Mobile Honeypot. Theodor Nolte. Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik

Transkript

1 1 / 15 Theodor Nolte Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik 26. November 2010

2 2 / 15 Gliederung 1 SKIMS 2 Honeypot

3 3 / 15 SKIMS SKIMS Schichtenübergreifendes kooperatives Immunsystem für mobile, mehrseitige Sicherheit

4 4 / 15 SKIMS Angriffe erkennen abwehren SKIMS

5 5 / 15 Gliederung Honeypot 1 SKIMS 2 Honeypot

6 Honeypot Network Intrusion Detection System (NIDS) Traffic in Produktivsystemen beobachten Alarm bei verdächtigen Paketen Problem: Good versus Bad Traffic 6 / 15

7 Honeypot Network Intrusion Detection System (NIDS) Traffic in Produktivsystemen beobachten Alarm bei verdächtigen Paketen Problem: Good versus Bad Traffic False Positives keine Chance bei verschlüsseltem Traffic bisher unbekannte Angriffsweisen schwer zu erkennen Wie genau läuft ein Angriff ab? university-logo 6 / 15

8 7 / 15 Honeypot Honeypot Jeder Zugriff ist verdächtig Untersuchen des Angriffs am Endpunkt Gefahren:

9 Honeypot Honeypot Jeder Zugriff ist verdächtig Untersuchen des Angriffs am Endpunkt Gefahren: Sprungbrett für weitere Angriffe Angreifer liefert Fehlinformationen university-logo 7 / 15

10 High Interaction Honeypot Honeypot Echtes System (auch virtualisiert möglich) Hauptzweck: manuelle Angriffe analysieren aufwendig kann entdeckt und erobert werden Server-Honeypots: Sebek, Argos (basiert auf Qemu) Client-Honeypots: Capture-HPC 8 / 15

11 Low Interaction Honeypot Honeypot Funktionalität nachgebildet Hauptzweck: automatisierte Angriffe aufdecken weniger aufwendig Informationsgewinn auf Simulation beschränkt Server-Honeypots: honeyd, honeytrap Client-Honeypots: phoneyc Mehrere Honeypots -> Honeynet (Honeypots als Sensoren) 9 / 15

12 10 / 15 Mobiles Endgerät

13 10 / 15 Mobiles Endgerät Angriffe über Wireless Interfaces Übertragungsmedium ungeschützt räumlich begrenzt

14 10 / 15 Mobiles Endgerät Angriffe über Wireless Interfaces Übertragungsmedium ungeschützt räumlich begrenzt Angriffsziele Angriffe auf Nutzerdaten Angriffe sollen Kosten verursachen ( ) university-logo

15 Mobiles Endgerät Angriffe über Wireless Interfaces Übertragungsmedium ungeschützt räumlich begrenzt Angriffsziele Angriffe auf Nutzerdaten Angriffe sollen Kosten verursachen ( ) Hardware-Ressourcen stark beschränkt university-logo 10 / 15

16 11 / 15 honeym Paper (März 2010): A Framework for Implementing Virtual Honeyclients for Mobile Devices Rechner simuliert mehrere Mobilgeräte (z.b. IPhones) simuliert WLAN, Bluetooth und GPS WLAN Bluetooth GPS CMDA und 3G Fingerprinting

17 Realisierungsmöglichkeiten Low Interaction Honeypot High Interaction Honeypot Kompromiss 12 / 15

18 Low und High Interaction Honeypot Low Interaction Honeypot leistungsfähiger Rechner simuliert mobile Geräte (z.b. honeym) Mobiles Gerät simuliert weiteres mobiles Gerät High Interaction Honeypot Mobiles Gerät wird ausschließlich als Honeypot verwendet 13 / 15

19 14 / 15 Kompromiss Solange ein Interface nicht genutzt wird, steht es dem Honeypot zur Verfügung Mobiles Gerät als Proxy: Eigentlicher Honeypot als Server Teilen der Rechenlast des Honeypots in einem Overlay

20 university-logo 15 / 15 Vielen Dank für Eure Aufmerksamkeit