Lurer kjeltringer med jukseservere

I ti år har Honeynet satt opp falske servere for å lære seg sin fiende å kjenne.

Publisert Sist oppdatert

Året er 1999. «Honeynet» etableres, og setter ut servere på internett. Serverne ser ut som vanlig servere i produksjon, men er det ikke. De er bare en ip på nettet. Målet med serverne er å overvåke og analysere hvordan hackere jobber.

- Før jeg drev med it, var jeg stridsvognsoffiser i militæret. Der lærte vi at man må kjenne sin fiende. Da jeg senere startet å jobbe med it-sikkerhet, ønsket jeg å lære meg fienden å kjenne, sier Lance Spitzner, grunnlegger av Honeynet.

Men det fantes ingen informasjon. Derfor skapte Spitzner Honeynet.

- Hvordan kan du beskytte deg mot en trussel hvis du ikke vet hvem fienden er, og hvordan de angriper?

Eneste i gamle dager

Nå er Honeynet verdensomspennende. Et ukjent antall servere, såkalte «Honeypots», står rundt om for å fange opp mistenkelig aktivitet, deriblant i Norge. Det er rundt 100 aktive personer som jobber frivillig i rundt 30 avdelinger rundt om i verden.

- Det er en organisasjon basert på frivillighet og åpen kildekode, dedikert til å lære mer om nettrusler. I gamle dager var vi den eneste organisasjonen som drev med samling og publisering av informasjon om nettrusler, sier Spitzner.

«Honningkrukkene» er åpne servere, som ikke er produksjonsservere. De er ikke på noen måte annonsert, har intet domenenavn. De er bare en boks med en ip. Sjur Usken fra Honeynet i Norge forklarer mer:

- De står og etterligner ekte servere, men det går ikke normal trafikk der. Foran er det en «Honeywall» som tar opp trafikk fra serverne, og som kan begrense trafikk ut, sier han.

Årsaken til at det er begrenset trafikk ut, er i tilfelle en av honningkrukkene skulle bli infisert av ondsinnet kode. Slik kan den ikke spres videre.

- All trafikk som går til serverne er mistenkelig siden ingen vet om dem. Folk lures ikke inn på noen måte. Det blir ikke publisert informasjon om serverne, og blir ikke lagt ut lenker til dem. De er bare en ip på internett, sier Usken.

Nettet skannes konstant

Honeynet lagrer hva som foregår via keyloggere og annen programvare som overvåker serverne. I på slutten av 90-tallet og starten av 2000-tallet var det mest «manuell» hacking, men nå er angrepsformen automatisert.

- Skurkene skanner hele tiden internett for å finne systemer å prøve seg på. Nå for tiden er det mest automatiserte angrep via ondsinnet programvare, sier Spitzner.

Det er alle salgs ulike typer operativsystemer og programvare på serverne for å fange opp ulike trusler. Blant annet har en tysk Honeynet-gruppe funnet ut mye verdifull informasjon om Conficker.

Honeyney ble mer kjent etter 9/11, les mer på neste side!