Honeytokens – Verführerische Hackerjagd

Honeypots sind ein bekanntes Konzept für die Jagd auf Hacker. Ihre Weiterentwicklung, die Honeytokens, helfen auch Firmen-interne Datenspione aufzuspüren.

Artikel erschienen in Swiss IT Magazine 2004/06

     

Die Sicherheit von Daten kann in unserer hochvernetzten und computerisierten Gesellschaft jederzeit kompromittiert werden. Je komplexer die Netze werden, desto schwieriger wird es zu überwachen, wer auf welche Daten wann und warum Zugriff haben darf oder eben nicht. Angriffe, die ihren Ursprung ausserhalb des eigenen Netzes haben, lassen sich mit geeigneten Mitteln mitunter noch abfangen und abwehren. Attacken von innerhalb des Netzwerks sind dagegen ungleich schwieriger abzuwehren - oder auch nur zu entdecken. Und dabei geht es nicht nur um böswillige Angriffe, die eine Schädigung des Systems zum Ziel haben - gerade so gefährlich ist häufig schon der reine Zugriff auf Daten durch Individuen, die dazu aus beliebigen Gründen nicht autorisiert sind.



Neben Firewalls, Intrusion-Detection- (IDS) und Intrusion-Prevention-Systemen (IPS) haben in den vergangenen Jahren insbesondere auch sogenannte Honeypots eine grosse Beliebtheit erfahren. Honeypot werden Systeme genannt, die einen einzigen Zweck haben: von Hackern angegriffen zu werden. Sie dienen dazu, die Bewegungen, Arbeitsmethoden und Ziele der Angreifer am lebenden Objekt zu studieren. Dementsprechend werden Honeypots im Netz an prominenter Stelle angesiedelt, mit einigen unwichtigen Daten versehen und mit Firewalls und IDS so verbunden, dass die letztgenannten Sicherheitssysteme beim Nachvollziehen der Schritte des Hackers helfen können. Wichtig dabei ist insbesondere, dass der Honeypot keinen produktiven Nutzen hat - sein einziger (und wertvoller) Nutzen liegt eben darin, dass keiner darauf zugreifen darf. Sobald dennoch ein Zugriff auf diesen Rechner erfolgt, weiss man, dass man ein Problem hat - und kann entsprechend reagieren.




So praktisch Honeypots sind und so viel durch diese Systeme schon über Sicherheit und Hacker gelernt werden konnte - das Konzept ist auch mit einigen Problemen behaftet. So können Honeypots, je nachdem wie offen und damit nützlich sie sind, unter Umständen auch von Hackern gekapert und danach beispielsweise für DoS-Attacken verwendet werden. Auch helfen Honeypots kaum dabei, interne Angriffe zu entdecken. Und nicht zuletzt ist der Betrieb eines Honeypots - von der Installation über die Instandhaltung bis hin zur Analyse der gesammelten Daten - recht aufwendig und entsprechend teuer, zumal damit ein komplettes System ungenutzt herumsteht.


Die JFK-Krankengeschichte

Hier kommt das neue Konzept der Honeytokens ins Spiel. Der Begriff Honeytoken wurde erstmals 2003 von Augusto Paes de Barros in der Honeypots-Mailingliste verwendet und bezeichnet grundsätzlich ein nutzloses Datenstück, das als Köder verwendet wird. Wie Lance Spitzner, einer der "Erfinder" des Honeypot-Konzepts, schreibt, ist ein Honeytoken alles, was ein Honeypot auch ist, ausser dass es sich dabei explizit nicht um einen Computer handelt.



Ein Honeytoken kann demnach ein Excel-Sheet sein, ein Word-Dokument, aber auch eine Kreditkartennummer oder ein Datenbankeintrag, mitunter sogar ein gefälschtes Benutzerkonto mitsamt Passwort oder irgendein beliebiges anderes Stück digitaler Information - in welcher Form ein Honeytoken auftritt, spielt letztlich keine Rolle. Wichtig ist bloss, dass es ausschliesslich einem einzigen Zweck dient, nämlich dass es unautorisiert genutzt wird.




Mit anderen Worten: Niemand darf einen rechtmässigen Grund haben, ein Honeytoken zu nutzen oder auch nur darauf zuzugreifen. Daraus folgt im Umkehrschluss, dass jeder Zugriff, jede Nutzung und überhaupt jede Aktivität im Umfeld des Honeytoken mit sehr hoher Wahrscheinlichkeit als Angriff oder zumindest als Verletzung von Richtlinien verstanden werden muss.



Als geradezu klassisches Beispiel für den Einsatz von Honeytokens gilt die sogenannte "John F. Kennedy"-Krankengeschichte. In den USA ebenso wie hierzulande fallen Krankengeschichten in Spitälern und bei Ärzten unter strenge Datenschutzrichtlinien, nur autorisierte Ärzte, Krankenschwestern und sonstiges Pflegepersonal dürfen darauf Zugriff haben, während die Daten für technisches Personal, den Nachtwächter oder andere unberechtigte Personen nicht zugänglich zu bleiben haben. Dennoch ist nie ganz auszuschliessen, dass nicht auch unautorisierte Personen Interesse an den Informationen haben, denen auf normalem Wege kaum auf die Schliche gekommen werden kann.



Abhilfe schafft hier ein Honeytoken - indem nämlich in der Datenbank ein Datensatz mit falschen Informationen unter dem Namen John F. Kennedy erstellt wird. Ein realer Patient mit diesem Namen existiert nicht, der Datensatz hat keinen realen Wert und keinen echten Nutzen, und dennoch muss er auf einen Datenspion äussert attraktiv wirken. Sobald nun jemand auf diesen Datensatz zugreift, weiss man, dass irgendeiner im Netz unautorisiert Informationen ausspäht. Dazu braucht es weder ausgeklügelte Algorithmen oder komplexe Systeme - schon die simple Überwachung der Datenbank beweist die missbräuchliche Nutzung.


Mehrere Fliegen auf einen Streich

Ähnliche Szenarien lassen sich auch beispielsweise mit Kreditkartennummern entwickeln. Häufig wird der Diebstahl von Kreditkartennummern aus Datenbanken nicht oder erst sehr spät entdeckt - nämlich wenn ein Betroffener Irregularitäten auf seiner Abrechnung entdeckt und reklamiert. Bis dahin haben Hacker eine Menge Zeit, die gestohlenen Daten zu nutzen oder zu verkaufen. Wenn in der Datenbank nun aber auch Honeytokens - nicht existierende, aber real erscheinende Kreditkartennummern - integriert sind, können diese für die Erkennung von Angriffen oder Diebstahlsversuchen genutzt werden: Sobald eine Datenbank einen Zugriff auf diese Nummern registriert oder ein IDS-Sensor eine solche Honeytoken-Nummer im Netzverkehr erkennt, ist das ein deutlicher Hinweis darauf, dass die Sicherheit der Datenbank kompromittiert wurde.



Wie bereits erwähnt, müssen Honeytokens nicht unbedingt Datensätze in Datenbanken sein. Zu jeder beliebigen digitalen Information lassen sich absichtlich gefälschte Daten hinzufügen, die als Honeytoken dienen und über spezielle IDS-Signaturen im Netzverkehr erkannt werden.




Dabei sind Honeytokens hoch flexibel und können mitunter sogar mehrere Fliegen auf einen Streich schlagen. So ist es beispielsweise möglich, nicht nur einen Angriff zu erkennen, sondern auch gleich herauszufinden, wer die Attacke reitet und welche Ziele er damit verfolgt.



Ein Beispiel: Nehmen wir an, es wird vermutet, dass irgendein Mitarbeiter der Firma unberechtigt die E-Mails eines Vorgesetzten liest, um an vertrauliche Informationen zu kommen. Ein konkreter Verdacht gegen einen bestimmten Mitarbeiter besteht allerdings nicht, und eine flächendeckende Überwachung der gesamten Firma verbietet sich schon aus gesetzlichen Gründen. Also wird als Honeytoken eine falsche E-Mail kreiert, in der unter anderem ein Benutzername und ein Passwort auf eine geschützte Datenbank zu finden sind. In Tat und Wahrheit handelt es sich bei der Datenbank allerdings um einen Honeypot. Sobald nun jemand darauf zugreift, ist klar, dass ein Angriff am laufen ist. Werden dabei die falschen Benutzerdaten eingesetzt, weiss man, dass jemand die Mails des Vorgesetzten gelesen hat. Und indem man die Daten loggt und sofort einen Traceback startet, lässt sich auch herausfinden, von welchem Rechner aus der Angriff stattfand.



Natürlich lassen sich diese Beispiele beliebig variieren: So kann etwa über unterschiedliche falsche Dateien und Datensätze im gleichen Umfeld eruiert werden, welche Informationen einen Angreifer besonders interessieren. Oder es lässt sich herausfinden, wessen E-Mail unberechtigt gelesen wurde, indem verschiedene falsche Zugangsdaten an mehrere Empfänger geschickt werden.


Simpel und kosteneffektiv

Ein Allheilmittel für alle Probleme der Netzwerksicherheit sind Honeytokens sicherlich nicht. Wie aus den Beispielen schon hervorgegangen ist, sind sie mehr ein Teil eines umfangreichen Sicherheitskonzepts - zusammen mit IDS und IPS, Honeypots und Firewalls. Allerdings sind Honeytokens im Gegensatz zu diesen eher traditionellen Sicherheitskomponenten äusserst flexibel und gleichzeitig doch simpel. Und sie kosten fast nichts: Der ganze Aufwand, um ein Honeytoken zu erstellen, besteht darin, einen falschen Datensatz, eine gefälschte Datei oder eine unechte Mail mit einem möglichst attraktiven Namen oder Betreff zu kreieren.


Risiko Honeypot

Honeypots sind eine relativ neue Sicherheitstechnologie, die auf Konzepten der Computer-Philosophen und Sicherheits-Gurus Clifford Stoll ("The Cuckoo's Egg") und Bill Cheswick beruhen. Definiert sind Honeypots als Systeme, deren Wert im nicht autorisierten oder illegalen Gebrauch dieser Ressource liegt. Dies, indem potentiellen Eindringlingen ein System quasi zur Verfügung gestellt wird, auf dem er ungestört herumspielen kann. Die dabei aufgezeichneten Aktionen dienen dem Studium der Hackermethoden. Im Zusammenspiel mit anderen Sicherheitsmechanismen lassen sich daraus recht aufschlussreiche Schlüsse ziehen.
Mittlerweile gibt es auf dem Markt eine Vielzahl von mehr oder weniger ausgeklügelten Honeypot-Produkten, darunter etwa Specter, Mantrap und Honeyd. All diesen Produkten gemein ist, dass es sich dabei um sogenannten Low-Interaction-Honeypots handelt, die einem Hacker nur wenig Interaktionsmöglichkeiten und damit Angriffsfläche bieten - Betriebssysteme und Services werden von den Lösungen nur emuliert.




Gegen die zahlreichen Vorteile, die Honeypots als simple Sicherheitstechnologie mit geringem Ressourcenaufwand bieten, steht allerdings ein gewichtiger Nachteil: das Risiko, das von ihnen ausgeht, indem sie von böswilligen Subjekten unter Umständen gekappert und gegen andere Systeme eingesetzt werden können. Das grösste Risiko besteht dabei bei den sogenannten Honeynets, einem produktiven Netzwerk von Rechnern, die nur nebenbei als Honeypot fungieren. Honeynets zählen zu den High-Interaction-Honeypots, die eine grössere Angriffsfläche bieten, aber auch ein Mehrfaches an Daten auswerfen. In Honeynets ist es deshalb von grösster Wichtigkeit, Intrusion-Detections-Systeme und Firewalls mit den Honeypots zu koppeln, um die Gefahr einer unerwünschten Systemübernahme zu minimieren.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER