Sanja Bonic und Janos Pasztor haben auf der Open-Source-Entwicklerkonferenz
FOSDEM vorgestellt, wie mit ihrem Projekt ContainerSSH
und dem Programm asciinema
anschaulich die Aktivitäten angreifender Hacker auf einem Server
gezeigt werden. Dazu erzeugt ContainerSSH bei Anmeldung eines SSH-Nutzers
auf einem Server dynamisch Software-Container. Die Technik eignet
sich besonders für Anwendungen im Webhosting-Bereich, in Lernumgebungen
für praxisnahe Linuxkurse oder aber zur Erstellung eines Honypot.
Dabei handelt es sich um einen absichtlich verwundbaren Server,
welcher Angreifer anlocken soll. Auf diesem Weg lassen sich neue
Angriffstechniken untersuchen. Administratoren können laut
eines Beispiels von Pasztor anhand eines Honeypot lernen, wogegen
sie ihre echten Server verteidigen müssen. ContainerSSH bietet
eigene Vorkehrungen, um Logs aus dem Container auf andere Systeme
zu bringen. Die Software asciinema kann jedoch auch eingesetzt werden
und Aufzeichungen der Aktivitäten eines Nutzers / Angreifers
machen. Beispielsweise lassen sich Ein- und Ausgaben auf einer Kommandozeile
aufzeichnen und in einem Text-Format speichern.
Pasztor hat mit seinem Projekt unter anderem herausgefunden, dass
viele Angreifer nach Mobilfunkgeräten suchen, welche an Servern
angeschlossen sind, um Warnungen zu verschicken - die Geräte
werden dann zum Versenden von Spam-SMS ausgenutzt.
In den Folien
des Vortrags auf der FOSDEM-Seite sind mehr Details zu den beiden
Open-Source-Programmen zu finden.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|