Telekom-Frühwarnsystem zeigt Angriffe in Echtzeit
Mit Open-Source-Software und Eigenentwicklungen registriert und analysiert das Security-Team der Telekom Angriffe auf speziell dafür präparierte Honigtöpfe, die Angreifer anlocken sollen.
Die Telekom präsentiert auf der CeBIT erstmals ihren neuen Sicherheitstacho, der in Echtzeit Statistiken über aktuelle Angriffe anzeigt (Halle 4, Stand C26). Auf der Weltkarte blitzen die Attacken an dem Ort auf, dem die IP-Adresse des Angreifers zugeordnet wird. Ein echtes Indiz auf den Aufenthaltsort ist die IP des Angreifers freilich nicht. Die Daten für dem Tacho kommen von knapp 100 Honeypot-Systemen, die das Security-Team der Telekom im eigenen Netz aufgestellt hat.
Aussagekräftiger sind da schon die Angaben über die Art der Attacken: Auf der Telekom-Seite erfährt man, auf welche Art von Dienst es die Cyber-Angreifer abgesehen und welche Parameter sie benutzt haben. Besonders hoch in der Gunst der Angreifer steht offenbar das SMB-Prokokoll. Laut dem Sicherheitstacho zielten im vergangenen Monat über 27 Millionen Angriffe auf Netzwerkfreigaben. Wie sich die konkret von den rund einer Million Netbios-Angriffen auf Platz 2 der Rangliste unterscheiden, bleibt allerdings unklar. Rund eine halbe Million Angriffe gab es auf die Ports 33434, 5353 und SSH.
Bei diesen Angriffen handelt es sich in der Regel um automatisierte Attacken, etwa durch Würmer, die versuchen, sich weiter auszubreiten. Für ein System hinter einer aktiven Firewall beziehungsweise einem Router mit Firewall-Funktionen, stellen sie im Normalfall keine Gefahr dar, solange dieser keine Sicherheitslücken aufweist oder der Administrator Ausnahmeregeln eingerichtet hat.
Auf dem Honeypot-Systemen der Telekom läuft spezielle Software, die Verbindungsversuche registriert und teilweise auch verwundbare Dienste simuliert, um konkrete Angriffstechniken auszuwerten. Die Telekom hat sich dabei wohl unter anderem an den diesbezüglichen Empfehlungen der Enisa orientiert und setzt dabei vor allem auf Open-Source Projekte wie dionaea, Glastopf, kippo und Honeytrap.
Wie Markus Schmall vom Telekom-Security-Team gegenüber heise Security erklärte, kommen aber auch Eigenentwicklungen zum Einsatz. So simuliert der Servlet-Pot ähnlich wie Glastopf Schwachstellen in Web-Applikationen; MySQL-Pot hingegen simuliert einen erreichbaren Datenbank-Server und registriert alle Verbindungsversuche. Schmall sieht den Sicherheitstacho als eine Art Nachfolger des bereits in c't vorgestellten Smartphone-Honeypot-Projekts der Telekom. (rei)
