Masterarbeit (Bachelorarbeit mit reduziertem Umfang)

Honeypots sind Systeme, die eigens dafür betrieben werden, von Dritten angegriffen zu werden. Dadurch ist es möglich, Angreifer von anderen Systemen abzulenken, oder aber die Aktionen, die ein Angreifer mit einem System durchführt zu protokollieren.

2016 konnte ein Angreifer mit der Malware Mirai durch Ausnutzen von Sicherheitslücken über 1 Million Geräte unter seine Kontrolle bringen. Um frühzeitig darüber informiert zu werden, welche Sicherheitslücken in IoT-Geräten ausgenutzt werden, können Honeypots betrieben werden, die diese Geräte nachbilden und ungewöhnliche Aktivitäten protokollieren.

Damit ein Honeypot von einem Angreifer nicht von einem bestimmten real existierenden IoT-Gerät zu unterscheiden ist, müssen die auf diesem Gerät angebotenen Dienste und das spezifische Antwortverhalten des Betriebssystems originalgetreu nachgebildet werden. Beispielsweise muss für einen bestimmten Gebäudecontroller ein Bacnet-Honeypot, ein HTTP-Honeypot und ein SSH-Honeypot aufgesetzt und ein Linux-Kernel mit einer bestimmten Version imitiert werden. Dieser manuelle Prozess ist sehr aufwendig und kann viel Zeit in Anspruch nehmen.

Ziel dieser Arbeit ist es, eine Software zu entwickeln, die die TCP/IP-Schnittstellen eines beliebigen Geräts untersucht (beispielsweise mit nmap) und daraufhin automatisiert einen Honeypot erstellt, der diese Dienste nachbildet.

Es sollen folgende Fragestellungen beantwortet werden:

• Kann ein Honeypot perfekt getarnt werden?
• Muss ein Honeypot perfekt getarnt sein, um Informationen über den Angreifer zu sammeln?
• Welche Eigenschaften eines Systems müssen nachgebildet werden, um einen Honeypot aus TCP/IP-Sicht wie ein real existierendes Gerät wirken zu lassen?
• Wie lassen sich einzelne Komponenten zu einem Honeypot-System verbinden?

• Betrachtung der Analysetechniken gängiger Werkzeuge wie nmap
• Betrachtung des Standes der Technik bei bestehenden Honeypot-Lösungen wie honeyd
• Auswahl von Merkmalen, die zur Nachbildung notwendig sind
• Prototypische Umsetzung
• Erprobung des Systems
• Bewertung

Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Berücksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter Umständen möglich. 

• Stevens, R. & Pohl, H. Informatik-Spektrum (2004) 27: 260. https://doi.org/10.1007/s00287-004-0404-y
• Gordon Lyon, TCP/IP Fingerprinting Methods Supported by Nmap .https://nmap.org/book/osdetect-methods.html#osdetect-probes
• T. Holz und F. Raynal. „Detecting honeypots and other suspicious environments“. In: Proceedings from the Sixth Annual IEEE Systems, Man and Cybernetics (SMC) Information Assurance Workshop, 2005. Proceedings from the Sixth Annual IEEE Systems, Man and Cybernetics (SMC) Information Assurance Workshop, 2005. (West Point, NY, USA, IEEE, 15.-17. Juni 2005, S. 29–36. ISBN: 0-7803-9290-6. DOI: 10.1109/IAW.2005.1495930
• N. Krawetz. „Anti-honeypot technology“. In: IEEE Security & Privacy Magazine 2.1 (2004), S. 76–79. issn: 1540-7993. doi: 10.1109/MSECP.2004.1264861
• Iyatiti Mokube und Michele Adams. „Honeypots: concepts, approaches, and challenges“. In: Proceedings of the 45th annual southeast regional conference. ACM. 2007,
• Niels Provos. Honeyd. 2008. http://www.honeyd.org

Johann Bauer

Grundlegende Programmierkenntnisse in einer höheren Programmiersprache werden benötigt um das Konzept prototypisch umzusetzen. Kenntnisse verbreiteter Netzwerkprotokolle sind von Vorteil.