Lure Box – Using Honeytokens for Detecting Cyberattacks

Master Studiengang Information Security

Dipl.-Ing. Christoph Malin, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Bei einer Cyberattacke auf das Karrierenetzwerk LinkedIn im Jahr 2012 wurden mehr als 100 Millionen Konten gestohlen, wobei anfangs noch die Rede von 6,5 Millionen betroffenen Benutzerinnen und Benutzern war. Erst vier Jahre später, im Jahr 2016, fand man heraus, dass Daten in viel größerem Umfang entwendet worden waren. Auch bei der US-Geheimdienstbehörde NSA verging einige Zeit, bis festgestellt wurde, dass der Insider Edward Snowden zwischen 50.000 und 200.000 geheime Dokumente entwendet hatte. Diese beiden Vorfälle zeigen, dass große IT-Unternehmen wie LinkedIn, aber auch vermeintlich allmächtige Geheimdienstbehörden wie die National Security Agency, keine vollständige Kontrolle darüber haben, wer wann unerlaubt auf gewisse Daten zugreift. Eine Studie der Firma Garner geht davon aus, dass Unternehmen im Jahr 2016 weltweit 86,1 Milliarden US-Dollar für Informationssicherheit ausgegeben haben. Während also viel Geld in teure Software und Beratung gesteckt wird, werden die sehr günstigen und effizienten Honeytokens nur selten verwendet. Diese sind digitale oder analoge Köder: Jeglicher Zugriff darauf bzw. jede Verwendung eines dieser Köder wird überwacht und stellt eine verdächtige bzw. verbotene Aktivität dar. So könnte ein Honeytoken beispielsweise ein LinkedIn-Account sein oder ein vermeintlich geheimes Dokument der NSA. Greift jemand darauf zu, kann Alarm geschlagen werden.

Ziel

Das Ziel dieser Arbeit ist es, mehr über Honeytokens und deren mögliche Einsatzzwecke in verschiedenen Systemen herauszufinden. In einem umfassenden Szenario soll die Platzierung und Verwendung von Honeytokens in unterschiedlichen Datenbanksystemen evaluiert werden. Mit einem eigens erstellten System, der Lure Box, sollen Zugriffe auf Honeytokens überwacht werden können und im Anlassfall ein Alarm generiert werden.

Ergebnis

Das Szenario konnte erfolgreich mit vier verschiedenen Datenbanksystemen umgesetzt werden. Greifen AngreiferInnen auf die Honeytokens in den Datenbanken zu, so generieren diese Logdaten, die von der Lure Box verarbeitet werden; bereits zwei Minuten später wird eine E-Mail-Alarmierung versendet. Zusammen mit der Lure Box konnte auch eine umfassende Dokumentation erstellt werden, wie die einzelnen Komponenten installiert und konfiguriert werden müssen. Diese erlaubt interessierten Personen, Honeytokens in verhältnismäßig kurzer Zeit in verschiedenen Systemen zu platzieren und mit Hilfe der Lure Box zu überwachen.