Honeypots bei der Telekom

Honig verführt Hacker

23.01.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Erschreckende Fallzahlen

Über eine Verwaltungsoberfläche behalten die Telekom-Sicherheitsexperten die Zahl der Angriffsversuche auf ihre Honeypots im Blick. Sie stieg in den vergangenen Monaten explosionsartig an.
Über eine Verwaltungsoberfläche behalten die Telekom-Sicherheitsexperten die Zahl der Angriffsversuche auf ihre Honeypots im Blick. Sie stieg in den vergangenen Monaten explosionsartig an.
Foto: Deutsche Telekom / Markus Schmall

Auch in seinen internationalen Netzen baut der Konzern die Systeme kontinuierlich aus, um neue Formen von Hackerangriffen auf breiterer Ebene zu erkennen. Dass sich der Aufwand für den Aufbau und Betrieb der Locksysteme lohnt, zeigt allein die Zahl der Attacken auf die Honeypots der Telekom. Stündlich bis zu 1400 Mal klingelten so zum Beispiel im Januar deren Alarmsysteme. Bis zu 900 verschiedene Angreifer täglich und knapp 13.000 über den Monat verteilt versuchten dabei unerlaubt am Honig zu lecken; insgesamt registrierten die Systeme des Konzerns im gleichen Zeitraum 11.300 verschiedene Angriffsmuster. Die Zahl der insgesamt von den Honeypots registrieren Angriffsversuche stieg in den vergangenen zwölf Monaten von knapp 300.000 auf über 700.000 pro Monat an.

"Die Zahlen allein sagen natürlich nicht aus, ob beispielsweise unsere Web-Produkte wie etwa Portale in gleichem Ausmaß attackiert werden", erklärt Schmall. "Deswegen ergänzen wir unser Frühwarnsystem zunehmend um Messpunkte auf Produktionsservern." Allein die Zahl der Angriffe zu registrieren oder die Angreifer abzulenken, sei aber nicht entscheidend für das Sicherheitsteam. "Wir simulieren zum Beispiel SSH-Server, zeichnen die Folgen eines erfolgreichen Angriffs auf und analysieren dabei auch den böswilligen Code." Im Detail läuft es so ab: Das System lässt den Angriff zunächst zu und loggt die Angriffsvektoren und -muster mit. Eigener ausführbarer Code kann zu keinem Zeitpunkt von dem Angreifer tatsächlich ausgeführt werden. Die nachgeladenen Schadcodes werden in einen Quarantäne-Bereich verschoben, sodass der Angreifer seine Spuren nicht mehr verwischen kann und eine spätere Analyse der Vektoren durch die Sicherheitsexperten möglich bleibt.

Gefährdungspotenzial verschieden

Wichtigste Erkenntnis der Untersuchungen: Die Schadprogramme, die sich in den Honeypots verfangen, dienen unterschiedlichsten Zwecken. So sollten sie beispielsweise den Zugriff auf Administratorenrechte in Linux ermöglichen, Scannerprogramme zum Auffinden anderer verwundbarer Systeme im Internet oder in lokalen Applikationen installieren oder mittels Brute Force Authentifizierungstechniken weiterer Systeme angreifen. Dieses letztgenannte Vorgehen, das auf Wörterbuchbasis versucht, Passwörter zu knacken, war in einem Fall sogar recht schnell erfolgreich: Lediglich vier Stunden benötigte ein Hacker, um in den Honeypot einzudringen und Malware hochzuladen. "Wir haben dann das bestehende achtstellige Passwort eines SSH-Honeypots durch ein komplexeres ersetzt. Danach gab es in zwei Monaten ganze zwei erfolgreiche Attacken", berichtet Schmall.

Ähnliche Größenordnungen herrschen auch in den ganz frischen MySQL-Honeypots vor: Hier werden binärprotokoll-kompatible MySQL-Datenbanken emuliert, in denen sich sensible Daten befinden. "Diese Datenbanken werden aber so gut wie gar nicht attackiert, weil es wohl zu ungewöhnlich ist, dass eine solche Datenbank frei im Netz steht", erklärt Schmall. Da die meisten Schwachstellenscans nach wie vor automatisch passierten, bewegten sich die Angebote ganz einfach unter dem Radar der Angreifer. Dennoch plane die Telekom, die MySQL-Honeypots weiterhin aktiv zu lassen und bald auch für Microsoft SQL Server ähnliche Szenarien aufzubauen.

Trends: Mobile, Industrieanlagen

Die nächste große Baustelle sind die mobilen Endgeräte - und inzwischen hat das Sicherheitsteam auch für diese eine Honeypot-Lösung entwickelt. Ziel war es, Smartphones mit den Betriebssystemen iOS und Android und Zugriff auf mobile Netzwerke zu simulieren und Hackerattacken gegen sie zu erfassen. Noch gebe es keine dezidierten Attacken auf mobile Geräte, was mit der fehlenden Inter-Client-Kommunikation zusammenhänge, vermutet Schmall. Mobile Endgeräte könnten über die gängigen Funkstandards bei den meisten Providern, darunter auch der Telekom, wegen der zu kleinen Adressblöcke bisher nicht via IP untereinander kommunizieren und seien daher nicht über eine öffentliche Adresse ansteuer- und angreifbar. "Ich glaube, dass sich das mit LTE nach und nach ändern wird, da sind wir einfach noch ein halbes Jahr zu früh", sagt Schmall.

In den kommenden Monaten möchte sich sein Team zudem verstärkt um Industriesteuerungssysteme kümmern, die zunehmend ins Blickfeld der Angreifer geraten. Schmall blickt voraus: "Wir wollen nicht mehr nur die klassischen Endkundenportale im Web simulieren, sondern auch Energiesteuerungsanlagen a la Scada, um noch einmal eine ganz andere Honeypot-Sensorik zu ermöglichen."

Auf der folgenden Seite stellen wir Ihnen noch weitere Analysewerkzeuge vor, mit denen deutsche Unternehmen versuchen, den Cybergangstern beizukommen...