Aachen: Honig verführt Hacker

Wenn die Wespenzeit gekommen ist, flüchten viele Menschen selbst bei bestem Wetter ins Haus. Wer die Sonne trotzdem genießen will, lockt die lästigen Insekten mit Süßem weg vom Tisch in die Falle. Auf dieses Prinzip setzen auch die Security-Experten bei der Deutschen Telekom (DTAG), wenn sie Cyberkrieger auf die falsche Fährte führen wollen. Sie simulieren Schwachstellen in IT-Anwendungen, ohne dabei das System zu gefährden. "Wir lenken Hacker von ihrem eigentlichen Ziel ab oder leiten sie in speziell vorbereitete Bereiche weiter, wo sie keinen Schaden anrichten können. Vor allem sind sie aber für uns eine Säule in unserem Frühwarnsystem", erklärt Dr. Markus Schmall, Leiter Sicherheit von IT-Diensten und Anwendungen bei der DTAG.

Die Aufgabe der Fallensteller gewinnt an Bedeutung, denn täglich tauchen weltweit etwa 50.000 bis 60.000 neue Computerviren, Würmer, Trojaner oder Varianten auf. Diese Bedrohung ist kaum noch beherrschbar. Inzwischen ist es üblich geworden, individuelle Angriffswerkzeuge zu entwickeln und mittels sogenannter Advanced Persistent Threats (APTs) nur noch die IT-Infrastrukturen ausgewählter Unternehmen über einen längeren Zeitraum anzugreifen. Diese Attacken bleiben zudem sehr lange unbemerkt, da die Systeme oftmals zunächst nur nach möglichen Einfallstoren ausgekundschaftet und kritische Daten anschließend ohne nachweisbare Spuren kopiert werden. Weil die Angriffe sehr gezielt und jedes Mal komplett anders verlaufen, hilft hier auch kein noch so guter Malware-Schutz mehr weiter.

Eine mögliche Lösung für das Problem sind Honeypots. Damit könnten Unternehmen die Angreifer mit deren eigenen Mitteln schlagen und ihr Vorgehen schon während der Auskundschaftungsphase kennen lernen. Die Telekom betreibt derzeit schon mehr als 30 solche Honeypot-Systeme, einen Großteil davon als Web Application Honeypots. Augenscheinlich ganz normale Websites - häufig mit frei füllbaren Formularfeldern beispielsweise für Login-Prozesse ausgestattet - werden mit für den normalen Besucher im Frontend zunächst unsichtbarem, weil auskommentiertem PHP-Quellcode ergänzt, der automatisierten Angriffsskripten Sicherheitslücken auf dem Server verspricht. Entdeckt ein Skript diesen Quellcode, versucht es, die vermeintlichen Lücken beispielsweise über die Formularfelder mithilfe gängiger Lese- und Schreib-Kommandos auf http-Basis wie GET und POST auszunutzen und liefert dem Honeypot-Betreiber währenddessen wertvolle Informationen über die Art des Angriffs.

Bei der DTAG fließen diese Erkenntnisse unter anderem in die Weiterentwicklung der eigenen Systeme ein. So lassen sich Sicherheitslücken gezielt schließen oder neue Systeme schon in der Entwicklung gegen die bekannten Gefahren schützen. Schmall: "Unsere Web-Honeypot-Systeme sind selbstlernend. Sie identifizieren Angriffe von unbekannter Seite, analysieren sie und integrieren deren Schema in den eigenen Erkenntnisprozess." Der erwähnte unsichtbare Quellcode wird also mit jeder zuvor unbekannten Angriffsart länger.

Besonders stolz ist Schmall darauf, dass die Aufzeichnung und die Analyse der Attacken komplett über Open-Source-Tools wie beispielsweise Glastopf und Kippo ablaufen. Die gewonnenen Erkenntnisse werden den IT und Sicherheitsabteilungen im Konzern zur Verfügung gestellt. Weiterhin besteht eine Zusammenarbeit mit der Sicherheitscommunity und anderen ISPs. Die Telekom informiert zudem Hersteller von Antivirussoftware, damit diese bei Auftauchen eines neuen Virus oder Trojaners in den Honeypots ihre Software möglichst zeitnah aktualisieren können.

Auch in seinen internationalen Netzen baut der Konzern die Systeme kontinuierlich aus, um neue Formen von Hackerangriffen auf breiterer Ebene zu erkennen. Dass sich der Aufwand für den Aufbau und Betrieb der Locksysteme lohnt, zeigt allein die Zahl der Attacken auf die Honeypots der Telekom. Täglich mehr als 10.000 - in der Spitze über 30.000 Mal - klingelten so zum Beispiel zwischen Juli und September 2011 die Alarmsysteme der Honeypots. Bis zu 680 Angreifer täglich versuchten im gleichen Zeitraum unerlaubt am Honig zu lecken; insgesamt registrierten die Systeme des Konzerns 18.645 Angreifer im dritten Quartal 2011. Die Zahl der von den Honeypot-Systemen registrierten böswilligen Codes ist auf über 8600 angestiegen.

"Die Zahlen allein sagen natürlich nicht aus, ob beispielsweise unsere Web-Produkte wie etwa Portale in gleichem Ausmaß attackiert werden", erklärt Schmall. "Deswegen ergänzen wir unser Frühwarnsystem zunehmend um Messpunkte auf Produktionsservern." Allein die Zahl der Angriffe zu registrieren oder die Angreifer abzulenken, sei aber nicht entscheidend für das Sicherheitsteam. "Wir simulieren zum Beispiel SSH-Server, zeichnen die Folgen eines erfolgreichen Angriffs auf und analysieren dabei auch den böswilligen Code." Im Detail läuft es so ab: Das System lässt den Angriff zunächst zu und loggt die Angriffsvektoren und -muster mit. Eigener ausführbarer Code kann zu keinem Zeitpunkt von dem Angreifer tatsächlich ausgeführt werden. Die nachgeladenen Schadcodes werden in einen Quarantäne-Bereich verschoben, sodass der Angreifer seine Spuren nicht mehr verwischen kann. So können die Sicherheitsexperten den Angriff später genau analysieren.

Wichtigste Erkenntnis dieser Analysen: Die Schadprogramme, die sich in den Honeypots verfangen, dienen unterschiedlichsten Zwecken. So sollten sie beispielsweise den Zugriff auf Administratorenrechte in Linux ermöglichen, Scannerprogramme zum Auffinden anderer verwundbarer Systeme im Internet oder in lokalen Applikationen installieren oder mittels Brute Force Authentifizierungstechniken weiterer Systeme angreifen. Dieses letztgenannte Vorgehen, das auf Wörterbuchbasis versucht, Passwörter zu knacken, war in einem Fall sogar recht schnell erfolgreich: Lediglich vier Stunden benötigte ein Hacker, um in den Honeypot einzudringen und Malware hochzuladen. "Wir haben dann das bestehende achtstellige Passwort eines SSH-Honeypots durch ein komplexeres ersetzt. Danach gab es in zwei Monaten ganze zwei erfolgreiche Attacken", berichtet Schmall.

Inzwischen hat das Sicherheitsteam auch für die mobile Kommunikation eine Honeypot-Lösung entwickelt. Ziel war es, Smartphones mit den Betriebssystemen iOS und Android und Zugriff auf mobile Netzwerke zu simulieren und Hackerattacken gegen sie zu erfassen. Auch wenn das Aufkommen der Angriffsversuche im mobilen Bereich bei weitem noch nicht die Dimension der anderen Kanäle erreicht hat, ist der mittelfristige Trend hin zu systematischen Attacken auf offene Systeme in mobilen Netzen bereits zu erkennen.

© IDG / In Zusammenarbeit mit computerwoche.de