Diplomarbeit. zur Erlangung des akademischen Grades Diplom-Ingenieur (FH)

Transkript

1 Diplomarbeit zur Erlangung des akademischen Grades Diplom-Ingenieur (FH) Planung und Realisierung eines Honeynet zur Analyse realer Angriffe aus dem Internet vorgelegt von: Sven Müller Matrikel-Nummer: Fachbereich: Elektrotechnik und Informationstechnik Studienrichtung: Ingenieurinformatik im Monat Februar 2005 angefertigt bei MAGELLAN Netzwerke GmbH Max-Reichpietsch-Strasse Köln Betreuer: Korreferent: Prof. Dr.-Ing. Rolf Schäfer Prof. Dr.-Ing. Gerhard Stegemann

2 1 Erklärung Ich versichere hiermit, dass ich die vorliegende Arbeit selbständig verfasst und keine anderen als die im Literaturverzeichnis angegebenen Quellen benutzt habe. Stellen, die wörtlich oder sinngemäß aus veröffentlichten oder noch nicht veröffentlichten Quellen entnommen sind, sind als solche kenntlich gemacht. Die Zeichnungen oder Abbildungen in dieser Arbeit sind von mir selbst erstellt worden oder mit einem entsprechenden Quellennachweis versehen. Diese Arbeit ist in gleicher oder ähnlicher Form noch keiner anderen Prüfungsbehörde eingereicht worden. Aachen, im Februar 2005 Geheimhaltung Diese Diplomarbeit darf weder vollständig noch auszugsweise ohne schriftliche Zustimmung des Autors, des betreuenden Referenten bzw. der Firma MAGELLAN Netwerke GmbH vervielfältigt, veröffentlicht oder Dritten zugänglich gemacht werden.

3 Inhaltsverzeichnis 1 Einleitung 5 2 Grundlagen Virtual Local Area Networks Firewall Hardware Software Bridge Intrusion-Detection-System Rootkit Binary-Rootkits Kernel-Rootkits Library-Rootkits Phishing Buffer-Overflow Internet Relay Chat Dateiwiederherstellung - EXT2-Dateisystem Klassifizierung von Angreifern Low-level-Angreifer High-level-Angreifer Whitehat vs. Blackhat Ethische und rechtliche Aspekte Ethische Aspekte Strafrechtliche Aspekte Zivilrechtliche Aspekte Datenschutzrechtliche Aspekte

4 INHALTSVERZEICHNIS 3 5 Klassifizierung von Honeypots Low Interaction Honeypots High Interaction Honeypots Anforderungen an ein Honeynet Datenkontrolle (data control) Datenerfassung (data capture) Zentrale Datensammlung (data collection) Aufbau des Honeynet Logischer Aufbau Router Honeywall Honeypot Betriebssystem Dienste Syslog Sebek Kernel-Patch Administrationsrechner Zentrale Verwaltung Domain-Name-Server-Proxy Network-Time-Protocol-Daemon Mailrelay Frontends MySQL-Datenbank Server Intrusion-Detection Binary-Logging Datensicherung / Redundanz Analyse eines Angriffs Zeitlicher Ablauf des Einbruchs Einbruch in das Zielsystem Analyse der Angreifer-Werkzeuge refresh.tgz sk.tgz spam.tgz willson.tgz psybnc.tgz windmilk.tgz

5 INHALTSVERZEICHNIS sockd.tgz superwu.tgz suntrustsend.tgz Analysewerkzeuge Ethereal/ tethereal Sebek-Web-Interface Snortreport Analysis Console for Intrusion Databases Advanced Intrusion Detection Environment Sleuthkit-Werkzeuge Bewertung des Angriffs Zusammenfassung und Ausblick 64

6 Kapitel 1 Einleitung Sicherheit im Computer- und Netzbereich war schon immer ein wichtiges Thema. Doch seitdem sich diese Technik immer weiter durchgesetzt hat und für das Bearbeiten hoch sensibler Daten verwendet wird, ist der Schutz dieser Systeme von höchster Priorität. Leider gibt es immer wieder Menschen, die versuchen die Sicherheitsmechanismen zu umgehen. Die Motive hierfür können unterschiedlichster Art sein: Spionage, Spass, Geld, Macht und andere. Die hierdurch entstehenden zwei Fronten stehen im ständigen Wettstreit und versuchen, besser zu sein als die andere Seite. Im Bereich der Netztechnik hat es viele Entwicklungen im Bereich Sicherheit gegeben. Firewall, Intrusion Detection und Proxies sind alles Einrichtungen, die die Netz- bzw. Rechnersicherheit erhöhen. Jedoch haben diese Komponenten einen entscheidenden Nachteil: Sie können nur gegen bisher bekannte Schwachstellen wirken. Hierdurch entsteht ein ständiger Wettbewerb zwischen den Leuten, die Sicherheit schaffen möchten, und denen, die diese wieder durchbrechen. Aufgrund der statischen Anpassung an die Bedrohung sind Angreifer in einem zeitlichen Vorteil. Um diesen Abstand weiter zu minimieren, können Honeynets eingesetzt werden. Sie helfen, die Motive, Taktiken und Techniken der Angreifer zu erlernen und zu verstehen. Ein Vergleich zum Militär hilft dies zu erläutern: Bevor Kriege beginnen, erkundigen sich die Gegenparteien möglichst genau, was der Feind für Waffen hat, wie stark seine Truppen sind und in welchen Bereichen er besser oder schwächer ist. Man versucht zum Beispiel, möglichst genau zu erfahren, wie weit seine Panzer schiessen können oder wie stark deren Panzerung ist. Die Gegner sind bemüht, sich gegenseitig möglichst genau auszuspionieren. Sun Tzu schreibt dazu in seinem Buch The Art of War [Tzu]: Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang hunderter von Schlachten nicht zu fürchten. Wenn du dich selbst kennst, aber nicht den

7 KAPITEL 1. EINLEITUNG 6 Feind, wirst du für jeden Sieg eine Niederlage erleiden. Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. Doch wie ist dies in der Netzsicherheit? Hier weiss man nichts über die Hacker, die versuchen in Netze einzudringen. Man weiss weder etwas über die Motive, noch über deren technisches Wissen oder deren neueste Werkzeuge. Nach Einbrüchen in Rechnersysteme ist es oft schwierig, genau zu analysieren, wie einem Angreifer dies gelingen konnte oder was er auf dem System verändert hat. Welches Motiv hat ihn überhaupt veranlasst, diese rechtswidrige Tat auszuführen? Honeynets sind Netze, die nur für Angriffe gedacht sind. Nach außen hin wirken sie als normale Produktivsysteme, doch in Wahrheit sind es Fallen, um Angreifer genau analysieren und studieren zu können. Hierdurch wird versucht, den zeitlichen Vorsprung der Angreifer möglichst zu minimieren und von seinen Taktiken und Werkzeugen zu lernen. Im Rahmen dieser Diplomarbeit soll ein solches Netz geplant und realisiert werden. Anschließend stattgefundene Angriffe auf dieses Honeynet sollen analysiert werden.

8 Kapitel 2 Grundlagen In diesem Kapitel werden einige für den Aufbau des Honeynet grundlegende Komponenten kurz erläutert. Des weiteren wird auf das Prinzip von Rootkits, der Buffer-Overflow Technik, des Phishings, sowie dem Internet Relay Chat eingegangen, da diese von dem Angreifer verwendet wurden. 2.1 Virtual Local Area Networks Beim klassischen Ansatz bekommt jedes Teilnetz einen eigenen Switch. Ein Router vermittelt zwischen den Bereichen. Jedes Teilnetz hat einen eigenen IP-Adressraum und, wenn nötig, eine eigene Infrastruktur wie DHCP- oder Domainserver. Mit VLANs (Virtual Local Area Networks) geschieht diese Trennung nicht auf physikalischer, sondern auf logischer Ebene. Somit ist eine Gruppierung von Geräten oder Benutzern, die nach Funktion, Aufgabenbereich oder Anwendung unterteilt werden sollen, unabhängig des Standorts ihres physischen Segments möglich. VLANs segmentieren die physische LAN-Infrastruktur in verschiedene Teilnetze (oder Broadcast-Domänen für Ethernet). Broadcast-Rahmen werden nur zwischen Ports innerhalb desselben VLAN geswitcht. Um die logische Trennung vorzunehmen, stehen zwei unterschiedliche Verfahren zur Auswahl: Port-basierte Aufteilung und VLAN-Tagging nach dem IEEE-Standard 802.1Q [Ass]. Das ältere und einfachere Port-VLAN teilt jedem Port fest ein einzelnes Netzsegment zu. Alle Ports im selben Segment bilden eine Broadcast-Domäne, als ob sie an einem eigenen Switch angeschlossen wären. Sie erhalten somit alle Rundspruchpakete (Broadcasts), jedoch nicht alle Datenpakete, wie das bei einer Kollisions-Domäne der Fall ist.

9 KAPITEL 2. GRUNDLAGEN 8 Flexibler sind VLANs, die Meta-Informationen in den Ethernet-Rahmen nutzen [Rec]. Der Standard 802.1Q sieht dazu zwischen Adress- und Längenfeld jedes Ethernet- Pakets vier zusätzliche Bytes vor. Die ersten beiden Bytes (Tag Protocol Identifier) kennzeichnen mit dem festen Wert 0x8100 das Vorhandensein der 802.1Q- Erweiterung. Die restlichen zwei Bytes (Tag Control Information) setzen sich aus drei Bits für die Priorität (Class of Service, CoS), einem Bit namens Canonical Format Indicator (CFI) und zwölf Bits für die VLAN-ID (VID) zusammen. Ein VLAN-Switch benutzt diese VID um zu entscheiden, an welchen anderen Port er das Paket weiterleiten darf. Empfängt er ein normales, nicht markiertes Ethernet-Paket, so teilt er diesem ein Etikett (tag) mit dem jeweiligen Port zugeordneten VID zu. Die Abbildung 2.1 zeigt die Verlängerung des Ethernet-Rahmens um 4 Byte beim VLAN- Tagging. Abbildung 2.1: VLAN-Tagging [Ben05] 2.2 Firewall Als Firewall bezeichnet man in einem Rechnernetz ein organisatorisches und technisches Konzept zur Trennung von Netzbereichen. Die Firewall befindet sich zwischen zwei Netzen und filtert unerwünschten Datenverkehr heraus beziehungsweise lässt nur gewünschte Daten passieren. Es wird bei dem (Sicherheits-)Konzept Firewall zwischen zwei Hauptbestandteilen unterschieden: Hardware und Software. Die Hardware ist für das Senden und Empfangen der Datenpakete zuständig und die Software für das Umsetzen des Regelwerkes, das Aktionen mit den eintreffenden Paketen ausführt.

10 KAPITEL 2. GRUNDLAGEN Hardware Die Hardware stellt die Komponente dar, an die die zu verbindenden Netze angeschlossen sind. Hierfür sind die Netzschnittstellen zuständig. Diese arbeiten auf Schicht 1 des OSI- Referenzmodells [Sysa] Software Die Softwarekomponente der Firewall arbeitet auf den Schichten 2 bis 7 des OSI- Referenzmodells und demzufolge kann die Implementierung sehr unterschiedlich ausfallen. Aus diesem Grund gibt es Firewalls mit verschiedenen Softwarekomponenten. Die unterschiedlichen Teile werden im Folgenden kurz beschrieben: Paketfilter Eine Paketfilter-Firewall besteht aus einer Liste von Annahme- und Ablehnungskriterien. Die Regeln definieren ganz genau, welche Pakete durch die Netzschnittstelle hindurch dürfen und welche nicht. Die Firewall entscheidet anhand der Felder des Paket-Kopfes, ob ein Paket in Richtung des Empfängers weitergeleitet, kommentarlos verworfen oder mit einer Fehlermeldung an den Absender blockiert wird. Dabei berücksichtigt sie die Netzschnittstelle über die das Paket läuft, sowie die IP-Adresse, dazu die Absender- und Empfängerinformationen aus der Netzschicht, die TCP- bzw. UDP-Ports aus der Transportschicht, einige der TCP-Flags zum Verbindungszustand, die ICMP-Nachrichtentypen und die Richtung, in die das Paket übertragen wird (eingehend, ausgehend). Proxy Ein Proxy ist ein Stellvertreter, der Anfragen entgegennimmt und diese weiterleitet. Der Proxy verhält sich gegenüber dem anfragenden Klienten wie ein Server. Gegenüber dem eigentlichen Ziel, zum Beispiel dem Web-Server, verhält er sich wie ein Klient. Dies geschieht nicht auf der Paketebene, sondern der Inhalt der Pakete wird gelesen und eine Anfrage generiert, die der ursprünglichen Anfrage entspricht. Der Vorteil ist, dass keine Pakete eine installierte Firewall direkt passieren können, was die Sicherheit nochmals erhöht. Oft ist ein Proxy auch mit einem Content-Filter kombiniert. Content-Filter / Application-Level-Gateway Eine Firewall kann aber nicht nur auf der niedrigen Ebene des Paketfilters arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter überprüft zum Beispiel die In-

11 KAPITEL 2. GRUNDLAGEN 10 halte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse. Solche Aufgaben können unter anderen folgende sein: Herausfiltern von ActiveX und/oder JavaScript aus angeforderten HTML-Seiten. Filtern/Kennzeichnen von Spam-Mails Löschen von Viren-Mails Solche Regeln sind normalerweise sehr einfach zu definieren, ihre Ausführung ist jedoch sehr komplex: Es müssen einzelne Pakete zusammengesetzt werden, damit die HTML- Seite als Ganzes erkannt, durchsucht und der Regel entsprechend behandelt werden kann. Anschließend muss die Seite wieder in einzelne Pakete zerteilt werden und kann weitergeschickt werden. Abbildung 2.2 zeigt, wie moderne Firewalls eingesetzt werden können. Abbildung 2.2: Moderne Firewalls können als Router, Bridge oder Application Level Gateway arbeiten [Lei04] SOCKS Ein Socks-(Secure Sockets) Server wird in einem Netz dazu verwendet, Anwendungen und Protokolle zu bedienen, die von dem Proxy unterstützt oder von der Firewall geblockt werden. Die Socks-Software hört als Server auf Port Eine Klientenanwendung kann, wenn sie Socks-Verbindungen unterstützt, einen Tunnel zu dem Socks-Server aufbauen und die Daten durch diesen an den Server schicken. Der Server packt das Socks-Paket aus und schickt die Anfrage unverändert weiter ins Internet und die entsprechende Antwort wieder zurück an den Klienten.

12 KAPITEL 2. GRUNDLAGEN Bridge Ein Gerät, das ein physikalisches Netz in zwei Netze aufteilt ohne, dass hierfür IP-Teilnetze erzeugt werden müssen, nennt man Bridge. Eine Bridge arbeitet auf OSI-Schicht 2 (Ethernet) [Sysa] und lässt sich einfach in ein bestehendes Netz einfügen. Die Funktionsweise ist ähnlich der eines Switches. Die Bridge lernt sämtliche im lokalen Netz verwendeten MAC-Adressen und merkt sich, über welchen Anschluss (Schnittstelle, Port) sie den zugehörigen Rechner erreicht. Erhält die Bridge ein Paket, dessen Ziel-MAC-Adresse sie kennt, leitet sie das Paket nur an die passende Schnittstelle weiter und vermeidet damit überflüssige Übertragungen. Wenn die Bridge die Ziel-MAC- Adresse nicht kennt, sendet sie das Paket an jeden Anschluss. Der Vorteil dieser Komponente liegt darin, dass der Netzübergang nur extrem schwer zu entdecken ist, da dieser keinen Hop darstellt. Ebenso bleibt der TTL-Zähler (Time To Live) unverändert und es werden keine MAC-Adressen in den Paketen ausgetauscht. Eine Bridge ist protokolltransparent, das heißt der Inhalt der Pakete, die durch sie hindurchfließen, ist gleichgültig. Sie puffert allerdings die Pakete, bevor sie diese weitersendet. Das bedeutet, dass eine Bridge paketorientiert arbeitet, also wesentlich mehr Intelligenz besitzt als ein Repeater. Dafür ist sie jedoch in der Abarbeitung der Pakete langsamer. Eine Bridge wird häufig eingesetzt, wenn physische Netze mit Datenverkehr überschwemmt werden, aber keine Teilnetze eingesetzt werden sollen. Die Bridge hilft, das Datenaufkommen zu reduzieren, da sie nur Pakete weiterleitet, die das Ziel in einem anderen Netzsegment haben. Ein weiteres Einsatzgebiet für eine Bridge ist das Filtern des Datenverkehrs oder die Bandbreitenbegrenzung. Diese, dann auch als Firewall-Bridge bezeichnete Netzkomponente, wertet auch höhere Protokollschichten aus (IP-Adressen, Ports). Davon bemerken die beteiligten Stationen jedoch nichts, solange sie nur erlaubte Pakete versenden. 2.4 Intrusion-Detection-System Ein Intrusion-Detection-System (IDS) ist ein Werkzeug, mit dessen Hilfe man Zugriffe auf ein Computersystem oder ein Netz feststellen kann. Das heißt, es können Netzattacken gegen verwundbare Dienste, Format-String-Attacken gegen Applikationen, Anmeldeversuche und Malware (Viren, Würmer, Trojaner, Hintertüren) erkannt werden. Es gibt zwei Verfahren, wie Intrusion-Detection-Systeme Angriffe erkennen: Mustererkennung: Hierbei identifiziert das IDS Angriffe anhand bekannter Muster beziehungsweise Signaturen im Netzverkehr. Das heißt, der passierende Datenverkehr wird auf bekannte

13 KAPITEL 2. GRUNDLAGEN 12 Daten mit einer Datenbank verglichen, um so Angriffe oder verdächtige Pakete zu erkennen. Wird ein solches Paket bemerkt, erfolgt eine Meldung. Auf das Paket wird keine weitere Aktion ausgeführt und es erreicht unverändert sein Ziel. Anomalie-Erkennung: Dies ist ein selbstlernendes Verfahren. Der Datenstrom wird auf untypische Daten überprüft. Der Administrator kann hierzu Vorgaben wie Netzauslastung, Protokolle und typische Paketgrößen definieren. Die Anomalie-Erkennung kontrolliert Netzsegmente und vergleicht den Datenstrom mit den Vorgaben. Erkennt sie Anomalien (Unregelmässigkeiten), werden diese gemeldet. Unterschieden werden zwei Arten von Intrusion-Detection-Systemen: Host-basierte Intrusion-Detection Systeme (HIDS): Diese Systeme sind in der Lage, Ereignisse auf einem einzelnen Rechner auf ungewöhnliche und möglicherweise bösartige Aktionen hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden. Ein HIDS bieten die Möglichkeit, die Protokolldateien automatisch zu analysieren, häufige fehlerhafte Anmeldeversuche zu ermitteln oder wichtige Meldungen der Firewall zu erkennen. Das Überprüfen der Integrität von Systemdateien und automatisches Informieren bei Veränderungen von Dateien ist ebenfalls möglich. Netz-basierte Intrusion-Detection-Systeme (NIDS): Hierbei handelt es sich nicht um die Überwachung eines einzelnen Systems, sondern um ein ganzes Netzsegment. Die Systeme sind in der Lage, den Netzverkehr auf ungewöhnliche und möglicherweise bösartige Inhalte hin zu untersuchen. Hierbei können unterschiedliche Aspekte betrachtet werden, zum Beispiel, ob die IP-Köpfe RFCkonforme Werte enthalten oder ob im Datenteil der Pakete verdächtige Zeichenketten vorkommen. 2.5 Rootkit Nachdem ein Angreifer ein System kompromittiert hat, wird er versuchen, seine Spuren zu verwischen, damit man nicht zurückverfolgen kann, wie er einbrechen konnte beziehungsweise ob er eingebrochen ist. Gleichzeitig wird er versuchen, eine Hintertür einzurichten, um sich immer wieder unbemerkt auf dem System anzumelden. Vielleicht möchte er auch Werkzeuge installieren, die es ihm ermöglichen, Aktivitäten auf dem System zu verfolgen, oder die ihn zum Mitlesen anderer Anmeldevorgänge befähigen.

14 KAPITEL 2. GRUNDLAGEN 13 Damit der Angreifer dies alles umsetzten kann, muss er viele Modifikationen auf dem eingebrochenen Rechner vornehmen. Dies kann sehr aufwendig sein und beinhaltet eventuell auch das Übersetzen von Quelltext. Um diese Vorgänge zu beschleunigen und zu automatisieren, werden sogenannte Rootkits eingesetzt. Es kann sich dabei um eine Ansammlung von Shell-Skripten, Quelltext, vorkompilierte Binärdateien und Kernelmodule handeln, die die Einzelaktionen automatisieren. Ein Rootkit ersetzt Programme des Zielsystems wie beispielsweise ls, df, ps, sshd und netstat auf UNIX Systemen. Ebenso werden möglicherweise auch andere Programme durch eigene ausgetauscht, die dafür konzipiert sind, den Administratoren unzuverlässige Daten zu liefern. Die Geschichte dieser Werkzeuge geht bis etwa Mitte der 90er Jahre zurück, wobei Programme zum Reinigen von Protokolldateien noch länger bekannt sind: 1989: Erste Protokolldatei-Reiniger auf kompromittierten Systemen gefunden 1994: SunOS Rootkit entdeckt 1996: erstes Linux Rootkit öffentlich bekannt 1997: LKM (loadable kernel module) Trojaner im Phrack Magazine vorgestellt 1998: Nicht-LKM Kernel Modifikationen von Silvio Cesare vorgestellt 1999: Adore LKM Kit von TESO veröffentlicht 2000: T0rnkit v8 libproc Library Trojaner veröffentlicht 2001: KIS Trojaner und SucKit-Kit veröffentlicht 2002: Hintergrundsniffer in Rootkits eingesetzt Quelle: An Overview of Unix Rootkits [Chu] Unterschieden werden bis heute im Wesentlichen drei Arten von Rootkits: Binary-Rootkits Die ersten bekannt gewordenen Rootkits sind so genannte Binary-Rootkits. Hierbei werden Programme des Systems durch Trojaner ausgetauscht, die die Anwesenheit des Angreifers entlarven können. In der Regel besteht ein solches Rootkit aus einem Archiv, das unter anderem ein Shell-Skript beinhaltet. Dieses Skript kopiert die Dateien an die richtigen Stellen im Dateisystem. Typische Dateien, die ausgetauscht werden, sind ls, netstat, ps, login, lsof, pstree, und so weiter. Dies sind Systemwerkzeuge, die verwendet werden können, um Prozesse des Hackers zu erkennen. Die eingesetzten Trojaner verhalten sich wie die ursprünglichen

15 KAPITEL 2. GRUNDLAGEN 14 Programme, zeigen aber verdächtige Aktivitäten des Angreifers nicht an. Aktivitäten können zusätzlich installierte Dienste wie SSH-Daemon, Sniffer, Hintertüren oder auch von dem Angreifer initiierte Verbindungen zum Beispiel zu IRC-Servern sein Kernel-Rootkits Kernelmodule sind Programmabschnitte, die vom laufenden Kernel geladen und entladen werden werden können. Ein Kernelmodul stellt bei Bedarf zusätzliche Funktionalität für den Kernel bereit und wird, um Speicher zu sparen, durch den Kernel entladen, wenn die zusätzliche Funktionalität nicht mehr benötigt wird. So kann beispielsweise die Unterstützung für ein nicht natives Dateisystem oder ein Gerät durch Laden eines Kernelmoduls implementiert werden. Kernelmodule können aber auch zu unlauteren Zweck eingesetzt werden. Kernel-Rootkits nutzen diese Fähigkeit des Kernel und bieten nach dem Laden des Moduls die Möglichkeit, den Angreifer zu tarnen, sodass er sein Unwesen auf dem Zielrechner treiben kann. Das Kernelmodul funktioniert jedoch anders als ein Binary-Rootkit. Die Programme des Rootkits fungieren als Filter, um alle verdächtigen Daten von den Administratoren fernzuhalten. Das Kernelmodul läuft auf einer viel tieferen Ebene, greift Datenanforderungen auf der Systemebene ab und filtert alle Daten heraus, die für den Administrator auf die Anwesenheit des Hackers hindeuten könnten. So kann der Angreifer ein System kompromittieren und eine Hintertür einschleusen, ohne Systemeigenschaften ändern zu müssen, was zur Enttarnung führen könnte. Vorraussetzung zum Laden eines solchen Moduls ist jedoch, dass diese Fähigkeit in den Kernel einkompiliert wurde Library-Rootkits Hierbei handelt es sich um Rootkits, die prinzipiell eine ähnliche Technik wie Kernel- Rootkits verwenden. Das heißt, sie verstecken ebenfalls bestimmte Prozesse, die den Angreifer entlarven könnten. Der Unterschied liegt jedoch darin, dass die Modifikation nicht im Kernelbereich vorgenommen wird, sondern im Userspace. Diese Rootkits können daher auch als Userspace- Equivalent von Kernel-Rootkits gesehen werden. Library-Rootkits tauschen die Standard-System-Library, die die Prozessdaten für Werkzeuge wie ps, top und ähnliche aus dem Kernel-Bereich in den Userspace weiterleiten, gegen eine modifizierte Version aus. Dadurch ist es möglich, nach bestimmten Prozessen zu parsen und diese auszufiltern. Diese Modifikation wirkt sich nur auf Anwendungen aus, die nicht statisch gelinkt sind, was aber bei den meisten Linux-Systemen standardmässig der Fall ist.

16 KAPITEL 2. GRUNDLAGEN Phishing Phishing ist eine sehr neue Angriffsmethode. Hierbei handelt es sich um einen Trickbetrug, der mit Methoden des Social Engineerings durchgeführt wird. Der Angreifer versucht dabei, mit Hilfe von gefälschten s oder anderen Tricks einen Nutzer dazu zu bringen, eine gefälschte Webseite zu besuchen, um dort persönliche Informationen wie Passwörter, Kreditkartennummern, Bankdaten oder ähnliches einzugeben. Die Bezeichnung Phishing leitet sich vom Fischen nach persönlichen Daten ab. Die Ersetzung von F durch Ph ist dabei eine im Insider-Jargon (Leetspeak) häufig verwendete Verfremdung. Ebenso könnte der Ausdruck auch auf password harvesting fishing zurückführbar sein. Die s erwecken den Eindruck, dass sie von einer vertrauenswürdigen Stelle stammen und sind meist seriös dargestellt. Der Empfänger erhält zum Beispiel eine , bei der er seine Bank für den Absender hält. In Wirklichkeit steckt aber hinter dem Versand der ein Datendieb. Der Empfänger wird in dieser gebeten, seine Bankzugangsdaten zu überprüfen und soll diese zu diesem Zweck noch einmal in ein Webformular eintippen. Absender und die Zielseiten haben meistens gefälschte Namen oder Bezeichnungen, die ähnlich klingen wie die offiziellen Seiten oder Firmen, auf die Bezug genommen wird. Die Zielseiten mit dem Webformular haben das gleiche Aussehen wie die Originalseiten sie sind also nur sehr schwer als Fälschungen zu identifizieren. Phishing verbreitet sich derzeit zunehmend, wie eine Analyse der Anti-Phishing Working Group [Groa] belegt. Abbildung 2.3 zeigt den Trend von aktiven Phishing-Seiten. Abbildung 2.3: Pro Woche aktiv gemeldete Phishing Seiten. Zeitraum: August - November 2004

17 KAPITEL 2. GRUNDLAGEN 16 Folgende Statistik ist in der Analyse veröffentlicht: Anzahl der gemeldeten Phishing-Seiten im November: 1518 Durchschnittliche Wachstumsrate von Phishing-Seiten in der Zeit von Juli bis November: 28% Anzahl der von Phishing betroffenen unterschiedlichen Organisationen: 51 Anzahl der unterschiedlichen Top 80% von betroffenen Organisationen: 6 Land, welches die meisten Phishing-Seiten hostet: USA Ähnlich aussehende URL der Ziel-Organisation: 22,1% Keine Hostnamen-Auflösung, nur IP-Adresse: 67% Prozentualer Anteil der Seiten, welche nicht auf Port 80 laufen: 19.2% Durchschnittliche Online-Zeit der Phishing-Seiten: 6,2 Tage Längste Online-Zeit einer Phishing-Seite: 31 Tage 2.7 Buffer-Overflow Buffer-Overflows stellen eine der größten Quellen von Schwachstellen der heutigen Zeit dar. Ein Großteil der möglichen Remote-Angriffe geht auf Buffer-Overflows zurück. Wenn er richtig ausgeführt wird, gibt ein Buffer-Overflow dem Angreifer die Möglichkeit, beliebigen Code auf dem Zielsystem auszuführen - und dies mit den Berechtigungen des Prozesses, der angegriffen wurde. Diese Technik wird oft genutzt, um eine Remote-Shell auf dem Zielsystem zu öffnen. Für einen Buffer-Overflow ist letztendlich immer der Programmierer der Anwendung oder des Systems verantwortlich. Jedes Programm legt zur Laufzeit lokale Variablen, Übergabeparameter für Funktionen sowie Rücksprungadressen für Unterprogramme im Arbeitsspeicher ab. Dieser spezielle Bereich wird als Stack bezeichnet und ist durch das Betriebssystem nicht vor ungewollten Änderungen geschützt. Schreibt ein Programm bespielsweise eine zu lange Zeichenkette in eine lokale Puffervariable, überschreibt es dabei die darauf folgenden Variablen und unter Umständen auch die Rücksprungadresse - es kommt zu einem Buffer-Overflow. Die Programmiersprache C bietet zum Beispiel Funktionen wie strcpy() für das Kopieren eines Strings. Diese Funktion überprüft dabei aber nicht, ob der Speicherbereich an der Zieladresse groß genug für die Daten ist. Ist dieser Puffer zu klein, überschreibt die Kopierfunktion die folgenden Datenfelder.

18 KAPITEL 2. GRUNDLAGEN 17 In den meisten Fällen führt ein Buffer-Overflow zum Absturz des betroffenen Programms. Entweder, weil Variablen mit unsinnigen Werten überschrieben wurden, sodass das Programm nicht wie erwartet funktioniert, oder weil die Rücksprungadresse nicht mehr stimmt. Wird an deren Stelle ein zufälliger Wert geschrieben, springt das Programm nach dem Beenden der Funktion an eine zufällige Speicheradresse und meldet einen Speicherzugriffsfehler. Viel schlimmer ist es jedoch, wenn diese Rücksprungadresse auf speziell präparierte Speicherbereiche verweist, die sinnvollen Code enthalten. Gelingt es einem Angreifer, eigene Anweisungen auf dem Stack abzulegen, kann er durch gezielte Manipulation der Rücksprungadresse dafür sorgen, dass dieser angesprungen und ausgeführt wird. Er hat einen Exploit entwickelt. 2.8 Internet Relay Chat Das Internet Relay Chat (IRC) ist ein Computerprogramm, das es ermöglicht, via Internet mit tausenden von Menschen zu sprechen. Diese Kommunikation findet in Textzeilen auf dem Computerbildschirm statt. Im IRC ist man unter seinem Spitznamen bekannt, und alles, was man sagt und macht, erscheint unter diesem Namen. Diesen Spitznamen kann man selbst frei wählen, nur darf er nicht länger als 9 Zeichen sein und es darf zur gleichen Zeit keine andere Person mit gleichem Namen im IRC geben. Damit nicht alle Benutzer durcheinander reden, ist das IRC in Kanäle unterteilt. Diese Kanäle sind so etwas wie virtuelle Orte, an denen man sich mit Freunden oder Fremden treffen und unterhalten kann. Jeder Kanal hat einen frei wählbaren Namen, der jedoch in der Regel mit einem Doppelkreuz (#) beginnen muss. Will jemand über ein bestimmtes Thema reden oder Kontakt suchen, so kann er einfach einen bestehenden Kanal betreten, oder einen neuen IRC-Kanal erzeugen. Typische Kanalnamen sind zum Beispiel: #aachen oder #linux. Neben diesen öffentlichen Kanälen gibt es auch private Kanäle. Hier kann man sich mit Freunden treffen, ohne in die breite IRC-Öffentlichkeit zu treten. Die IRC-Sprache ist Englisch: die Kanäle heissen Channels, die Spitznamen sind Nicknames und die Mitteilungen Messages. Trotzdem werden die nationalen Eigenheiten gepflegt, es gibt viele Kanäle, auf denen nur die jeweilige Landessprache gesprochen wird. IRC funktioniert nach dem Klient/Server-Prinzip. Das bedeutet, dass es auf der einen Seite einen zentralen Rechner - den Server - gibt, der einen bestimmten Dienst anbietet (in

19 KAPITEL 2. GRUNDLAGEN 18 diesem Fall IRC) und auf der anderen Seite das Programm - den sogenannten Klienten -, das diesen Dienst nutzt und dem Benutzer den Zugang ermöglicht. Der Klient vermittelt zwischen Benutzer und Server. Die wirkliche Arbeit erledigt der Server. Aus diesem Grund befindet sich der Server meist auch auf einer großen UNIX- Workstation und dem Klienten genügt ein einfacher PC. So ist es möglich, dass man mit der kleinsten Hardware einen so komplexen Dienst wie das IRC nutzen kann. Das IRC besteht aber nicht nur aus einem einzelnen Server, sondern aus einem weltweiten Netz mit sehr vielen Servern. In diesem Netz werden die gesamten Benutzerdaten und Nachrichten verwaltet und versendet. 2.9 Dateiwiederherstellung - EXT2-Dateisystem Das Second Extended Filesystem-EXT2 ist ein gutes Beispiel für ein klassisches Inode basierendes Dateisystem. Jede Datei wird durch eine besondere Struktur, ihren Inode, repräsentiert. Der Inode speichert die Metainformationen der Datei. Zusätzlich sind Datenblöcke nötig, die den Nutzinhalt aufnehmen. Verzeichnisse sind nur besondere Dateien, die ebenfalls aus einem Inode bestehen. Ihre Datenblöcke enthalten den Verzeichnisinhalt: Eine Liste aus Dateinamen und Verweisen auf dem zugehörigen Inode. Dieser Inode enthält alle Metainformationen mit Ausnahme des Dateinamens. Dazu zählen die Größe der Datei, ihr Typ, die Rechte der Besitzer und der Gruppe, der Referenzzähler und die drei Unix-Zeitstempel (ctime, atime und mtime). Im Inode stehen auch zwölf direkte Verweise auf Datenblöcke der Datei. Für größere Dateien nutzt der Inode zudem indirekte Verweise. Der erste zeigt auf einen Datenblock, der direkte Verweise auf weitere Datenblöcke enthält. Die beiden letzten Verweise zeigen auf einen doppelt-indirekten und einen dreifach-indirekten Block. (Abbildung: 2.4) Löscht das Dateisystem eine Datei, markiert es nur den Eintrag im Verzeichnis sowie den Inode als gelöscht und gibt den Inode und die Datenblöcke frei. Verweise auf die Datenblöcke und die Verbindung zwischen den Dateinamen und dem Inode bleiben üblicherweise erhalten. So ist es möglich, dass ein Werkzeug wie ils die gelöschten Inodes anzeigt und icat den Inhalt der Datei wiederherstellt. Dies gelingt aber nur, wenn das Dateisystem den Inode oder die Datenblöcke nicht bereits für andere Dateien verwendet. Der Befehl fls zeigt die Namen der gelöschten Dateien an. Die Werkzeuge ils, icat und fls sind Bestandteile des The Sleuth Kit [sle].

20 KAPITEL 2. GRUNDLAGEN 19 [Spe03] Abbildung 2.4: Inodes enthalten Metainformationen einer Datei

21 Kapitel 3 Klassifizierung von Angreifern Nicht jeder, der versucht, ein Netz oder ein Rechnersystem zu hacken, hat kriminelle Absichten. Die Motive der Angreifer können vollkommen unterschiedlich sein. In diesem Kapitel wird eine grobe Klassifizierung der Angreifer vorgenommen. Dabei sind das Fachwissen und das Motiv Kriterium der Einteilung. 3.1 Low-level-Angreifer Low-level-Angreifer werden oft auch als Script Kiddies bezeichnet. Hierbei handelt es sich um jemanden, der versucht, auf eine schnelle und einfache Weise Erfolge beim Kompromittieren von Netzen zu erhalten. Es ist nicht das Ziel, bestimmte Informationen zu erlangen oder in das Netz einer bestimmten Firma einzudringen, sondern vielmehr schnell und einfach root auf einem oder möglichst vielen Systemen zu werden. Das Fachwissen dieser Hacker ist meist sehr gering. Sie benutzen in der Regel fertige Werkzeuge, die einfach zu starten sind und das Zielsystem oft selbständig finden und kompromittieren. Dieser Typ von Angreifer ist sicher häufiger zu finden, zumal es viele fertige Hacker- Werkzeuge im Internet gibt, die man nur kopieren und ausführen muss. Die zufällige Auswahl der Ziele ist es, die das Script Kiddie so gefährlich machen. Die Daten auf dem einzelnen Rechner mögen uninteressant sein, aber früher oder später wird auch der langweilige Rechner von nebenan gescannt und auf Schwachstellen überprüft. Ist ein Angreifer erst einmal auf einem System, muss er gar nicht Daten ausspionieren oder löschen. Vielleicht greift er weitere Systeme von diesem Rechner aus an. Die Kette der gehackten Plattformen wird länger und ein Zurückverfolgen immer schwieriger.

22 KAPITEL 3. KLASSIFIZIERUNG VON ANGREIFERN High-level-Angreifer Im Gegensatz zu einem Low-level-Angreifer besitzt der High-level Angreifer tiefgehendes Wissen über Rechner- und Netztechnik. Er ist in der Lage, die komplexen Strukturen der Hard- oder Software, welche er angreifen möchte, zu verstehen. Dies ermöglicht ihm nicht nur neue Sicherheitslücken zu finden, sondern auch entsprechende Software zu Programmieren, die ihm dadurch zum Beispiel einen Zugriff ermöglicht. High-level Angreifer sind nicht an zufällig gefunden Zielen interessiert, es reizen sie viel mehr die neuen technischen Herausforderungen oder speziell gesicherte Ziele. 3.3 Whitehat vs. Blackhat Der Begriff Hacker wird oft mit jemandem assoziiert, der Computer zu illegalen Zwecken einsetzt und zum Beispiel in fremde Rechner und Netze eindringt, nur um dort Schaden anzurichten. Aber ein Hacker ist viel mehr jemand, der sich sehr gut mit den Techniken auskennt, sehr gute Programmierkenntnisse besitzt, jedoch keine kriminellen Absichten verfolgt. Zutreffender, um den bösen vom guten Hacker zu unterscheiden, sind die Bezeichnungen Blackhat (Cracker) beziehungsweise Whitehat. Hierbei bezeichnet die Farbe des Hutes (Hat) die moralische Einstellung des Hackers. Ein Hacker mit schwarzem Hut (Blackhat) handelt dabei mit krimineller Energie - entweder um das Zielsystem zu beschädigen oder um Daten zu stehlen. Bei einem Hacker mit weißem Hut (Whitehat) handelt es sich um jemanden, der versucht, seine Meinung von Informationsfreiheit zu verbreiten und zu beweisen, dass es keine 100%ige Sicherheit im Internet geben kann. Ein Whitehat ist meistens ein seriöser Programmierer, der sich in seinem Bereich sehr gut auskennt (Nerd) und somit die Schwachstellen wie Buffer-Overlow oder Race Conditions kennt und weiß, wie man sie vermeiden beziehungsweise auch ausnutzen kann. Der Ursprung dieser Bezeichnung sind die klassischen Western-Filme, in denen der Held meist einen weißen und der Schurke einen schwarzen Hut trägt.

23 Kapitel 4 Ethische und rechtliche Aspekte In diesem Kapitel wird auf die ethischen und rechtlichen Aspekte eingegangen, die bei dem Betrieb eines Honeynet, insbesondere in Deutschland, beachtet werden müssen. Maximilian Dornseif schreibt dazu [MDb]: Die Verantwortlichkeit des honeynet-betreibers ist in zwei Bereichen besonders diskussionswürdig: Wie ist das honeynet in Bezug auf das gesamte Internet und wie sind insbesondere Angriffe von honeypots aus auf andere Systeme zu beurteilen? Hierbei sind ethische, straf- und zivilrechtliche Aspekte von Interesse. Wie ist es zu bewerten, dass die blackhats ohne ihr Wissen zum Teil eines Experimentes gemacht werden? Hierbei kommen insbesondere datenschutzrechtliche Aspekte zum Tragen. 4.1 Ethische Aspekte Durch die Installation eines mit dem Internet verbundenen honeynet wurden dem Internet Systeme hinzugefügt, die wider besseren Wissens nicht dem Stand der Sicherheitstechnik entsprechen. Man kann argumentieren, dass dadurch grundsätzlich die Gesamtsicherheit des Internets verringert wurde. Für den honeynet-betreiber würde dies bedeuten, dass er eine besondere Verantwortung gegenüber Personen übernimmt, deren System durch blackhats von dem honeynet aus angegriffen werden. Betrachtet man jedoch das aktuelle Sicherheitsniveau von Systemen im Internet, scheint dieses dermaßen niedrig zu sein, dass die honeypot-systeme möglicherwiese sogar über dem durchschnittlichen Sicherheitsniveau liegen und somit die Gesamtsicherheit des Internet verbessern.

24 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 23 Bedenkt man weiterhin, dass (1) die Systeme des honeynet mit ihrer mangelnden Sicherheit die Population potentieller Opfer im Internet vergrößern und damit das Risiko des einzelnen verringert, Opfer einer Attacke zu werden, und (2) gleichzeitig auch durch die strenge Kontrolle des ausgehenden Verkehrs der Anteil an Rechnern verringert wird, die ohne weiteres als Plattform für weitere Angriffe genutzt werden können, kann durchaus davon ausgegangen werden, dass das honeynet allein durch seine Existenz das Risiko Dritter, zum Opfer eines Angriffs aus dem Internet zu werden, leicht verringert. Weiterhin besteht die berechtigte Hoffnung, dass die mit dem honeynet gesammelten Ergebnisse mittelfristig zur Steigerung der Gesamtsicherheit des Internet beitragen. Ethisch scheint daher der Betrieb eines honeynet gegenüber der Gesellschaft vertretbar zu sein. 4.2 Strafrechtliche Aspekte Rechtlich könnte eine straf- oder zivilrechtliche Haftung bestehen, wenn das honeynet Teil eines Angriffs gegen Dritte ist. Strafrechtlich könnte der Betrieb eines honeynet gemäß 27 StGB Beihilfe zu Straftaten sein, die von einem blackhat über das honeynet verübt werden. Beihilfe kann jedoch nur durch eine vorsätzliche Hilfeleistung erfolgen. Dies ist nicht gegeben. Stattdessen wird versucht, mittels Snort_inline und iptables Beeinträchtigungen anderer Systeme von dem honeynet aus zu verhindern. Weiterhin ist der Betrieb eines Rechners mit dem Sicherheitsniveau der Honeypots völlig sozialadäquat, d.h. er lädt nicht etwa blackhats zum Missbrauch ein. Der Sicherheitsstandard der Systeme liegt sogar über dem vieler anderer am Internet angeschlossener Systeme. Strafrechtlich ist der Betrieb des honeynet daher unbedenklich. 4.3 Zivilrechtliche Aspekte Eine zivilrechtliche Haftung für durch den Angreifer vom honeynet aus gegenüber anderen verursachten Schäden käme primär aus 821 I BGB in Betracht. Dafür müsste aber ein von dem blackhat verursachter Schaden den Betreibern des honeynet zurechenbar sein. Da die Betreiber des honeynet jedoch nicht aktiv andere Rechner schädigen, kommt nur eine Haftung aus dem Unterlassen der

25 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 24 Absicherung des honeynet in Betracht. Dazu müsste der Betreiber insbesondere eine Garantenstellung innehaben, die ihn verpflichtet, Gefahren aus dem honeynet einzuschränken. Diese könnte sich aus einer Verkehrssicherungspflicht ergeben. Die allgemeine Verkehrssicherungspflicht besagt, dass jedermann, der in seinem Verantwortungsbereich Gefahren schafft oder andauern lässt, die notwendigen Vorkehrungen treffen muss, die im Rahmen des wirtschaftlich zumutbaren geeignet sind, Gefahren von Dritten abzuwenden. Welche Maßnahmen notwendig und zumutbar sind, ist eine Wertungsfrage. Bisher scheint es die Gesellschaft inklusive der Rechtssprechung abzulehnen, Betreiber von mit dem Internet verbundenen Systemen für Schäden zur Verantwortung zu ziehen, die durch die Unsicherheit dieser Systeme entstanden sind. Daher ist davon auszugehen, dass es als nicht notwendig oder als nicht zumutbar angesehen wird, mit dem Internet verbundene Systeme abzusichern oder zu überwachen. Das honeynet wird jedoch umfangreich überwacht. Insbesondere wird besonderer Aufwand betrieben, um Schaden von Dritten abzuwenden. Damit hat der Betreiber des honeynet, selbst wenn man eine Verkehrssicherungspflicht für mit dem Internet verbundene System annähme, diese erfüllt. 4.4 Datenschutzrechtliche Aspekte Bei der Frage, wie der Betrieb des honeynet gegenüber den eindringenden blackhats zu bewerten ist, ist vor allem fraglich, in wieweit ein angreifender blackhat nicht unwissend zum Teil eines Experiments gemacht wird. Der blackhat- Community ist durchaus bewusst, dass zum einen honeynets existieren und dass zum anderen Systemadministratoren soweit sich entsprechende Gelegenheiten bieten, alle Schritte von blackhats aufzeichnen und umfangreiche forensische Untersuchungen durchführen. Deshalb kann davon ausgegangen werden, dass blackhats billigend in Kauf nehmen, dass ihr Handeln aufgezeichnet und untersucht wird. Auch rechtlich bestehen aus dieser Hinsicht keine Bedenken. Insbesondere ist nicht davon auszugehen, dass das honeynet mit personenbezogenen Daten in Kontakt kommt. Somit ist der Betrieb aus datenschutzrechtlicher Sicht unbedenklich. Die in den vorigen Abschnitten beschriebenen Aspekte können auf das in dieser Diplomarbeit errichtete Honeynet angewendet werden. Um keine vorsätzliche Hilfeleistung zu

26 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE 25 begehen, sind in diesem Honeynet anstelle der iptables-paketfilter die in dem eingesetzten FreeBSD-Betriebssystem implementierten ipfw-filter verwendet worden. snort_inline wurde nicht benutzt, jedoch sind die Anzahl der gleichzeitigen und der maximalen Verbindungen pro Tag limitiert worden. Des weiteren wurde nach dem Versenden der Phishing-Mails und der Installation der Ebay-Phishing-Webseiten die Staatsanwaltschaft Köln informiert um einer gegenbenenfalls notwendigen Anzeigepflicht nachzukommen. Abbildung 4.1 zeigt das Schreiben der Staatsanwaltschaft Köln.

27 KAPITEL 4. ETHISCHE UND RECHTLICHE ASPEKTE Abbildung 4.1: Schreiben der Staatsanwaltschaft Köln 26

28 Kapitel 5 Klassifizierung von Honeypots In diesem Kapitel wird auf die unterschiedlichen Einteilungen von Honeypots eingegangen, wobei das Konzept der Systeme identisch ist. Lance Spitzner formulierte dies wie folgt [Spi02]: Simply put, honeypots are systems designed to be compromised by an attacker. Once compromised, they can be used for a variety of purposes, such as an alerting mechanism or deception. Es handelt sich um Systeme, die expliziert dafür konzipiert sind, dass sie von einem Angreifer kompromittiert werden. Dieses Eindringen kann für verschiedene Dinge verwendet werden. So ist es möglich, aus diesen Angriffen zu lernen. Man kann durch gezielte Überwachungsverfahren die Vorgehensweise analysieren und daraus erkennen, wie ein Einbruch möglich war. Dies ist in besonderem Maße interessant, wenn es sich um neue Techniken handelt. Ein Weiterentwickeln der Schutzmechanismen insbesondere bei Produktivsystemen ist somit zu aktuellen Angriffsmethoden fast zeitnah möglich. Honeypots können auch zum Täuschen verwendet werden. Hierbei werden leicht verwundbare Produktivsysteme durch Software vorgespielt. Überprüft ein Angreifer zum Beispiel ein Firmennetz, wird er sich vermutlich auf die schlecht geschützten Systeme, die virtuellen Honeypots, konzentrieren. 5.1 Low Interaction Honeypots Bei sogenannten Low Interaction Honeypots handelt es sich um Systeme, die Netzdienste mit Hilfe von Software simulieren und somit das Vorhandensein einer aktiven Komponente vortäuschen. Die Funktionalität solcher Honeypots ist beschränkt. Der Nutzen ist meist darauf limitiert,

29 KAPITEL 5. KLASSIFIZIERUNG VON HONEYPOTS 28 Informationen zu generellen Netzanalysen zu sammeln. Die Installation und Konfiguration von solchen Systemen ist einfach. Es lassen sich leicht große Netzbereiche administrieren. Ebenso ist das Risiko für diesen Typ Honeypot äußerst gering, da zum einen Konfigurationsfehler kaum Auswirkungen haben und zum anderen dem Angreifer geringe Möglichkeiten eines realen Angriffs geboten werden. Dennoch ist es ratsam, den auch virtuellen Honeypot genannten Dienst in einer explizit gesicherten Umgebung wie einem Jail oder Chroot auszuführen. Das Erkennen einer solchen virtuellen Falle ist auf Grund des beschränkten Aktionsgrades sehr einfach. Ein Angreifer könnte daher versuchen, die Simulationssoftware durch gegebenenfalls vorhandene Softwareschwächen auszunutzen, um an das Host-System, von dem aus die Honeypot-Software gestartet wurde, zu gelangen. Ein bekannter Vertreter für virtuelle Honeypots ist das von Niels Provos unter der GNU General Public License enwickelte Honeyd-Werkzeug [Prob]. Mit Hilfe dieser Software wird unter anderem auch Forschung im Bereich Spam- und Wurm-Attacken aus dem Internet betrieben. Abbildung 5.1 zeigt exemplarisch ein Honeyd-Spam-Forschungsnetz. Abbildung 5.1: Honeyd-Spam-Forschungsnetz [Prob]