacker beschäftigen und von sensiblen Bereichen ablenken.

Und so könnte sich die investierte Freizeit doch noch auszahlen: Denn Honeynet sucht Unternehmen, die helfen, die von ihnen entworfenen Schein-Computer marktreif zu machen - und so für Einnahmen zu sorgen.

Internet-Adressen:
Die Homepage des Honeynet-Projekts und der Liste der 30 Akteure.
Die Konkurrenz zu Honeynet, betrieben durch das Sicherheitsunternehmen Fred Cohen & Associates.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%