Open Source Intelligence: Informationsbörse für Hacker und Verteidiger
Quelle: Eset

Open Source Intelligence: Informationsbörse für Hacker und Verteidiger

Hacker verblüffen bei ihren Angriffen mit technischer Raffinesse. Doch auch sie müssen sich vorbereiten, oft über öffentlich zugängliche Informationen, um Schwachstellen ihrer Opfer zu identifizieren. Diese OSINT-Daten können allerdings auch Verteidiger nützen.

Artikel erschienen in Swiss IT Magazine 2021/09

     

Viele Hackergruppen besitzen heute nahezu unbegrenzte finanzielle und personelle Ressourcen, um Grossangriffe selbst gegen Regierungen, das Militär und Konzerne erfolgreich durchführen zu können. Dies zeigen aktuelle Vorfälle weltweit. Bevor jedoch die technischen Waffen zum Einsatz kommen, müssen die Opfer umfassend ausspioniert werden. Das ist in der Cyberkriminalität nicht anders als bei kriegerischen Auseinandersetzungen oder bei einem Banküberfall.

Was liegt also näher, als die grösste Informationsquelle der Welt zu diesem Zweck anzuzapfen: das Internet. Von frei zugänglichen Massenmedien über Social Media bis hin zu offenen Quellen für fast jedes beliebige Thema steht ein unbegrenzter und täglich wachsender Fundus zur Verfügung. Hacker müssen sich quasi nur bedienen: Das Sammeln, Analysieren und Verknüpfen von Daten aus öffentlich zugängigen Quellen liefert als Ergebnis ein perfektes Lagebild für die geplanten Operationen. Dieses Vorgehen wird allgemein als Open Source Intelligence (OSINT) bezeichnet.


Der Clou an dieser Art Schwarmintelligenz ist, dass sowohl Hacker auf der einen als auch Security-Spezialisten auf der anderen Seite dieselben Tools und Informationsquellen nutzen können. Dies wäre in etwa vergleichbar mit einem Kaufhaus, in dem Gangster und Polizisten ihr Equipment kaufen würden. Da sich aber deren Ziele und auch die rechtlichen Rahmenbedingungen unterscheiden, basiert der Erfolg von OSINT auf der geschickten Verknüpfung von Werkzeugen und Informationen.

Der Ursprung von OSINT

Der Begriff OSINT stammt ursprünglich aus dem militärischen Bereich. Er bezog sich auf die Bemühungen von Militär und Geheimdiensten, strategisch wichtige, aber öffentlich verfügbare Informationen in Fragen der nationalen Sicherheit zu sammeln. Während sich die Spionagebemühungen der Nachkriegszeit vor allem auf bestimmte Wege der Informationsbeschaffung konzentrierten, stehen bei OSINT die Informationsquellen im Vordergrund. Mit dem Aufkommen des Internets, der sozialen Medien und der digitalen Dienstleistungen steht jetzt eine riesige Ressource für OSINT-Akteure zur Verfügung, um Informationen über jeden Teil der IT-Infrastruktur eines Unternehmens sowie über seine Mitarbeiter zu sammeln.

Beliebte OSINT-Tools

Es gibt eine lange Liste von interessanten Tools, mit denen sowohl Angreifer als auch Verteidiger sensible Daten zu Tage fördern. Während Kriminelle eher Informationen für Phishing- und Ransomware-­Attacken oder Denial-of-Service-Angriffe suchen, versuchen IT-Teams Schwachstellen in ihrer IT oder öffentliche, sensible Daten zu identifizieren – und damit das eigene Security-Level zu erhöhen.

- Shodan ist ein sehr beliebter Dienst zum Aufspüren von IoT-Geräten, OT-Systemen, offenen Ports und ­Fehlern.


- Maltego wurde entwickelt, um versteckte Beziehungen zwischen Personen, Domänen, Unternehmen, Dokumentenbesitzern und anderen Entitäten zu erkennen und über eine intuitive Benutzeroberfläche zu visualisieren.

- Metagoofil extrahiert Metadaten aus öffentlich zugänglichen Dokumenten, um Benutzern nützliche Informationen zu IT-Systemen (Verzeichnisbäume, Server-Namen usw.) bereitzustellen.

- theHarvester zählt zu den einfachsten, aber oft genutzten OSINT-Tools. Damit lassen sich interne Informationen in externen Quellen lokalisieren. theHarvester nutzt dazu nicht nur Google und Bing, sondern auch weniger populäre Suchmaschinen wie DNSDumpster oder die Metadaten-Suchmaschine Exalead.

- Google Dorking: Dies ist kein Tool als solches, sondern eine Technik zur fortgeschrittenen Verwendung von Suchmaschinen, um bestimmte Informationen zu finden. Durch die Erstellung spezifischer Abfragen können Einzelpersonen Zugriff auf Server, Webseiten und Informationen erhalten, die Administratoren ansonsten für privat halten. Es wird auch als Google-Hacking bezeichnet.

Ist OSINT legal?

Diese Frage stellt sich eigentlich nur für seriöse Unternehmen, die mit OSINT ihre eigene Security-Abwehr stärken möchten. Bei OSINT geht es darum, öffentlich zugängliche Informationen zu finden. In dieser Hinsicht ist es in den meisten westlichen Ländern absolut legal. Beachtet werden müssen allerdings die Vorgaben des Datenschutzrechts. Wo Daten passwortgeschützt oder auf andere Weise privat sind, kann die Suche für OSINT-Teams Folgen haben. Das Auslesen der Informationen von Social-Media-Netzwerken verstösst ebenfalls gegen die Nutzungsbedingungen der meisten dieser Plattformen. Pentesting-Teams definieren normalerweise im Vorfeld, was bei ihren Angriffsversuchen erlaubt und verboten ist, bevor sie ihre Arbeit beginnen.


Cybercrime-Gruppen, die etwa Advanced Persistent Threats einsetzen, kümmern sich um die Frage der Legalität gar nicht. Für sie sind Informationsquellen nur Mittel zum Zweck. Daher schrecken sie auch nicht davor zurück, Zugangskontrollen zu knacken und illegal in fremde Systeme einzudringen. Die Wahrscheinlichkeit, dabei erwischt und bestraft zu werden, geht leider gegen null, da die Polizei letztlich zu wenig Handhabe und die lokale Justiz im Ausland selten Zugriff hat.

Erster Anlaufpunkt: OSINT Framework

OSINT Framework sammelt kostenfreie Tools und Quellen, mit denen das Suchen von Informationen im Internet vereinfacht wird. Einige davon erfordern eine Registrierung oder bieten in der Bezahlversion bessere Features an.

Über ein Web-basiertes Interface gelangt man zu den unterschiedlichsten Themen und deren Ressourcen. Von Threat Intelligence über die Analyse schädlicher Dateien bis zur Personen­suche im Internet und in Social Media: Die meisten Tools sind nur einen Klick entfernt.

OSINT.Link: Heimat der Suchmaschinen

Wer quellenunabhängig das Internet durchforsten möchte, sollte einen Blick auf OSINT.Link werfen. Auf dieser Webseite ist eine Vielzahl von Spezial-Suchmaschinen für unterschiedlichste Bedürfnisse aufgelistet. So gibt es Crawler für Dateiensuche, Exploit-Finder, Data Leak Websites oder auch für das Dark Web. Insbesondere für das Thema Internetsicherheit bietet OSINT.Link eine Vielzahl an produktiven Suchmaschinen – sowohl für Hacker als auch für IT-Security-Profis.

So nutzen Angreifer OSINT

Die Kehrseite der Medaille ist, dass alle öffentlich verfügbaren Informationen von Angreifern genutzt werden können. Die grosse Kunst besteht für Cyberkriminelle also darin, geeignete Datenquellen zu finden, diese mit adäquaten Tools anzuzapfen und das Ganze in ein Angriffskonzept zu überführen. Moderne Informations- und Kommunikationstechniken übernehmen die meisten Aufgaben vollautomatisiert. Das spart Zeit und Geld – und hinterlässt keine Spuren.

Beispiel Spear-Phishing

Das Durchsuchen von sozialen Medien nach persönlichen und beruflichen Informationen über Unternehmensmitarbeiter lässt sich prima automatisieren. Anhand der gelieferten Daten können dann Spear-­Phishing-Ziele identifiziert und angegriffen werden. Oftmals handelt es sich dabei um Personen, die wahrscheinlich über privilegierte Nutzerkonten verfügen. Für diesen Zweck sind Plattformen wie Linkedin oder Xing eine grossartige Ressource für diese Art von OSINT. Doch auch andere soziale Netzwerke können interessante Details verraten, wie beispielsweise Geburtsdaten und die Namen von Kindern und Haustieren, die zum Erraten von Passwörtern verwendet werden können.

Beispiel Sicherheitslücken

Das Scannen nach ungepatchten Geräten, offenen Ports und falsch konfigurierten Cloud-Datenspeichern ist dank der Leistungsfähigkeit von Cloud Computing relativ kostengünstig und einfach. Wenn Angreifer wissen, wonach sie suchen müssen, können sie auch Websites wie Github nach Anmeldeinformationen und anderen versehentlich veröffentlichten Informationen durchsuchen. Manchmal sind Passwörter und Verschlüsselungsschlüssel in den Code eingebettet. So wurde beispielsweise das Unternehmen Uber durch ein Leak bei Github gehackt.

Wie Sicherheitsteams OSINT nutzen können

Je grösser Unternehmensnetzwerke werden, desto schwieriger wird es für Administratoren, den Überblick zu behalten. Denn es sind nicht nur die PCs, Server und mobilen Geräte, die den Sicherheitsfachleuten Sorgen bereiten. Auch die externe Kommunikation im Gesamten mit den vielen Möglichkeiten birgt per se Sicherheitslücken in sich. Darüber hinaus gelangen Informationen aus dem Unternehmen ins Internet – immer mehr auch durch Social Media –, obwohl sie dort einfach nicht hingehören. Für Pentester und Sicherheitsteams geht es bei OSINT darum, öffentlich verfügbare Informationen zu internen Ressourcen sowie relevante Informationen ausserhalb der Organisation zu finden. Manchmal finden sich sensible Informationen in Metadaten, die versehentlich von der Organisation veröffentlicht wurden. Nützliche Informationen zu IT-Systemen könnten sein:

- offene Ports und unsichere vernetzte Geräte,
- ungepatchte Software,
- Informationen zu eingesetzten Geräten und Software, wie Softwareversionen, Gerätenamen, Netzwerke und IP-­Adressen,
- durchgesickerte Informationen wie proprietärer Code auf Pastebin oder Github.


Ausserhalb des Unternehmens können Websites und insbesondere soziale Medien eine reichhaltige Fundgrube an Informationen bieten – insbesondere über Mitarbeitende. Auch Lieferanten und Partner geben möglicherweise zu viele Details über ihre IT-Umgebung weiter, die besser geheim gehalten werden sollten. Dann gibt es noch die riesige Menge von nicht indizierten Websites und Dateien, die man als Deep Web bezeichnet. Obwohl die Webseiten normalerweise nicht in Suchergebnissen auftauchen, sind sie dennoch technisch öffentlich zugänglich und somit Freiwild für OSINT.

Chief Information Security Officer (CISO), die OSINT als Teil ihres Cyber-­Risikomanagements einsetzen möchten, sollten daher mit einer klaren Strategie beginnen und folgende Fragen beantworten:

- Möchten Sie Netzwerk- und Software-Schwachstellen erkennen?

- Möchten Sie öffentlich zugängige Assets identifizieren, mit deren Inhalte Hacker entsprechende Angriffsvektoren auswählen können?

- Möchten Sie herausfinden, ob eventuelle Risiken durch Mitarbeiter-Postings in sozialen Medien bestehen?

Daraus lassen sich dann die entsprechenden Tools und Techniken auswählen, die zum Erfassen und Verwalten dieser Daten verwendet werden sollen. Aufgrund der anfallenden Datenmengen zählt ein maximal hoher Automatisierungsgrad zur Basisvorbereitung. In der Praxis haben sich dazu regelmässige Penetrationstests und Red-Team-Übungen bewährt, bei denen auch OSINT-Informationen eingesetzt wer­den, um Schwachstellen auszumachen.

Quellen austrocknen

Neben technischen Abwehrmassnahmen wie Virenschutz, Firewall oder Sandboxing und der IT-Schulung sollte auch OSINT in eine professionelle Security-­Architektur eingebettet werden. Mit einer gut durchdachten OSINT-Strategie können Firmen ihrem Risikomanagement eine weitere Sicherheitsebene hinzufügen. OSINT-Tools können Netzwerkbetreiber dabei unterstützen, öffentlich zugängliche Informationen über ihre Netzwerke, Daten und Nutzer zu identifizieren. Dabei kommt es vor allem darauf an, diese Daten möglichst schnell zu finden, bevor sie von Cyberkriminellen ausgenutzt werden können. Denn eines ist klar: Hacker gehen nach wie vor den Weg des geringsten Widerstands. Je mehr Arbeit sie für ihre Machenschaften verrichten müssen, desto unattraktiver werden die Angriffe. Mit OSINT trocknen IT-Sicherheitsverantwortliche eine wichtige öffentliche Quelle für die Vorbereitungen von Cyberkriminellen aus.

Der Autor

Michael Klatte arbeitet seit 2008 als PR-Manager und IT-Journalist für Eset Deutschland. Er ist verantwortlich für die externe Kommunikation und das Content Management im DACH-Raum. Bevor er sich Eset anschloss, arbeitete Michael Klatte als freiberuflicher IT-Journalist sowie als PR-Manager und Pressesprecher für unterschiedliche IT-Unternehmen und Hersteller von Antiviren-Software.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER