04.05.2006, 09:18 Uhr
Präventivschlag mit Honigtöpfen
Das EU-Projekt Noah soll helfen, dank einer Netzwerkinfrastruktur basierend auf Honeypots Cyberattacken frühzeitig zu erkennen.
Bernhard Tellenbach vom Institut für Technische Informatik der ETH sieht erste Honeypots für 2007.
Klebrige Honigtöpfe, so genannte Honeypots, sind die Waffen einer jungen Strategie gegen Viren und Hacker. Sie versucht, den zeitraubenden Umstand zu umgehen, dass von Schädlingen zuerst manuell Signaturen erstellt werden müssen, damit Schutzmassnahmen bei einer Attacke greifen. Mit Honeypots beschäftigt sich seit April 2005 auch ein EU-Projekt mit Schweizer Beteiligung namens Noah (Network of Affined Honeypots). Noah will durch ein Netzwerk von kooperierenden Honigtöpfen die Erkennung und Bekämpfung von Schädlingsattacken vorantreiben.
Ein Honeypot ist ein System, das als Falle für Angreifer fungiert. Vereinfacht gesagt wird dabei ein Firmencomputer identisch zu einem Fileserver konfiguriert, ohne dass dieser als Fileserver genutzt wird. Eingeweihten Kreisen ist dies bekannt, nicht jedoch dem Hacker, der den echten Fileserver nicht vom Honeypot unterscheiden kann. Maliziöse Aktivitäten sollen am Honigtopf gewissermas-sen kleben bleiben und sofort analysiert werden, um daraus Informationen über Urheber und Angriffstechniken zu gewinnen und rasch im HoneypotVerbund zu verbreiten.
Laut Bernhard Tellenbach, Doktorand am Institut für Technische Informatik der ETH Zürich, die als Schweizer Projektpartner auftritt, ist die Design-Phase von Noah abgeschlossen und die Architektur grob definiert. Noah soll einen Kern aufweisen, der Honeypots zentral aufstellt und verwaltet. Der Standort wird bei einer Partner-institution sein, etwa bei der Foundation for Research and Technology Hellas (Forth) oder bei der Vrije Universität Amsterdam (VU). Der Kern weist Low-Interaction-Honeypots auf, die simulierte Systeme darstellen und eingeschränkte Funktionen aufweisen, sowie reale Rechner, die als High-Interaction-Honeypots bezeichnet werden. Bei interessierten Firmen und Anwendern, die sich am Projekt beteiligen wollen, werden vorerst Redirectors eingesetzt. Das sind einfach installierbare und wartungsfreie Komponenten, die den empfangenen Netzverkehr an die Honigtöpfe des Kerns weiterleiten.
Ein rudimentärer Prototyp des Redirectors existiert ebenso wie der Prototyp des Systems, das Attacken auf den High-Interaction-Honeypots detektieren soll. Laut Tellenbach sind die Prototypen aber noch nicht voll funktionstüchtig. Daneben existieren mehrere Designvorschläge für die Software, die auf den Honeypots die rasche Signaturgenerierung wahrnimmt. «Was sich schliesslich durchsetzen wird, muss sich erst noch weisen», sagt er.
Die soeben gestartete Implementation der Kernkomponenten wird mindestens bis Ende September laufen. Mit einem ersten grösseren Testnetz sei jedoch nicht vor Anfang 2007 zu rechnen, so Tellenbach.
Michael Keller
