Event details

Wie man SSH-Angreifern mit Linux Honeypots nachstellt

von Andreas Bunten (Controlware GmbH), Torsten Voss (DFN-CERT Services GmbH)

Friday, 25.05.2012, Berlin II, 10:00-10:45 Uhr

Wenn man ein Linux- oder Unix-basiertes System am Internet betreibt, sieht man viele Anmeldeversuche per SSH von fremden Systemen. Setzt man versehentlich ein schwaches Root-Passwort, findet man schnell heraus, dass es sich dabei meistens um konkrete Angriffe handelt.

Bären fängt man angeblich mit Honig. Hacker kann man mit sogenannten Honeypot-Systemen anlocken, die Sicherheitslücken lediglich vortäuschen. Die Autoren verwenden verschiedene Typen Linux-basierter Honeypots, um mehr über die SSH-Angreifer herauszufinden: Welche Werkzeuge werden verwendet, wie wird vorgegangen und von wo kommen die Angreifer? Und vor allem: Was haben die Angreifer mit meinem System vor?

Der Vortrag stellt die teils überraschenden Ergebnisse des mehrjährigen Betriebs von Honeypots vor und geht auf die eingesetzten Open Source Tools für die Überwachung und den Betrieb ein. Nicht zuletzt wird aufgezeigt, wie die Angriffe frühzeitig erkannt werden können, um nicht selber zum Opfer zu werden.

Über den Autor Andreas Bunten:

Andreas Bunten ist seit 1996 im Bereich Unix-Administration und Security tätig. Er war 8 Jahre Mitglied des Emergency Response Teams des Deutschen Forschungsnetzes im DFN-CERT und hat dabei eine Vielzahl kompromittierter Systemen untersucht. Seit 3 Jahren berät er für die Controlware GmbH im Bereich IT-Sicherheit.

Über den Autor Torsten Voss:

Torsten Voss studierte technische Informatik und arbeitet seit 2006 beim DFN-CERT im Emergency Response Team des Deutschen Forschungsnetzes. Sein Schwerpunkt ist die Vorfallsbearbeitung und die Aufklärung von Kompromierungen.