Title (eng): Lure Box

Author: Malin, C. (Christoph)

Description (deu): Masterarbeit, Fachhochschule St. Pölten, Studiengang Information Security, 2017

Description (deu): Wir befinden uns in einer Zeit des raschen Wandels, in der durch die starke Vernetzung und zunehmende Digitalisierung neue Chancen und Gefahren entstehen. Schätzungen gehen davon aus, dass allein den Unternehmen in Deutschland durch digitale Wirtschaftsspionage jährlich ein Schaden von mehr als 50 Milliarden Euro entsteht. Eine frühestmögliche Erkennung eines Angriffs ist essenziell, damit entsprechende Gegenmaßnahmen getroffen und weitere Untersuchungen eingeleitet werden können. Seit Jahrhunderten werden Köder und Fallen eingesetzt, um AngreiferInnen zu erkennen bzw. mögliche SpionInnen zu enttarnen. Dieses Prinzip kann auch in der digitalen Welt mithilfe von sogenannten “Honeytokens” angewendet werden. Ein Honeytoken ist jegliche Art von Information, die als Köder irgendwo in der physischen oder in der digitalen Welt platziert wird. Die Falle besteht darin, dass jeder Zugriff oder Gebrauch des Honeytokens ohne Wissen der AngreiferInnen überwacht wird und dadurch sofort Alarm geschlagen werden kann. In der vorliegenden Arbeit wird die eigens entwickelte Lure Box vorgestellt. Diese ist eine auf kostenlos verfügbarer Software basierende virtuelle Maschine, in welcher alle notwendigen Komponenten vorhanden sind, um Logdaten von verschiedenen Systemen zu empfangen, zu verarbeiten, abzuspeichern und darzustellen. Zusätzlich zur Lure Box werden Möglichkeiten für den Einsatz von Honeytokens in einem Unternehmensnetzwerk beschrieben. Ein besonderer Fokus liegt dabei auf dem Einsatz im Zusammenhang mit Datenbanken. In einem umfassenden Szenario werden Honeytokens in vier verschiedenen Datenbanksystemen platziert und es wird gezeigt, wie diese konfiguriert werden müssen, um bei Zugriffen entsprechende Logdaten zu erzeugen. Die Logdaten werden dann auf die Lure Box übertragen. Diese stellt basierend auf den Logdaten fest, dass auf Honeytokens zugegriffen wurde und löst in weiterer Folge einen Alarm aus. Die Lure Box und der Einsatz von Honeytokens zeigen, dass die IT-Sicherheit in einem Unternehmen mit einfachen und doch sehr effektiven Mitteln erhöht werden kann.

Description (eng): We’re living in times of rapid changes in which new opportunities and threats occur due to the increasing digitalization. According to estimates, companies in Germany have a yearly loss of 50 billion dollars due to digital industrial espionage. Therefore, an early detection of an attack is essential to take action by counter-measures and further investigations. For centuries lures and traps have been used to detect attackers or to expose spies. With the help of Honeytokens this principle can also be used in the cyberspace. A Honeytoken is any kind of information which is placed as a lure in the physical or digital world. Any access to the Honeytoken is monitored and will raise a silent alarm. This paper will present the Lure Box which was developed as part of this thesis. The Lure Box is a virtual machine based upon open source software. The box contains all necessary components to receive, process, store and view log data. In addition to the Lure Box, possible applications for Honeytokens in a company network are described. A special focus was given to the usage within databases. As part of a big scenario, Honeytokens were placed in four different database systems which were configured to log every access to the tokens. The generated log data are transferred to the Lure Box. A program running on the box can be used to trigger an alarm when logs are received, which indicate an access to a Honeytoken. The Lure Box and the usage of Honeytokens shows that IT security of a company can be increased with the help of simple but effective tools.

Object languages: German

Date: 2017

Rights: © All rights reserved

Classification: Cyberattacke

Permanent Identifier