Gen4 Honeypot: Real-World Nutzer
Transcrição
Gen4 Honeypot: Real-World Nutzer
Gen4 Honeypot: Real-World Nutzer- und Systememulation Aufgabensteller: Betreuer: Prof. Dr. Dreo Rodosek Dr. Robert Koch Heutige Netze und Systeme sind aufgrund der wirtschaftlichen Attraktivität umfangreichen Angriffen ausgesetzt. Entsprechend sind seit über 30 Jahren Systeme zur Angriffserkennung (Intrusion Detection Systems / IDSs) in Erforschung und im Einsatz. Trotz dieser langjährigen Forschung gelingen jedoch regelmäßig aufsehenerregende Angriffe und Sicherheitsvorfälle. Um heutige IDSs zu verbessern und ausgeklügelten Angriffen anzupassen, ist es notwendig, das Verhalten professioneller Angreifer umfassend zu analysieren. Heutige Honeypots und -nets sind hierzu regelmäßig nicht geeignet, da diese durch Profis schnell erkannt werden können und somit gemieden werden. Lediglich eine Analyse automatisierter Schadsoftware ist hierdurch heutzutage noch effizient möglich. Ziel ist es, Verfahren zu entwickeln, welche eine verwundbare Umgebung darstellen, welche auch durch erfahrene Angreifer nur schwer und verzögert identifiziert werden kann. Hierfür ist die Nutzung von Desktop-PCs als auch von Servern möglichst realitätsgetreu nachzubilden, um so einen professionellen Angreifer anzuziehen und möglichst lange an ein Zielsystem zu binden und zu beobachten. Dies eröffnet weiterhin nicht nur eine bessere Untersuchung und Erforschung von State-ofthe-Art Hackerangriffen, sondern kann auch den Schutz produktiver Netze erhöhen, indem die Zielidentifikation und -auswahl durch das Vorhalten entsprechender Systeme für den Angreifer maßgeblich erschwert wird. Um entsprechende Honeypots der 4. Generation zu entwickeln, sind zwei Säulen zu betrachten: Einerseits muss das Nutzungsverhalten eines Rechners bzw. Servers realistisch nachgestellt werden. Dies umfasst sowohl die Selektion von Programmen, als auch deren Nutzung und die Erzeugung von Daten. Hierbei ist zu analysieren, welche Aspekte für eine realistische Nutzeremulation zur Verfügung gestellt werden müssen. Denkbar sind hier z.B. die Berücksichtigung von Latenzen und entsprechenden Variationen bei Eingaben oder kontrolliert erzeugte und entsprechend verbesserte fehlerhafte Nutzereingaben. Entsprechende Daten könnten bspw. auch durch (anonymisierte) Evaluation von realen Nutzer gewonnen werden. Als zweites Handlungsfeld eröffnet sich die Darstellung und Steuerung der anzubietenden Programme und Dienste. Um eine Detektion von Seiten eines professionellen Angreifers zu verhindern, sind trickreiche Herangehensweisen erforderlich. Bspw. kann eine Generierung der erforderlichen Aktivitäten auf Basis von Skripten und Cron-Jobs erfolgen, ist dann jedoch einfach identifizierbar. Abhängig davon, wie schnell der Angreifer eine Rechteeskalation durchführen kann, kann hier auch ein Verstecken der zugehörigen Prozesse ungenügend sein. Angemerkt sei, dass hier insbesondere eine rein softwarebasierte Umsetzung, bspw. auch im Rahmen einer Virtualisierung, ggf. nicht ausreichend sein könnte: Dadurch, dass bpsw. viele Desktop-PCs in Firmen nicht virtualisiert sind, sich eine Virtualisierung andererseits jedoch immer erkennen lässt, wird hierdurch evtl. keine ausreichend realistische Angriffsumgebung realisiert. Eine mögliche Herangehensweise kann hier bspw. ein zu entwickelnder USB-Adapter (vergleichbar einem KVM) sein, welcher eine USB-Tastatur und Maus emuliert und durch einen anderen Rechner gesteuert bzw. programmiert wird. Auf diese Weise wird es ermöglicht, sämtliche Bedienaktionen auf realistische und nach Außen nicht erkennbare Weise zu initiieren. - Aufgabenstellung Für die Realisierung des Konzepts wird eine Masterarbeit mit folgenden Schwerpunkten und Fragestellungen angeboten: • Aufstellung eines Kriterienkataloges zur Bewertung von Honey-Systemen • Untersuchung und Bewertung von State-of-the-Art Honeypots und -nets bzgl. ihrer Nutzbarkeit zur Untersuchung professioneller Angriffe • Konzeptionierung eines Honeypots der 4. Generation zur Untersuchung professioneller Angriffe – Untersuchung von Anforderungen an die Nutzer- und Diensteemulation – Analyse und Bewertung geeigneter Steuerungs-, Kontroll- und Auswerteverfahren • Prototypische Realisierung - Kontakt Bei Interesse oder Fragen erreichen Sie mich wie folgt: Mail: [email protected]