Honeypots: En Digital Faldgrube

I en verden, hvor cyberangreb bliver mere sofistikerede, er det ikke længere nok kun at bygge højere mure i form af firewalls. Moderne forsvar kræver proaktivitet. Her kommer Honeypots ind i billedet – en af de mest effektive, men ofte oversete, metoder til at afsløre angribere, før de gør reel skade.

Hvad er en Honeypot?

En honeypot (honningkrukke) er et decoy-system, der er designet til at blive hacket. Det har ingen legitim værdi for virksomheden; ingen rigtige brugere skal tilgå det, og ingen rigtige data er gemt på det.

Princippet er simpelt: Enhver interaktion med en honeypot er per definition mistænkelig.

Hvorfor er de brugbare?

Honeypots tjener to vidt forskellige, men lige vigtige formål afhængigt af, hvem der bruger dem.

For Virksomheder: Det tidlige varsel

For en virksomhed fungerer en honeypot som en “snubletråd”. Hvis en angriber er kommet forbi de ydre forsvarsværker og begynder at scanne det interne netværk efter sårbarheder, vil de før eller siden ramme honeypotten.

  • Lave fejlalarmer (False Positives): Da ingen legitime brugere har ærinde på systemet, er hver eneste alarm fra en honeypot næsten med garanti et tegn på et igangværende angreb eller en fejlkonfigureret (og potentielt sårbar) enhed.
  • Distraktion: Mens angriberen bruger tid på at bryde ind i honeypotten, får IT-afdelingen værdifuld tid til at isolere truslen og blokere angriberen.

Sikkerhedsforskere bruger ofte store netværk af honeypots (Honeynets) placeret direkte på internettet.

  • Nul-dags sårbarheder: Ved at observere, hvordan angribere forsøger at bryde ind, kan forskere opdage nye angrebsmetoder, før de bliver almindeligt kendte.
  • Malware-indsamling: Mange honeypots er designet til automatisk at indfange de filer og scripts, som angribere uploader, hvilket giver materiale til analyse af ny ransomware eller botnet-kode.

Typer af Honeypots

Man skelner typisk mellem to niveauer af kompleksitet:

  1. Low-interaction Honeypots: Disse simulerer kun specifikke tjenester (f.eks. en telnet-login eller en simpel webserver). De er nemme at sætte op og kører med minimal risiko, men de afslører kun begrænset information om angriberens handlinger.
  2. High-interaction Honeypots: Dette er rigtige operativsystemer med rigtige applikationer. De er langt mere overbevisende for en erfaren hacker og giver mulighed for at se præcis, hvad angriberen gør efter et breach. De kræver dog streng overvågning, så de ikke bliver brugt som springbræt til andre systemer.

Hvordan sætter man én op?

Det behøver ikke at være kompliceret at komme i gang. Her er tre populære veje:

1. Cowrie (SSH/Telnet Honeypot)

Cowrie er en fantastisk medium-interaction honeypot, der logger brute-force angreb og interaktionen i skallen.

# Eksempel på installation via Docker
docker pull cowrie/cowrie
docker run -p 2222:2222 cowrie/cowrie

Angribere tror, de er logget ind på en rigtig server, mens alt de taster bliver logget centralt.

2. T-Pot (Alt-i-én løsning)

Hvis du har en dedikeret maskine, er T-Pot fra Deutsche Telekom guldstandarden. Det kører i Docker og indeholder over 20 forskellige honeypots (Honeytrap, Dionaea, Cowrie m.fl.) samt et flot dashboard i Kibana til visualisering af angrebene.

3. Canary Tokens

Den nemmeste måde at starte på er CanaryTokens. Det er ikke en fuld server, men “digitale krummer”. Du kan oprette en Word-fil, som sender dig en mail, hvis den bliver åbnet. Placer den på dit skrivebord med navnet Passwords_2024.docx – hvis du får en mail, ved du, at nogen snager i dine filer.

Konklusion

En honeypot er ikke en erstatning for antivirus eller firewalls, men det er det bedste værktøj til at opdage det, de andre misser. For virksomheder er det den billigste og mest præcise måde at få et “Early Warning” på, når muren er brudt.

Kilder

> Quiz: Test din viden

1. Hvad er en honeypot?

2. Hvad er kendetegnet ved Low-interaction honeypots?

3. Hvad kræver High-interaction honeypots sammenlignet med Low-interaction?

4. Hvad er enhver interaktion med en honeypot per definition?