Wie Hacker Informationen im Internet finden

fingerprint

Überblick

  1. Was ist Open Source Intelligence
  2. Wer verwendet Open Source Intelligence noch ?
  3. Offene vs. geschlossene Informationen
  4. Gefahren von OSINT
  5. Welche Informationen sind interessant ?
  6. Anonymität und digitale Fußabdrücke (Footprints)
  7. Open Source Intelligence Schritte
  8. Passive Informationsbeschaffung
  9. Open Source Intelligence TOOLS
  10. Ausblick

Bevor ein Angriff auf ein Zielsystem stattfinden kann, bereiten sich Hacker gründlich vor. Normalerweise sammeln sie in der ersten Phase eines Angriffs soviele Informationen wie nur möglich über das Ziel. Die Phase genannt Reconnaissance (Auskundschaften des Ziels) , ist für den Hacker mit eine der wichtigsten Phasen im gesamten Angriffsverlauf. Techniken die dabei verwendet werden nutzen häufig auch bekannte Geheimdienste.

Was ist Open Source Intelligence (OSINT)

Open Source Intelligence (OSINT) ist eine Begriff der Nachrichtendienste, bei dem versucht wird soviel detaillierte Informationen wie nur möglich aus verfügbaren offenen Quellen zu gewinnen. Die gesammelten Daten werden dann analysiert, um neue Erkenntnisse aus den Informationen zu gewinnen.

Es werden sozusagen, alle offenen Quellen im Internet dazu verwendet um ein detailliertes Bild des Zielsystem zu gewinnen.

Um OSINT durchzuführen, können Massenmedien wie Zeitschriften, Zeitungen, Radio, Fernsehen, Internet und Web-basierte Anwendungen verwendet werden.

Wer verwendet Open Source Intelligence noch ?

Das kann unterschiedlich sein. Nicht nur Hacker oder Nachrichtendienste nutzen OSINT Techniken. Auch in der Wirtschaft kommt OSINT häufig zum Einsatz. Es kann zur Wirtschaftsspionage eingesetzt werden um z.B. detaillierte Produktrecherche zu betreiben, Kontaktinformationen über Geschäftspartner und Mitarbeiter herauszufinden. Es kann aber auch von Detektiven eingesetzt werden, um einzelne Personen und Informationen ausfindig zu machen.

Offene vs. geschlossene Informationen

Es gibt verschiedene Informationsquellen die zur Durchsuche verfügbar sein können. Dabei wird zwischen geschlossenen und offenen Quellen unterschieden.

OffenGeschlossen
Google Search EngineInterne Kundendatenbank eines Unternehmens
ForenFinanzielle Daten und Informationen
Social MediaGeistiges Eigentum
Web ContentJahresberichte / Quartalsberichte
Akademische Zeitschriften Dokumente aus dem Riskmanagement
File Sharing SeitenMitarbeiter Informationen
KursseitenCRM's

Die im Internet verfügbaren Informationen werden auf verschiedenen wegen publiziert. Erlaubt oder unerlaubt. Wichtig ist, dass nicht alle Informationen frei verfügbar sind oder sein sollten.

Das Informationen offen zugänglich sind, bedeutet also nicht immer das sie kostenlos oder frei sind. Manchmal trifft man auf der Informationssuche auf sensible Informationen die geleakt – also Informationen die unerlaubt veröffentlicht wurden. Das kann passieren, wenn z.B. die Datenbank eines Unternehmens von Hackern (Black Hat’s) attackiert, private Daten von den Hackern entwendet und im Internet unerlaubt veröffentlicht wurden. Diese Informationen herunterzuladen und zu nutzen kann gefährlich werden.

Eine alternative physische Quelle für die Informationsbeschaffung sind z.B. Mülleimer oder Papier Container von Unternehmen. So lustig das vielleicht klingt, wenn nachlässig mit der Entsorgung geheimer Dokumente umgegangen wird und die Container bzw. der Zugang zu diesen nicht abgesperrt ist, finden sich vielleicht alte Festplatten oder nützliche Informationen im Container.

Gefahren von OSINT

  • Wie schon oben erwähnt können Informationen auch auf illegalem Weg ins Internet gelangt sein. Da solche Informationen kritische und sensible Informationen enthalten, wird der Download vielleicht von Organisationen getracked. Wer sich bei der Suche nicht durch entsprechende Maßnahmen wie vorgeschalteten Proxy-Server oder VPN schützt fliegt schnell beim Download auf.
  • Nicht alle Informationen müssen immer der Wahrheit entsprechen und könnten absichtlich verfälscht worden sein. Zahlen könnten z.B. geändert oder manipuliert sein und entsprechen nicht mehr dem Original.
  • Downloads könnten außerdem absichtlich platzierte Malware wie Trojaner enthalten um mehr über den Download interessierten zu erfahren.

Welche Informationen sind interessant ?

Unternehmen

  • Gesamte Adresse, Eigentümer Informationen, Steuerinformationen, Informationen über Sicherheitsmechanismen (Kameras, Sensoren, Zäune, Kontrollposten, Eingangskontrollen usw)
  • Standorte, Eingänge z.B. Liefereingang, geographische Standorte, Zeitzonen, Rufnummern
  • IP Blöcke, Host Systeme und Netzwerke, DNS Listings aller zugehörigen Systeme, WHOIS Daten, Mail Infrastruktur
  • Beziehungen und Zulieferer, welche Vermittlungsdienstleistungen werden in Anspruch genommen, Geschäftspartner, Kunden, Provider, Konkurrenz, Produkt Linie, Informationen über Meetings (öffentliche und geschlossene)
  • Job Ausschreibungen

Dokumente

  • Meta-Daten eines Dokumentes wie Name des Authors, Erstellungszeitpunkt (Datum und Uhrzeit), verwendete Dokumenten Standards, Typographie, Quellangaben zu verwendete Druckern oder Verzeichnissen, Geotagging

Es gibt noch wesentlich mehr Informationen, die für einen Angreifer interessant sind. Auch über Privatpersonen kann man eine Menge Informationen herausfinden. Deshalb ist es so wichtig seine privaten Informationen zu schützen.

Personen

  • Politische Spenden
  • Lizenzen oder bestimmte Mitgliedschaften
  • Soziale Netzwerk Accounts
  • Internet Präsenzen
  • Wohnort
  • Telefonnummern
  • Benutzernamen oder verwendete Nicknames

Anonymität und digitale Fußabdrücke (Footprints)

Oft hinterlassen wir im Internet unsere digitalen Fußabdrücke. Dabei fallen Informationen über uns an z.B. Interessen, Webseiten Besuche und Foren Einträge. Man kann mit diesen Informationen ein Profil zu einer Person und seinen Interessen erstellen. Eine Rückverfolgung ist dann nicht mehr so schwierig.

Aber auch detaillierte technische Informationen werden durch das Surfen im Internet preisgegeben.

  • Cookies Einstellungen
  • Sprache des Browsers
  • System Eigenschaften

All dies gibt dem Webseiten Betreiber schoneinmal einen ersten Einblick welche Art von Person an den Informationen auf der Webseite Interessiert ist. Nicht nur Privatanwender auch Unternehmen hinterlassen ihre Spuren. Wie Informationen bei Stellenausschreibungen über im Unternehmen eingesetzte Software, welche Kommunikationskanäle verwendet werden (Social Media, Linkedin oder Xing) und weitere technische Informationen zur Webseite ggf. Schnittstellen, HTML Quelltexte, Kommentare und Web-Applikationen.

Schau auch diesen Artikel für mehr über die Anonymität von Hackern

Open Source Intelligence Schritte

OSINT kann in mehrere Schritte eingeteilt werden die durchzuführen sind.

  1. Daten Erwerben
  2. Extrahieren der Daten
  3. Analyse der Daten
  4. Finden von weiteren Informationen

Daten müssen also zuerst gefunden werden. Dafür kann man verschiedene Tools und Techniken verwenden, um die Quellen im Internet ausfindig zu machen. Eine der häufig zuerst verwendeten Quellen ist z.B. die Google Suchmachine aber auch Facebook, Twitter, Wiki’s, Pastebins und Online Job Portale. Eher unethisch sind Quellen wie Doxing oder andere Leaks. Die Informationen stammen meistens aus gehackten Datenbanken.

Das Extrahieren der Daten um nur die relevanten Informationen aus der Informationsflut zu erhalten. Die Informationen könnten aber auch durcheinander oder unkenntlich vorliegen. Z.b. müssen die Daten erst in einer Tabelle oder CSV Datei bearbeitet werden bevor sie überhaupt nutzbar sind. Erst dann können Erkenntnisse daraus abgeleitet werden. Manchmal sind Datensätze auch “verunreinigt” mit uninteressanten informationen.

Der besondere Teil der Arbeit ist die Analyse der Daten, da hier Schlüsse, Zusammenhänge und Muster erkannt werden. Außerdem wird das Wissen mit zuvor erlangten Erkenntnissen kombiniert, sodass neue Fragen auftauchen und Schlüsse gezogen werden können.

Das weitere finden und eingrenzen von Informationen auf Basis der neuen Erkenntnisse ist wichtig, denn nur so kann man sich Vorwärtsarbeiten.

Passive Informationsbeschaffung

Bei der Passiven Informationsbeschaffung versucht der Hacker ohne direkten Kontakt Informationen über sein Zielsystem herauszufinden.

Was bedeutet direkter Kontakt ?. Angenommen es geht dabei um ein Unternehmen, wenn der Hacker sich die Webseite des Unternehmens anschaut. Muss er sich mit dem Webserver verbinden. Es entsteht also ein direkter Kommunikationsaustausch im Hintergrund. Das Unternehmen hat dann die IP-Adresse des Hackers und könnte versuchen den Hacker zu enttarnen.

Der Hacker versucht dies zu vermeiden, denn er möchte ja bei der Informationssuche so Anonym wie möglich bleiben und fragt deshalb zuerst alle öffentlichen Quellen ab.

Google Search Syntax

Die Google Suche unterstützt ein sehr mächtiges Werkzeug, welches die Recherche mit verschiedene Filterfunktionen ermöglicht. Ist man nach etwas bestimmten auf der Suche kann das eine Menge Zeit einsparen. Denn wer möchte die vollständigen Google Suchergebnisse nacheinander Seite für Seite nacheinander durchgehen.

Allgemein bekannt ist also, dass über die Google Suche verschiedene Arten von Content (Inhalte) im Internet durchsucht werden können. Außer Web-Seiten können zusätzlich Message Groups wie das USENET, Bilder, Videos usw. durchsucht werden.

Um eine genauere Suche durchzuführen kann man sogenannte Suchabfragen (Searchqueries) bauen. Es gibt verschiedene Such Operatoren die man miteinander kombinieren kann.

OperatorBedeutungBeispiel
site:Suche nur auf einer WebseiteHaus site:www.example.de
intitle:Suche im Titel der Webseiteintitle:haus
filetype:Suche nach bestimmten Dateien mit der Dateierweiterungfiletype:pdf
inurl:Suche in der URLinurl:haus

Hier findest du einen Blog Artikel mit allen Google Such Operatoren im Einsatz und getestet.

Auf der Webseite Packet Storm gibt es eine Google Hacking Datenbank mit mehreren vorgefertigten Abfragen. Die Abfragen nützen einem Hacker um bestimmte Geräte und genaue details über das Ziel zu finden.

AdminLogin-GoogleAbfrage

Eine Abfrage wie diese z.B. findet die Login-Pages von PHP Seiten. Hierfür wird der “inurl:” Operator verwendet um Elemente in der URL zu durchsuchen. Es lässt sich eine ganze Menge mit der Hilfe von Google bewerkstelligen. Google kann auch als Proxy-Server funktionieren. Wenn man in der URL den Google-Übersetzungsserver nutzt.

https://translate.google.com/translate?hl=de&sl=en&u=<hier Webseite>

Man wird dann auf eine Übersetzte Kopie der Webseite weitergeleitet. Das kannst du ruhig ausprobieren und einfach deine beliebige Webseite im Feld <hier Webseite> eintragen.

Es ist auch die Suche nach ungeschützten und im Internet offen streamenden Webcams möglich.

livecamera-GoogleAbfrage

Die Google Suche bietet also viele Möglichkeiten genau die Informationen zu finden wonach man sucht. Viele Informationen werden leichtsinnig veröffentlicht oder nicht richtig geschützt. Diese können mit Google gefunden werden. Informationen wie:

  • Servernamen
  • IP-Adressen
  • E-Mail Adressen
  • Telefonnummern
  • Interne Arbeitsprozesse
  • Passwörter und Benutzernamen
  • Namen von Mitarbeitern
  • eingesetzte Ressourcen
  • Geographische Daten (Google Earth/Maps)

Für mehr Google Hacks möchte ich dir das Buch Google Hacking von Johnny Long empfehlen. Es ist schon etwas älter aber die Tricks funktionieren mit ein paar abänderungen noch immer sehr gut. Es gibt aber auch genügend andere Bücher auf dem Gebiet und ganz viele kostenlose Informationen über die Google Syntax im Allgemeinen.

GoogleHacking-JohnnyLong

Passive Informationsbeschaffung Webseiten

Wayback Machine

Die Webseite https://archive.org/ ist ein Internet Archiv, welches eine digitale Sammlung von Webseiten seit 1996 enthält. Das bedeutet Wayback speichert Versionen von Webseiten welche durchsucht werden können. Wayback enthält nach Angaben:

  • 330 billion web pages
  • 20 million books and texts
  • 4.5 million audio recordings (including 180,000 live concerts)
  • 4 million videos (including 1.6 million Television News programs)
  • 3 million images
  • 200,000 software programs

und ist sehr nützlich wenn man Webseiten recherchieren möchte und dabei auch ältere Webseiten Versionen durchsuchen möchte. Auf einer älteren Version der Webseite standen vielleicht einmal wichtige Informationen, welche entfernt wurden.

Google-Webseite1998

Die Google Version am 11.11.1998

Who Is Informationsabfrage

Mehr Informationen über eine Webseite erhält man, wenn man die bei der Domain Name Registry’s hinterlegte Informationen zur Webseite abgefragt.

Whois-Abfrage
Beispiel für eine WHOS Ausgabe auf Linux

Es gibt zuständige Registrare für:

  • Nordamerika (ARIN)
  • Europa Osten und Zentralasien (RIPE)
  • Asien und den Pazifikraum (APNIC)
  • Lateinamerika (LACNIC)
  • Afrika (AfriNIC)

Die Registrare führen Registrierungen von Internet Domains durch. Man kann diese auch direkt nach IP-Adress Informationen abfragen.

Auf der Webseite http://whois.domaintools.com kann man z.B. Domaininformationen abfragen wie:

IP-Adresse, IP-Location, Name Servers usw.

Domain Name Server Informationen (DNS)

Um Domain Namen in IP-Adressen zu übersetzten (Namensauflösung) gibt es das DNS-System. Das System ist eine verteilte hierarchische Struktur und nimmt Anfragen entgegen oder leitet diese ggf. weiter. Das DNS-System ist kompliziert und sollte nochmals mit Ruhe studiert werden. Zum DNS System gehören sogenannte Nameserver.

Wikipedia-DNS
Auflösung für Wikipedia

Nameserver sind Server die die Namensauflösung anbieten. Nameserver können mehrere Hostnamen und IP-Adressen in Zonenfiles verwalten. Man kann durch Abfrage eines Nameservers z.B. mehr über die im Zusammenhang stehenden Server wie Mailserver erfahren. Tools hierfür sind z.B. unter nslookup oder DNS-Lookup Tools im allgemeinen.

Geographische Lage

Google Maps

Google-Maps

Google Maps oder Earth sind ausgezeichnete Informationsquellen um zu recherchieren wo genau etwas liegt. Man kann sich auch die geografischen Positionsdaten (GPS) anzeigen lassen. Das kann sehr nützlich sein, wenn man Bilder von einem Ort besitzt und die Geotagging funktion in der Kamera eingeschaltet war.

Geotagging liefert zu fotografischen Aufnahmen geographische Daten. Die Daten werden meistens aus den Metadaten von Fotos extrahiert.

Eine eingeschaltete Geotagging Funktion im Smartphone

Ein interessanter Blog ist bell¿ngcat (Bellingcat) Bellingcat hat sich darauf spezialisiert Nachrichten durch Open-Source Intelligence zu überprüfen. Bellingcat verwendet dafür öffentlich verfügbare Bilder, Twitter Tweets und hochgeladene Youtube Videos, diese werden mit GPS Daten und verschiedenen weiteren Informationsquellen kombiniert und die Ergebnisse auf der Webseite veröffentlicht. Man erkennt sehr schnell wie mächtig OSINT ist.

Open Source Intelligence TOOLS

Ich möchte dir hier kurz einige der eingesetzten Tools in OSINT Vorstellen. Es gibt natürlich wesentlich mehr Tools da draußen.

Tineye

Tineye-Suche
Tineye Suchmaske das Bild wurde 1383 mal gefunden

ine Suchmachine für Reverse Image Search. Mit der Suchmachine kann man z.B. die Echtheit von Bildern überprüfen. Die Suchmachine findet Webseiten welche das gleiche Bild verwenden.

Httrack

HTTrack-Banner
HTTrack Banner Kali Linux

Mit dem Programm HTTrack (Webscrapper können ganze Webseiten kopiert werden und lokal abgespeichert werden. Auf der lokalen Kopie der Webseite kann dann später in Ruhe Recherche betrieben werden. Das ist nützlich wenn man sich nicht ständig mit der Webseite verbinden möchte. Solche Programme werden auch oft mit der Programmiersprache Python verbunden um automatische und regelmäßige Downloads von Zielwebseiten durchzuführen. Es können dann automatisiert vergleiche und Analysen auf dem Contentt durchgeführt werden. Das wird auch Web-Harvesting oder Web-Scraping genannt.

FOCA (GUI-based)

FOCA-Software
Foca Tool zum Auslesen von Metadaten

Mit dem FOCA Tool kann man Metadaten aus Dokumenten lesen.

metagoofil

Auch Metagoofil ist nützlich um Metadaten aus Dokumenten zu extrahieren. Metagoofil basiert auf Python und ist ein Kali Tool. Es können Dateiformate wie pdf, doc, xls, ppt, docx, pptx, xlsx überprüft werden.

exiftool

Mit ExifTool können die Metadaten von Bildern, Audio und Videodateien ausgelesen, beschrieben und bearbeitet werden. Das Tool ist Plattformunabhängig und basiert auf der Programmiersprache Perl.

creepy

Auch dieses Tool wurde in Python geschrieben und dient dazu Geodaten aus Bildern die in Sozialen Nezwerken veröffentlicht wurden zu extrahieren. Die Daten können dann auf einer Karte dargestellt werden.

Maltego

Maltego ist ein sehr mächtiges Programm, welches häufig für Open-Source Intelligence und Forensische Unternehmungen eingesetzt wird. Es lohnt sich auf jedenfall sich das Tool einmal anzuschauen. Die Informationen werden visuell in einem Graphen dargestellt. Maltego unterstützt auch verschiedene Analyse Funktionen wie link Analyse und das Data Mining. Alles in Allem ein sehr kompaktes Tool.

Ausblick

Noch mächtiger wird OSINT, wenn man die Tools mit einer Programmiersprache kombiniert. Am besten in der Programmiersprache Python. Denn für Python gibt es im Bereich Webcrawling eine ganze Menge Unterstützung. Die Programmiersprache ist garnicht so schwer es gibt viele Einstiegskurse.

Ein guter Einstiegspunkt in das Thema OSINT kann man mit dem Buch Open Source Intelligence Techniques von Michael Bazzell erhalten

OSINT-Buch

Allerdings aktuell in englischer Fassung. Es gibt im Internet aber auch ganz viele kostenlose Informationen. Penetrationtest Guides (Pentest Standard) und OWASP enthalten oft einige Kapitel zu OSINT.