Søg

DK-CERT: Honningnet lokker hackerne til

IT-systemer, der udelukkende er oprettet for at lokke hackere til at angribe dem, har fået deres eget navn, honeynet. De afslører sikkerhedsproblemer, som IT-afdelingen ellers ville have svært ved at fange.

25. juli 2003 kl. 07.09

Af chefkonsulent Preben Andersen, UNI?C, leder af DK-CERT

I løbet af et halvt år opdagede forskere på Georgia Institute of Technology 16 computere på universitetets net, der var overtaget af orme eller hackere. Flere af dem ville sandsynligvis aldrig være blevet opdaget, hvis forskerne ikke havde oprettet et såkaldt "honeynet".

Et honeynet er en videreudvikling af en "honeypot". Den bygger på en velkendt, lavteknologisk løsning til skovture: For at undgå at sommerfrokosten i det grønne forstyrres af bier og hvepse, kan man placere en honningkrukke et stykke væk fra stedet, hvor man spiser.

Så afledes bæsternes opmærksomhed fra lækkerierne i madkurven. Krukken kan være udformet som en fælde, så insekterne ikke kan komme ud, når de først er kommet ind.

På samme måde byder en honeypot på lækkerier, der kan lokke hackere og orme til. En honeypot er en enkelt computer, der er sat op med det ene formål at tiltrække angreb. Den står passivt og lytter på nogle bestemte porte, mens den venter på at få uanmeldt besøg.

Et net af honningkrukker

Et honeynet bygger videre på ideen. Men her er der et helt netværk af computere, som hackeren er velkommen til at besøge og angribe.

De er placeret bag en omvendt firewall. At den er omvendt vil sige, at den tillader al trafik ind i nettet, mens den ikke lader hvad som helst forlade det. Det sikrer, at hackeren kan kommunikere med nettet, men at han ikke kan sætte dets computere til at angribe andre.

En gruppe forskere på Georgia Institute of Technology har analyseret et honeynet, som de drev i et halvt år. De konkluderer, at store netværk kan anvende honeynet til at afsløre sikkerhedsbrud, som de ellers ikke ville opdage. I løbet af de seks måneder fandt de således frem til 16 computere, der havde været udsat for sikkerhedsbrud.

Per definition er enhver datatrafik til honeynettet mistænkelig. Når forskerne kunne se, at der kom en stribe datapakker til bestemte porte på en eller flere af computerne på honeynettet, var det derfor værd at undersøge.

På den måde fandt de frem til pc'er på universitetets øvrige net, der var inficeret med orme. Ormene scannede efter nye computere, de kunne sprede sig til via Windows-fildeling.

Hacker med adgangskode

Den slags angreb kan også opdages med andre værktøjer. Derimod ville det have været svært for forskerne at opdage et andet angreb uden honeynettet.

De observerede en hacker, der kommunikerede med et system på honeynettet. Kontakten kom fra en anden computer på universitetets netværk.

IT-afdelingen undersøgte computeren, men fandt ingen tegn på indbrud på den. I stedet mente de, at hackeren havde fundet frem til brugerens adgangskode. Brugeren ændrede sit password, og den mistænkelige trafik forsvandt.

Afslørede kreditkortsvindel

Et andet honeynet blev i foråret benyttet af hackere, der via chat-teknologien IRC udvekslede information om stjålne kreditkortnumre.

Hackerne troede, at de havde fundet en åben proxy-server, som de kunne udnytte til at skjule, hvor deres kommunikation kom fra. Men serveren sad på et honeynet, hvor al kommunikation kunne overvåges.

Overvågningen viste, at hackerne rutinemæssigt udvekslede oplysninger om stjålne kreditkort. Der var ligefrem programmer på chat-stedet, der automatisk kunne udlevere et kreditkortnummer med tilhørende informationer om ejerens navn og kortets udløbsdato. Folkene bag nettet overgav efterfølgende de oplysninger, de havde opsamlet, til politiet.

Risikabel metode

Skønt et honeynet eller en honeypot kan være nyttig, er teknologien ikke uden risici. Idet man stiller ressourcer til rådighed for hackere, skal man gøre meget for at sikre, at ressourcerne ikke kan blive overtaget fuldstændig og udnyttet.

Desuden kræver det arbejdskraft at holde styr på et honeynet. Formålet med nettet er at indsamle viden om angreb. Men det tager tid at gennemgå og analysere de store mængder data i logfiler, som systemet genererer.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med tendenser inden for IT-sikkerhed.

Relevante links:
"The Use of Honeynets to Detect Exploited Systems Across Large Enterprise Networks", rapport fra Georgia Institute of Technology (PDF)

"Know Your Enemy - A Profile", rapport om kreditkortsvindel via IRC fra The Honeynet Project (PDF)

Beskrivelse af honeypots

Honeynet-projektet

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Sikkerhed | Aarhus C

    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

    Se alle vores events inden for it

    Netcompany A/S

    Linux Operations Engineer

    Københavnsområdet

    TD SYNNEX Denmark ApS

    Business Development Manager Nordics - Circular IT Services

    Uspecificeret arbejdssted

    Erhvervsstyrelsen

    Stærk forretningsanalytiker til Produktenheden Eksterne Systemer

    Københavnsområdet

    KMD A/S

    Product Owner

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. september 2025 ansat Søren Vindfelt Røn som Data & AI Consultant. Han skal især beskæftige sig med at effektivisere, planlægge og implementere innovative, digitale løsninger for Norriqs kunder. Han kommer fra en stilling som Co-founder & CMO hos DrinkSaver. Han er uddannet Masters of science på Københavns IT-Universitet. Nyt job

    Søren Vindfelt Røn

    Norriq Danmark A/S

    Netip A/S har pr. 1. november 2025 ansat Christian Homann som Projektleder ved netIP's kontor i Thisted. Han kommer fra en stilling som Digitaliseringschef hos EUC Nordvest. Han er uddannet med en Cand.it og har en del års erfaring med projektledelse. Nyt job

    Christian Homann

    Netip A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Katrine Køpke Rasmussen som Consultant. Hun skal især beskæftige sig med sikre vækst i NORRIQS kunders forretninger gennem hendes skarpe rapporteringer. Nyt job

    Katrine Køpke Rasmussen

    Norriq Danmark A/S

    Netip A/S har pr. 15. september 2025 ansat Peter Holst Ring Madsen som Systemkonsulent ved netIP's kontor i Holstebro. Han kommer fra en stilling som Team Lead hos Thise Mejeri. Nyt job

    Peter Holst Ring Madsen

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Hackerangreb rammer dansk a-kasse med 86.000 medlemmer: Cpr-numre og personlige oplysninger i fare for misbrug
    2 En af Danmarks første store it-iværksættere er død: Byggede stor computerfabrik i Ballerup og leverede teknologi til F16-fly
    3 Netcompany og NNIT vinder kæmpeopgaver: Skal løse centrale it-opgaver i staten for op mod 365 millioner kroner
    4 Vil du have fuldt udbytte af AI, så skal du lære dette nye begreb
    5 Dansk pensionskæmpe køber op i hemmelighedsfuld it-komet fra Aalborg
    6 Apple får stor bøde på grund af særlig privacy-feature på iPhone
    7 Flygiganten Airbus vil flytte sin kritiske it-systemer til en suveræn europæisk cloud: På vej med stort udbud
    8 Google køber energiselskab for 30 milliarder kroner

    Se seneste uge