Af chefkonsulent Preben Andersen, UNI?C, leder af DK-CERT
I løbet af et halvt år opdagede forskere på Georgia Institute of Technology 16 computere på universitetets net, der var overtaget af orme eller hackere. Flere af dem ville sandsynligvis aldrig være blevet opdaget, hvis forskerne ikke havde oprettet et såkaldt "honeynet".
Et honeynet er en videreudvikling af en "honeypot". Den bygger på en velkendt, lavteknologisk løsning til skovture: For at undgå at sommerfrokosten i det grønne forstyrres af bier og hvepse, kan man placere en honningkrukke et stykke væk fra stedet, hvor man spiser.
Så afledes bæsternes opmærksomhed fra lækkerierne i madkurven. Krukken kan være udformet som en fælde, så insekterne ikke kan komme ud, når de først er kommet ind.
På samme måde byder en honeypot på lækkerier, der kan lokke hackere og orme til. En honeypot er en enkelt computer, der er sat op med det ene formål at tiltrække angreb. Den står passivt og lytter på nogle bestemte porte, mens den venter på at få uanmeldt besøg.
Et net af honningkrukker
Et honeynet bygger videre på ideen. Men her er der et helt netværk af computere, som hackeren er velkommen til at besøge og angribe.
De er placeret bag en omvendt firewall. At den er omvendt vil sige, at den tillader al trafik ind i nettet, mens den ikke lader hvad som helst forlade det. Det sikrer, at hackeren kan kommunikere med nettet, men at han ikke kan sætte dets computere til at angribe andre.
En gruppe forskere på Georgia Institute of Technology har analyseret et honeynet, som de drev i et halvt år. De konkluderer, at store netværk kan anvende honeynet til at afsløre sikkerhedsbrud, som de ellers ikke ville opdage. I løbet af de seks måneder fandt de således frem til 16 computere, der havde været udsat for sikkerhedsbrud.
Per definition er enhver datatrafik til honeynettet mistænkelig. Når forskerne kunne se, at der kom en stribe datapakker til bestemte porte på en eller flere af computerne på honeynettet, var det derfor værd at undersøge.
På den måde fandt de frem til pc'er på universitetets øvrige net, der var inficeret med orme. Ormene scannede efter nye computere, de kunne sprede sig til via Windows-fildeling.
Hacker med adgangskode
Den slags angreb kan også opdages med andre værktøjer. Derimod ville det have været svært for forskerne at opdage et andet angreb uden honeynettet.
De observerede en hacker, der kommunikerede med et system på honeynettet. Kontakten kom fra en anden computer på universitetets netværk.
IT-afdelingen undersøgte computeren, men fandt ingen tegn på indbrud på den. I stedet mente de, at hackeren havde fundet frem til brugerens adgangskode. Brugeren ændrede sit password, og den mistænkelige trafik forsvandt.
Afslørede kreditkortsvindel
Et andet honeynet blev i foråret benyttet af hackere, der via chat-teknologien IRC udvekslede information om stjålne kreditkortnumre.
Hackerne troede, at de havde fundet en åben proxy-server, som de kunne udnytte til at skjule, hvor deres kommunikation kom fra. Men serveren sad på et honeynet, hvor al kommunikation kunne overvåges.
Overvågningen viste, at hackerne rutinemæssigt udvekslede oplysninger om stjålne kreditkort. Der var ligefrem programmer på chat-stedet, der automatisk kunne udlevere et kreditkortnummer med tilhørende informationer om ejerens navn og kortets udløbsdato. Folkene bag nettet overgav efterfølgende de oplysninger, de havde opsamlet, til politiet.
Risikabel metode
Skønt et honeynet eller en honeypot kan være nyttig, er teknologien ikke uden risici. Idet man stiller ressourcer til rådighed for hackere, skal man gøre meget for at sikre, at ressourcerne ikke kan blive overtaget fuldstændig og udnyttet.
Desuden kræver det arbejdskraft at holde styr på et honeynet. Formålet med nettet er at indsamle viden om angreb. Men det tager tid at gennemgå og analysere de store mængder data i logfiler, som systemet genererer.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med tendenser inden for IT-sikkerhed.
Relevante links:
"The Use of Honeynets to Detect Exploited Systems Across Large Enterprise Networks", rapport fra Georgia Institute of Technology (PDF)
"Know Your Enemy - A Profile", rapport om kreditkortsvindel via IRC fra The Honeynet Project (PDF)