Digitale honningkrukker samler hackere som fluer

I atten måneder har Honeynet Project lagt ut og overvåket forskjellige typer hackerfeller på nettet. Erfaringene deres er mildt sagt tankevekkende.

HoneyNet Project ble startet av Lance Spitzner, tidligere tankfører i US Army, i dag sikkerhetskonsulent hos Sun. Det består av 29 sikkerhetseksperter og en Stanford-utdannet psykolog, Max Kilger. Psykologens oppgave er å analysere hackerspor på jakt etter ny viten om hackeres verdisystemer.

Honeynet oppretter tilsynelatende uskyldige nettsteder, og gir dem et innhold som er egnet til å tiltrekke hackeres oppmerksomhet. Nettstedene opereres under kurante operativsystemer, først og fremst Solaris og Linux, og er utstyrt med typiske sikkerhetsløsninger. Det eneste spesielle er et overvåkningssystem ("lightweight intrusion detection") kalt Snort, som er utviklet av prosjektmedlem og frilanssikkerhetskonsulent Martin Roesch, og som distribueres som åpen kildekode.

Alle prosjektets erfaringer kunngjøres fortløpende på nettstedet. Hackerfellene følges opp nitid. Honeynet lar gjerne snokene arbeide ufortrødent en måneds tid. Alle deres tastetrykk og etterlatenskaper analyseres nøye. Det eneste gruppen sørger for mens et angrep pågår, er at fellen ikke brukes som utgangspunkt for videre spredning av ondsinnet kode.

I juni avslørte Honeynet en pakistansk hackergruppe som prøvde å bruke fellen som base for et storstilt angrep mot nettsteder i India. Informasjon om hvordan denne gruppen gikk fram for å velge sine mål, hva slags kompetanse den besitter, hva slags metoder og verktøy de brukte, og hvordan de prøvde å dekke over sine spor - alt dette er åpent tilgjengelig gjennom en hvitbok som kan lastes ned fra Honeynet.

Mange av de angrepene som Honeynet er utsatt for og analyserer, kommer fra såkalte "script kiddies". Dette er snoker bevæpnet med spesielle verktøy som spres på Internett. Prosjektet har oppsummert disse angrepene i fritt tilgjengelige veiledningshefter som forteller hva du må gjøre for å sikre Linux og Solaris mot de mest kurante angrepene. Snort-verktøyet oppgraderes kontinuerlig etter hvert som Honeynet oppdager nye metoder hos snokene.

I januar vil Honeynet legge ut en felle formet som en nettbutikk. Hensikten er å finne ut mer om metodene til dem som er ute etter kredittkortopplysninger, framfor bare å gjøre et databrekk. Gruppen har også lovet å offentliggjøre en redegjørelse for hvordan man bygger og vedlikeholder en snokfelle.

Hvis du ser på deg selv som sikkerhetsekspert, kan du prøve å bryne deg på det Honeynet kaller "scan of the month". Oppgaven er å analysere spor som er fanget i ulike snokfeller.

Til toppen