Mobile Honigfallen für Handyhacker

Die Deutsche Telekom ist der erste Provider in Europa, der mobile Honeypots nutzt, um Angriffe auf iPhones und Android-Geräte zu analysieren. Honeypots sind Server, die vorgeben, ein gehacktes Handy zu sein. Sie simulieren ein iPhone mit einem Jailbreak und ein gerootetes Android-Handy. Der Name „Honeypot“ bezeichnet ursprünglich die Strategie, einen Bären mit einem Honigtopf vom eigentlichen Ziel, etwa einem Lebensmittellager, abzulenken. Auf Angreifer sollen die elektronischen Honigtöpfe so attraktiv wirken, dass sie eine Attacke starten. Ziel ist es, mehr über aktuelle Angriffsmethoden herauszufinden, gekaperte Angriffsserver unschädlich zu machen und Schadcode für Anti-Viren-Hersteller zu sammeln.

Beginn zielgerichter Angriffe auf Smartphones
Markus Schmall ist bei der Deutschen Telekom zuständig für die IT-Sicherheit und damit der Kopf hinter der Honeypot-Strategie. Aufgrund der beobachteten Attacken weiß er: „Generell erfolgen die Angriffe noch breit gestreut und nicht zielgerichtet.“

Ein erster gezielter Angriff wurde erstmals vergangenen Monat beobachtet: So versuchte ein Angreifer gezielt auf einem simulierten iPhone das Adressbuch sowie Fotos zu stehlen. Außerdem konnten die Telekom-Sicherheitsleute erfolgreiche Login-Versuche auf den iPhone-Honeypot beobachten sowie den Versuch, einen Botnetzcode nachzuladen. Für Schmall ist damit klar: „Offenbar erleben wir aktuell den Beginn zielgerichteter Angriffe auf Smartphones.“

Kein Unterschied zwischen Android und iOS
Die Telekom betreibt die mobilen Honeypots bereits seit November 2010. Seither konnte sie zwischen 250.000 und drei Millionen Angreifer auf den drei verschiedenen Honeypot-Installationen beobachten. Dabei schwanken die Angriffszahlen täglich stark. Einen Unterschied zwischen iOS und Android konnte sie bislang nicht feststellen – beide Betriebssysteme sind gleichermaßen betroffen.

Die mobilen Honeypots der Deutschen Telekom sind auf drei öffentlichen IP-Adressen installiert. Dabei handelt es sich technisch um drei verschiedene Honeypots: Zum einen gibt es einen Server für das iPhone-Betriebssystem iOS und Android mit dem SSH-Netzwerkprotokoll, das eine verschlüsselte Netzwerkverbindung herstellen kann. Außerdem gibt es Server mit Web-Applikationen sowie einen „normalen“ Honeypot, der einen Webserver simuliert und dafür etwa das http-Protokoll implementiert. Schmall: „Verschiedene Schadcodes ignorieren aber das Protokoll und schicken ihren Angriffscode, sobald auf TCP/IP-Ebene eine Verbindung besteht. Damit kann beispielsweise der Ausbruch von Würmern gut erkannt werden.“

Vereinzelte Angriffe auf Datenbank-Server
Insgesamt betreibt die Telekom 40 Honeypots, die nicht nur mobile Geräte, sondern auch Internet-Server simulieren. Seit Januar dieses Jahres simuliert die Telekom auch MySQL-Datenbanken. Dort konnte sie vereinzelte, schubweise Passwort-Angriffe beobachten. Schmall: „Wir konnten aber noch keinen lang anhaltenden oder erfolgreichen Angriff sehen, das heißt wir konnten noch keine Bewegungen auf dem Server beobachten.“

Je nach Honeypot werden zwischen 30.000 und 60.000 Angriffe auf einen Honeypot jeden Monat registriert. Die erfolgreichen Attacken werden analysiert. Hat der Angreifer einen Schadcode hinterlassen, wird dieser an Virustotal geliefert, einem Unternehmen, das den Code mit 30 verschiedenen aktuellen Anti-Viren-Analyseprogrammen prüft und den Anti-Viren-Herstellern dann einen bislang unbekannten Code zur Verfügung stellt. Seit Beginn der Installation ihrer Honeypots im März 2010 konnte die Telekom 11.300 Codes an Virustotal ausliefern.

Das Sicherheitsteam überprüft außerdem von welchen IP-Adressen aus die Angriffe durchgeführt werden, stellt aber keine Strafanzeigen. Schmall: „Bislang haben wir immer nur Mittler-Server gesehen, also Server, die von den Angreifern übernommen wurden. Wollten wir an die Hintermänner gelangen, müssten wir auf den Servern forensische Untersuchungen durchführen. Aber dazu haben wir kein Recht.“ Das Team informiert daher die Betroffenen, die die verseuchten Server dann aus dem Netz nehmen können.

Honeypots auf Open-Source-Basis
Die Honeypot-Technologie der Telekom basiert auf Open-Source-Technologien, etwa der Open-Source-Lösung Kippo, die Android-Geräte simulieren kann oder der Software Honeytrap, die allgemeine Angriffe auf mobile Netze erkennen kann. Die Telekom hat für die Honeypots auch eigene Softwarekomponenten entwickelt, die sie auch unter Open-Source-Lizenzen veröffentlicht. Die entwickelte Honeypot-Technik bietet der Telekomkonzern anderen Internet-Service-Providern und Telekommunikationsunternehmen kostenlos an.

Schmall sagt: „Wir teilen das Wissen gerne, weil wir gemeinsam dadurch für alle die Wissensbasis über Angriffe aus dem Netz vergrößern können.“ Er hofft, dass noch mehr Provider und Telekomfirmen in anderen Ländern mobile Honeypots installieren werden, denn „wir glauben, dass mit LTE der Mobilfunk immer wichtiger wird. Der primäre Anschluss wird bald nicht mehr im Festnetz sein.“ In Italien betreibt seit kurzem ein Telekommunikationsunternehmen ebenfalls mobile Honeypots, die auf dem Konzept der Telekom basieren. Die Honeypot-Technologie für Internet-Server haben in Deutschland und einigen osteuropäischen Ländern bereits mehrere Unternehmen installiert. Die Ergebnisse fließen in öffentliche Frühwarnberichte ein.