OSINT
24.01.2019, 09:39 Uhr
So werden öffentliche Daten zur Hacker-Waffe
Hacker benutzen öffentlich zugängliche Informationen, sogenannte OSINT, um Firmen gezielter angreifen zu können. Ein Pentester des Schweizer IT-Security-Spezialisten InfoGuard hat im Rahmen einer Informationsveranstaltung gezeigt, wie das geht.
Lukas Reiter, Pentester bei InfoGuard, präsentiert am Innovation Day der Firma wie Hacker OSINT-Quellen für ihre Angriffe nutzen
(Quelle: Jens Stark / NMGZ)
Sollen Unternehmen angegriffen werden, bedienen sich Hacker nicht nur technischer Methoden. Vor allem im Vorfeld sammeln sie auch fleissig Informationen über ihre Opfer. Dabei greifen sie auch auf öffentliche und frei zugängliche Quellen zu. Die Vorgehensweise wird Open Source Intelligence (OSINT) genannt und stammt aus der Welt der Nachrichtendienste.
Wie Hacker – oder eben auch Penentration Tester von IT-Security-Firmen, die Sicherheitsschwachstellen in Firmen aufspüren und in Übungen auch ausnützen sollen – sich dieser OSINT-Methoden bedienen, hat Lukas Reiter, Senior Cyber Security Consultant und Penetration Tester beim Baarer IT-Sicherheitsspezialisten InfoGuard, im Rahmen des hauseigenen Innovation Day aufgezeigt. Wie er ausführte, ist die vorherige Informationsbeschaffung für diverse Arten der simulierten Attacke notwendig. Diese kann rein virtuell passieren, indem ins Firmennetz eingedrungen wird, rein sozial, indem man Mitarbeiter dazu bewegt, für einen beim Angriff behilflich zu sein, oder sogar physisch, indem der Pentester vor Ort auftaucht und so Social Engineering betreibt. «Diese Angriffswege werden meist kombiniert», berichtet Reiter.
In der Folge präsentierte der White Hat von InfoGuard, wie man mit Hilfe von OSINT auf jeder der dargestellten Angriffsebenen wichtige Infos erhalten kann. Eine erste und unumgängliche Quelle ist dabei die Unternehmens-Webseite selbst sowie Internetdienste wie Kanunu oder Watchado, bei denen Firmen und Angestellte sich vorstellen oder Meinungen zu Unternehmen preisgegeben werden. «Mit diesen Quellen erfährt man viel über die Unternehmenskultur, ist sie beispielsweise mehr hierarchisch oder eher freundschaftlich und kollegial», so Reiter.
Auch die Kleidung, Umgangsformen und verwendetes Vokabular sowie Infos zu den Partnerfirmen und Lieferanten lassen sich so ermitteln. «Das ist zum Beispiel dann wichtig, wenn man beschliesst, über einen physischen Social-Engineering-Angriff in eine Firma einzudringen», berichtet er weiter. Schliesslich wolle man dann so wenig wie möglich auffallen.