Canarytoken

Aus IT-Forensik Wiki

Canarytoken können unter anderem auf der Website canarytokens.org erstellt und unter der GNUv3 General Public License kostenfrei genutzt werden.

Canarytoken funktionieren vom Prinzip her wie web bugs, mit denen das Öffnen einer E-Mail mittels einer transparent eingebetteten unique URL getracked werden kann. Im Unterschied dazu können Canarytoken in unterschiedliche Objekte eingebettet werden, wie z.B. URLs, DNS, E-Mail-Adressen, Web-Images, MS Word-Dateien, Adobe Acrobat PDF-Dateien, Windows-Ordner und andere. Eine vollständige Liste findet sich auf der Website canarytokens.org.

Wird ein Canarytoken, z.B. durch den Download eines Web-Images oder das Öffnen eines Windows-Ordners getriggert, wird ein Alert erzeugt. Für die Verarbeitung des Alerts kann beim Generieren eines Tokens neben einer URL auch eine E-Mail-Adresse angegeben werden, die als Empfänger für den Alert verwendet wird. Zudem kann für jedes Token ein Kommentarfeld ausgefüllt werden, so dass die unterschiedlichen Token (in der Regel wird eine ganze Menge von ihnen für unterschiedlichste Objekte verwendet) im Falle eines Alerts den Objekten eindeutig zugeordnet werden können.

Der Alert enthält die IP-Adresse des pot. Angreifers, über den das Token ausgelöst worden ist, so dass nun also nachvollzogen werden kann, auf welche Objekte von welcher IP-Adresse aus zugegriffen worden ist. Im Gegensatz zu Honeypots meldet sich beim Einsatz von Canarytoken der Angreifer quasi selbst.