Sanja Bonic und Janos Pasztor haben auf der Open-Source-Entwicklerkonferenz FOSDEM vorgestellt, wie mit ihrem Projekt ContainerSSH und dem Programm asciinema anschaulich die Aktivitäten angreifender Hacker auf einem Server gezeigt werden. Dazu erzeugt ContainerSSH bei Anmeldung eines SSH-Nutzers auf einem Server dynamisch Software-Container. Die Technik eignet sich besonders für Anwendungen im Webhosting-Bereich, in Lernumgebungen für praxisnahe Linuxkurse oder aber zur Erstellung eines Honypot.

Dabei handelt es sich um einen absichtlich verwundbaren Server, welcher Angreifer anlocken soll. Auf diesem Weg lassen sich neue Angriffstechniken untersuchen. Administratoren können laut eines Beispiels von Pasztor anhand eines Honeypot lernen, wogegen sie ihre echten Server verteidigen müssen. ContainerSSH bietet eigene Vorkehrungen, um Logs aus dem Container auf andere Systeme zu bringen. Die Software asciinema kann jedoch auch eingesetzt werden und Aufzeichungen der Aktivitäten eines Nutzers / Angreifers machen. Beispielsweise lassen sich Ein- und Ausgaben auf einer Kommandozeile aufzeichnen und in einem Text-Format speichern.

Pasztor hat mit seinem Projekt unter anderem herausgefunden, dass viele Angreifer nach Mobilfunkgeräten suchen, welche an Servern angeschlossen sind, um Warnungen zu verschicken - die Geräte werden dann zum Versenden von Spam-SMS ausgenutzt.

In den Folien des Vortrags auf der FOSDEM-Seite sind mehr Details zu den beiden Open-Source-Programmen zu finden.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE