OPERATIE HONINGPOT
Hackers zijn overal. Geen enkel systeem is veilig. Dit zijn de belangrijkste conclusies van het HoneyNet Project, een Amerikaans initiatief om in kaart te brengen hoe blackhat hackers (die erop uit zijn schade toe te brengen) te werk gaan.
Een van de nepsystemen die op internet werd aangesloten om hackers te lokken werd binnen een kwartier ontdekt en gehackt. Een willekeurige linuxserver wordt gemiddeld binnen 72 uur gehackt. Een gewone homecomputer met Windows 98 werd in vier dagen vijf keer gekraakt. Een gemiddeld systeem wordt 17 keer per dag gescand op lekken.
Het HoneyNet Project bestaat uit 30 onderzoekers en beveiligingsdeskundigen die een aantal werkende, normaal uitziende computersystemen (honeynets) hebben neergezet in de hoop dat ze gehackt worden. Het doel van het project is informatie te verzamelen over de werkwijzen en motieven van hackers. Vervolgd worden de hackers die in de honeynets inbreken niet.
Het project, dat al enige jaren loopt, levert interessante informatie op. Alle inbraken worden vastgelegd, en later geanalyseerd. Ook de chatsessies op IRC-kanalen over hacken worden vastgelegd. Veel onderzoeksresultaten zijn gepubliceerd in witboeken.
De IRC-sessies moeten zeer vermakelijk zijn voor de medewerkers van HoneyNet. De gevolgde hackers zijn veelal niet al te slim, en weten soms nauwelijks hoe een sniffer of een cracker werkt. Aan de andere kant is het natuurlijk beangstigend dat een stel tieners met het proberen en vragen complete systemen kunnen overnemen.
'They may not be technically competent, or even understand the tools they are using. However by focusing on a large number of systems, they can achieve dramatic results. This is not a threat to take lightly. They are not concerned about what harm they may cause. They focus only on achieving their goals', aldus het witboek 'Know Your Enemy: Motives'.
In Nederland zijn er geen vergelijkbare projecten, voor zover beveiligingsdeskundige Sten Kalenda van Megaplex bekend is. Kalenda, die op verzoek van bedrijven inbreekt op hun systemen, vindt honeyhets een goede methode om meer kennis te vergaren over hackers.
'Er zijn 2 kampen. De ene groep zegt geen fake services of nep servers bouwen, dat maakt de hacker boos en met ervaren medehackers kunnen ze veel schade toebrengen. De tweede groep zegt dat je dat wel kunt doen. Zien dat er een attack komt, die dus opgemerkt wordt voordat een echte server 'valt'. Leer ALLE trucs van de hackers kennen.'
Een goede methode om hackers op te sporen zijn honeynets niet, meent Kalenda. 'Het is niet toegestaan om de hacker uit te dagen tot misdaad.'
Job de Haas van computerbeveiligingsbedrijf ITSX krijgt wel eens verzoeken van klanten om een honeynet op te zetten. 'Ik raad dat meestal af. Al was het alleen maar omdat ze hun energie beter in de beveiliging van hun netwerk kunnen steken.'
Of het gebruik van een honeynet legaal is, hangt af van de uitgangspunten, zegt De Haas. "In de VS blijkt dat eigenlijk niet van uitlokking gesproken kan worden, omdat er geen extra aandacht op de honeypot wordt gevestigd. Hackers worden er niet naar verwezen. Vervolgens worden de gegevens niet direct gebruikt voor opsporing en vervolging.'
Een vergeten aspect is privacy, zegt De Haas. 'In feite wordt er getapt zonder dat degene daarvan op de hoogte wordt gesteld. Hierover is, denk ik, nog helemaal geen duidelijk beeld van wat er mag en niet.'
Artikelen:
Bruce Schneier: Honeypots and the Hnoneynet Project
Wall Street Journal: Hackers caught in security 'honeypot'
Computerworld: To trap a thief
