Mobile Honeypot. Theodor Nolte. Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik

Transkript

1 1 / 20 Theodor Nolte Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik 30. November 2010

2 2 / 20 Gliederung 1 SKIMS 2 Honeypot

3 3 / 20 SKIMS SKIMS Schichtenübergreifendes kooperatives Immunsystem für mobile, mehrseitige Sicherheit

4 4 / 20 SKIMS Angriffe erkennen abwehren SKIMS

5 5 / 20 Gliederung Honeypot 1 SKIMS 2 Honeypot

6 6 / 20 Honeypot Honeypot Angriffe detektieren analysieren

7 Honeypot Network Intrusion Detection System (NIDS) Traffic in Produktivsystemen beobachten Alarm bei verdächtigen Paketen Problem: Good versus Bad Traffic 7 / 20

8 Honeypot Network Intrusion Detection System (NIDS) Traffic in Produktivsystemen beobachten Alarm bei verdächtigen Paketen Problem: Good versus Bad Traffic False Positives keine Chance bei verschlüsseltem Traffic bisher unbekannte Angriffsweisen schwer zu erkennen Wie genau läuft ein Angriff ab? university-logo 7 / 20

9 8 / 20 Honeypot Honeypot Jeder Zugriff ist verdächtig Untersuchen des Angriffs am Endpunkt

10 High Interaction Honeypot Honeypot Echtes System (auch virtualisiert möglich) Hauptzweck: manuelle Angriffe analysieren aufwendig kann entdeckt und erobert werden Server-Honeypots: Sebek, Argos Client-Honeypots: Capture-HPC Gefahren: 9 / 20

11 High Interaction Honeypot Honeypot Echtes System (auch virtualisiert möglich) Hauptzweck: manuelle Angriffe analysieren aufwendig kann entdeckt und erobert werden Server-Honeypots: Sebek, Argos Client-Honeypots: Capture-HPC Gefahren: Sprungbrett für weitere Angriffe Angreifer liefert bewußt Fehlinformationen 9 / 20

12 Low Interaction Honeypot Honeypot Funktionalität nachgebildet Hauptzweck: automatisierte Angriffe aufdecken weniger aufwendig Informationsgewinn auf Simulation beschränkt Server-Honeypots: honeyd, honeytrap Client-Honeypots: phoneyc Mehrere Honeypots -> Honeynet (Honeypots als Sensoren) 10 / 20

13 11 / 20 Mobiles Endgerät

14 11 / 20 Mobiles Endgerät Angriffe über Wireless Interfaces Übertragungsmedium ungeschützt räumlich begrenzt

15 11 / 20 Mobiles Endgerät Angriffe über Wireless Interfaces Übertragungsmedium ungeschützt räumlich begrenzt Angriffsziele Angriffe auf Nutzerdaten Angriffe sollen Kosten verursachen ( ) university-logo

16 Mobiles Endgerät Angriffe über Wireless Interfaces Übertragungsmedium ungeschützt räumlich begrenzt Angriffsziele Angriffe auf Nutzerdaten Angriffe sollen Kosten verursachen ( ) Hardware-Ressourcen stark beschränkt university-logo 11 / 20

17 12 / 20 honeym Paper (März 2010): A Framework for Implementing Virtual Honeyclients for Mobile Devices Rechner simuliert mehrere Mobilgeräte (z.b. IPhones) simuliert WLAN, Bluetooth und GPS WLAN Bluetooth GPS CDMA und 3G Fingerprinting

18 Realisierungsmöglichkeiten Low Interaction Honeypot High Interaction Honeypot Kompromiss 13 / 20

19 Low und High Interaction Honeypot Low Interaction Honeypot leistungsfähiger Rechner simuliert mobile Geräte (z.b. honeym) Mobiles Gerät simuliert weiteres mobiles Gerät Mobiles Gerät simuliert nur einzelne Protokolle High Interaction Honeypot Mobiles Gerät wird ausschließlich als Honeypot verwendet 14 / 20

20 15 / 20 Kompromiss Solange ein Interface nicht genutzt wird, steht es dem Honeypot zur Verfügung Mobiles Gerät als Proxy: Eigentlicher Honeypot als Server Teilen der Rechenlast des Honeypots in einem Overlay

21 honeyd Architektur 16 / 20

22 Android Architektur 17 / 20

23 Android Build Path 18 / 20

24 19 / 20 Quellen Niels Provos und Thorsten Holz Virtual Honeypots From Botnet Tracking to Intrusion Detection Addison-Wesley Longman, Amsterdam; Auflage: 1 (16. Juli 2007) ISBN: TJ OConnor und Ben Sangster honeym: A Framework for Implementing Virtual Honeyclients for Mobile Devices WiSec 10 Proceedings of the third ACM conference on Wireless network security, März 2010

25 university-logo 20 / 20 Vielen Dank für Eure Aufmerksamkeit