Fakultät Medien

Kreativität, kritisches Denken und gesellschaftliche Verantwortung - das ist die Fakultät Medien!
 

Entwicklung eines SSH IoT Honeypots

|

Hackerangriffe sind hier erwünscht! Im Einsatz zur Analyse von Angreifern werden Honeypots, verwundbare Server gefüllt mit scheinbar wertvollen Daten, zur Täuschung ausgelegt.

Aufgrund ihrer schnell wachsenden Verbreitung und unzählbaren bekannten wie auch unbekannten Schwachstellen, werden Geräten des Internet of Things (IoT) immer häufiger zum Angriffsziel für Hacker. Um deren Angriffsmethoden und Werkzeuge zu studieren werden sog. Honeypots ausgelegt. Diese Honeypots sind absichtlich verwundbare Systeme die gezielt Angreifer anlocken sollen um diese bei ihrem Angriff zu beobachten.
 
Secure Shell (SSH) ist eines der wichtigsten Netzwerkprotokolle im Bereich des Internet of Things. Es ermöglicht eine verschlüsselte Verbindung zu einem Gerät herzustellen und Daten auszutauschen, aber insbesondere auch Fernwartungen und Konfigurationen durchzuführen. Dazu wird lokal eine entfernte Kommandozeile zur Verfügung gestellt welche Tastatureingaben am eigenen Rechner an den entfernten Rechner (z.B. ein IoT Gerät) überträgt. Die Standardeinstellungen bei vielen IoT Geräten sind dabei jedoch häufig von Sicherheitslücken oder Konfigurationsmängel betroffen. Angreifer nutzen diese aus, um sich auf dem Gerät einzuloggen und dieses unter ihre Kontrolle zu bringen.
 
In dieser Projektarbeit wurde ein High-Interaction SSH IoT Honeypot entworfen und entwickelt um diese Angriffe beobachten zu können. Dabei wurde insbesondere Wert auf die Tarnung als scheinbar echtes System sowie Skalierbarkeit für mehrere unterschiedliche Angreifer gelegt.

Um möglichst lange Einblick in einen Angriff erhalten zu können muss der Zeitpunkt ab welchem der Angreifer erkennt, dass er sich in einem Honeypot befindet, lange verzögert oder idealerweise ganz verhindert werden. Dies wäre zum Beispiel auf einem echten IoT System gegeben. Da der Betreiber eines Honeypots jedoch keinen Wert auf kompromittierte Geräte im eigenen Netzwerk legt entfällt diese Möglichkeit für dieses Projekt. Als Alternative wurde zu einer Virtualisierung mittels Quick Emulator (QEMU) gegriffen. Um das Verhalten des virtuellen Geräts und dessen Interna möglichst detailgetreu nachbilden zu können, wurde das Dateisystems eines häufig verkauften Routers extrahiert sowie ein realistischer Kernel für dessen Betrieb gewählt.
 
Die Entscheidung für eine Virtualisierung bringt noch weitere Vorteile. Dies betrifft insbesondere die Skalierung des Honeypots auf mehrere Instanzen, ermöglicht eine einfachere Überwachung des Angreifers und gewährt eine direkte Kontrolle über die virtuellen Maschinen für den Betreiber des Honeypots. Des Weiteren ist es dadurch möglich, weitere verschiedene Systeme zu simulieren um die Bandbreite an für einen Angreifer interessanten Zielen zu erhöhen.

Der in diesem Projekt entwickelte SSH Honeypot ermöglicht es somit Angriffe von einem oder mehreren Angreifern zu überwachen und deren Aktivitäten aufzuzeichnen. Dabei können unter anderem sämtliche ausgeführten Befehle, heruntergeladenen oder erstellten Dateien und eine Vielzahl an weiteren Metainformationen erfasst werden.

 

Projektteam:
Noel Kuntze, Inko Lorch, Maria Markstädter

Projektbetreuung:
Prof. Dr. Dirk Westhoff