Gen4 Honeypot: Real-World Nutzer

Сomentários

Transcrição

Gen4 Honeypot: Real-World Nutzer
Gen4 Honeypot: Real-World Nutzer- und
Systememulation
Aufgabensteller:
Betreuer:
Prof. Dr. Dreo Rodosek
Dr. Robert Koch
Heutige Netze und Systeme sind aufgrund der wirtschaftlichen Attraktivität umfangreichen
Angriffen ausgesetzt. Entsprechend sind seit über 30 Jahren Systeme zur Angriffserkennung
(Intrusion Detection Systems / IDSs) in Erforschung und im Einsatz. Trotz dieser langjährigen
Forschung gelingen jedoch regelmäßig aufsehenerregende Angriffe und Sicherheitsvorfälle. Um
heutige IDSs zu verbessern und ausgeklügelten Angriffen anzupassen, ist es notwendig, das
Verhalten professioneller Angreifer umfassend zu analysieren. Heutige Honeypots und -nets
sind hierzu regelmäßig nicht geeignet, da diese durch Profis schnell erkannt werden können
und somit gemieden werden. Lediglich eine Analyse automatisierter Schadsoftware ist hierdurch heutzutage noch effizient möglich.
Ziel ist es, Verfahren zu entwickeln, welche eine verwundbare Umgebung darstellen, welche
auch durch erfahrene Angreifer nur schwer und verzögert identifiziert werden kann. Hierfür ist
die Nutzung von Desktop-PCs als auch von Servern möglichst realitätsgetreu nachzubilden,
um so einen professionellen Angreifer anzuziehen und möglichst lange an ein Zielsystem zu
binden und zu beobachten.
Dies eröffnet weiterhin nicht nur eine bessere Untersuchung und Erforschung von State-ofthe-Art Hackerangriffen, sondern kann auch den Schutz produktiver Netze erhöhen, indem die
Zielidentifikation und -auswahl durch das Vorhalten entsprechender Systeme für den Angreifer
maßgeblich erschwert wird.
Um entsprechende Honeypots der 4. Generation zu entwickeln, sind zwei Säulen zu betrachten:
Einerseits muss das Nutzungsverhalten eines Rechners bzw. Servers realistisch nachgestellt
werden. Dies umfasst sowohl die Selektion von Programmen, als auch deren Nutzung und die
Erzeugung von Daten. Hierbei ist zu analysieren, welche Aspekte für eine realistische Nutzeremulation zur Verfügung gestellt werden müssen. Denkbar sind hier z.B. die Berücksichtigung
von Latenzen und entsprechenden Variationen bei Eingaben oder kontrolliert erzeugte und entsprechend verbesserte fehlerhafte Nutzereingaben. Entsprechende Daten könnten bspw. auch
durch (anonymisierte) Evaluation von realen Nutzer gewonnen werden.
Als zweites Handlungsfeld eröffnet sich die Darstellung und Steuerung der anzubietenden Programme und Dienste. Um eine Detektion von Seiten eines professionellen Angreifers
zu verhindern, sind trickreiche Herangehensweisen erforderlich. Bspw. kann eine Generierung
der erforderlichen Aktivitäten auf Basis von Skripten und Cron-Jobs erfolgen, ist dann jedoch einfach identifizierbar. Abhängig davon, wie schnell der Angreifer eine Rechteeskalation
durchführen kann, kann hier auch ein Verstecken der zugehörigen Prozesse ungenügend sein.
Angemerkt sei, dass hier insbesondere eine rein softwarebasierte Umsetzung, bspw. auch im
Rahmen einer Virtualisierung, ggf. nicht ausreichend sein könnte: Dadurch, dass bpsw. viele
Desktop-PCs in Firmen nicht virtualisiert sind, sich eine Virtualisierung andererseits jedoch
immer erkennen lässt, wird hierdurch evtl. keine ausreichend realistische Angriffsumgebung
realisiert.
Eine mögliche Herangehensweise kann hier bspw. ein zu entwickelnder USB-Adapter (vergleichbar einem KVM) sein, welcher eine USB-Tastatur und Maus emuliert und durch einen anderen
Rechner gesteuert bzw. programmiert wird. Auf diese Weise wird es ermöglicht, sämtliche Bedienaktionen auf realistische und nach Außen nicht erkennbare Weise zu initiieren.
- Aufgabenstellung Für die Realisierung des Konzepts wird eine Masterarbeit mit folgenden Schwerpunkten und
Fragestellungen angeboten:
• Aufstellung eines Kriterienkataloges zur Bewertung von Honey-Systemen
• Untersuchung und Bewertung von State-of-the-Art Honeypots und -nets bzgl. ihrer Nutzbarkeit zur Untersuchung professioneller Angriffe
• Konzeptionierung eines Honeypots der 4. Generation zur Untersuchung professioneller
Angriffe
– Untersuchung von Anforderungen an die Nutzer- und Diensteemulation
– Analyse und Bewertung geeigneter Steuerungs-, Kontroll- und Auswerteverfahren
• Prototypische Realisierung
- Kontakt Bei Interesse oder Fragen erreichen Sie mich wie folgt:
Mail: [email protected]