Søg

DK-CERT: Honningnet lokker hackerne til

IT-systemer, der udelukkende er oprettet for at lokke hackere til at angribe dem, har fået deres eget navn, honeynet. De afslører sikkerhedsproblemer, som IT-afdelingen ellers ville have svært ved at fange.

25. juli 2003 kl. 07.09

Af chefkonsulent Preben Andersen, UNI?C, leder af DK-CERT

I løbet af et halvt år opdagede forskere på Georgia Institute of Technology 16 computere på universitetets net, der var overtaget af orme eller hackere. Flere af dem ville sandsynligvis aldrig være blevet opdaget, hvis forskerne ikke havde oprettet et såkaldt "honeynet".

Et honeynet er en videreudvikling af en "honeypot". Den bygger på en velkendt, lavteknologisk løsning til skovture: For at undgå at sommerfrokosten i det grønne forstyrres af bier og hvepse, kan man placere en honningkrukke et stykke væk fra stedet, hvor man spiser.

Så afledes bæsternes opmærksomhed fra lækkerierne i madkurven. Krukken kan være udformet som en fælde, så insekterne ikke kan komme ud, når de først er kommet ind.

På samme måde byder en honeypot på lækkerier, der kan lokke hackere og orme til. En honeypot er en enkelt computer, der er sat op med det ene formål at tiltrække angreb. Den står passivt og lytter på nogle bestemte porte, mens den venter på at få uanmeldt besøg.

Et net af honningkrukker

Et honeynet bygger videre på ideen. Men her er der et helt netværk af computere, som hackeren er velkommen til at besøge og angribe.

De er placeret bag en omvendt firewall. At den er omvendt vil sige, at den tillader al trafik ind i nettet, mens den ikke lader hvad som helst forlade det. Det sikrer, at hackeren kan kommunikere med nettet, men at han ikke kan sætte dets computere til at angribe andre.

En gruppe forskere på Georgia Institute of Technology har analyseret et honeynet, som de drev i et halvt år. De konkluderer, at store netværk kan anvende honeynet til at afsløre sikkerhedsbrud, som de ellers ikke ville opdage. I løbet af de seks måneder fandt de således frem til 16 computere, der havde været udsat for sikkerhedsbrud.

Per definition er enhver datatrafik til honeynettet mistænkelig. Når forskerne kunne se, at der kom en stribe datapakker til bestemte porte på en eller flere af computerne på honeynettet, var det derfor værd at undersøge.

På den måde fandt de frem til pc'er på universitetets øvrige net, der var inficeret med orme. Ormene scannede efter nye computere, de kunne sprede sig til via Windows-fildeling.

Hacker med adgangskode

Den slags angreb kan også opdages med andre værktøjer. Derimod ville det have været svært for forskerne at opdage et andet angreb uden honeynettet.

De observerede en hacker, der kommunikerede med et system på honeynettet. Kontakten kom fra en anden computer på universitetets netværk.

IT-afdelingen undersøgte computeren, men fandt ingen tegn på indbrud på den. I stedet mente de, at hackeren havde fundet frem til brugerens adgangskode. Brugeren ændrede sit password, og den mistænkelige trafik forsvandt.

Afslørede kreditkortsvindel

Et andet honeynet blev i foråret benyttet af hackere, der via chat-teknologien IRC udvekslede information om stjålne kreditkortnumre.

Hackerne troede, at de havde fundet en åben proxy-server, som de kunne udnytte til at skjule, hvor deres kommunikation kom fra. Men serveren sad på et honeynet, hvor al kommunikation kunne overvåges.

Overvågningen viste, at hackerne rutinemæssigt udvekslede oplysninger om stjålne kreditkort. Der var ligefrem programmer på chat-stedet, der automatisk kunne udlevere et kreditkortnummer med tilhørende informationer om ejerens navn og kortets udløbsdato. Folkene bag nettet overgav efterfølgende de oplysninger, de havde opsamlet, til politiet.

Risikabel metode

Skønt et honeynet eller en honeypot kan være nyttig, er teknologien ikke uden risici. Idet man stiller ressourcer til rådighed for hackere, skal man gøre meget for at sikre, at ressourcerne ikke kan blive overtaget fuldstændig og udnyttet.

Desuden kræver det arbejdskraft at holde styr på et honeynet. Formålet med nettet er at indsamle viden om angreb. Men det tager tid at gennemgå og analysere de store mængder data i logfiler, som systemet genererer.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med tendenser inden for IT-sikkerhed.

Relevante links:
"The Use of Honeynets to Detect Exploited Systems Across Large Enterprise Networks", rapport fra Georgia Institute of Technology (PDF)

"Know Your Enemy - A Profile", rapport om kreditkortsvindel via IRC fra The Honeynet Project (PDF)

Beskrivelse af honeypots

Honeynet-projektet

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Platform X 2026: Forretning, teknologi og transformation

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    Årets CIO 2026

    Andre events | Kongens Lyngby

    Årets CIO 2026

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    Se alle vores events inden for it

    TV2

    Integrationsarkitekt – vil du skabe sammenhængen i vores digitale økosystem?

    Fyn

    Forsvarets Efterretningstjeneste

    Telekommunikationsingeniør til Afdeling for Elektronisk Indhentning

    Københavnsområdet

    Statens IT

    Servicemindede og løsningsorienterede it-supportere til Statens It

    Midtjylland

    Capgemini Danmark A/S

    Open Application (Denmark)

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Immeo har pr. 9. marts 2026 ansat Henrik Søndergaard Andersen som Lead UX Specialist. Han kommer fra en stilling som UX Strategist og Platformsansvarlig hos Dansk Industri. Han er uddannet i Digital Design og Kommunikation fra IT Universitetet. Nyt job

    Henrik Søndergaard Andersen

    Immeo

    Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

    Jonas Kyhnau

    Pentos

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Thorborg dropper omstridt AI-funktion: "Jeg skal ikke nyde noget af, at de kommer på besøg igen"
    2 Sådan får du din egen AI-maskine til rimelige penge
    3 Nørgaard: Først gik Nets ned, så gik EU i stå, og nu må hobbyavlere ikke engang lave vin i fred
    4 AI-topchefer var på vej til Det Hvide Hus, men efter telefonsamtaler med Musk og Zuckerberg skiftede Trump pludselig holdning
    5 Finanstilsynet kræver svar fra Nets: Nedbrud for anden gang på blot ti måneder
    6 Efter endnu et kæmpe Nets-nedbrud: Resiliens er noget vi har i Danmark - så længe alting virker
    7 Myndighed stopper AI-satsning fra Thorborg: Dinero trækker AI-assistent tilbage
    8 Salget af Lenovo-pc'er eksploderer: Kunder køber ind med arme og ben af frygt for stigende priser

    Se seneste uge