Infor­ma­ti­ons­ge­winnung im Deep Web

Erfolg­reiche Angriffe haben mehrere Dinge gemeinsam; eines davon ist, dass sich die Angreifer vorher gut ver­traut gemacht haben mit ihrem Ziel. Vom Web­auf­tritt bis hin zur Suche von Infor­ma­ti­ons­schnippseln in obskuren Ecken des Internets, keine Quelle bleibt unan­ge­tastet. Das gilt vor allem für gezielte Angriffe, also immer dann, wenn das eigene Unter­nehmen spe­ziell im Fokus des Angriffs steht, und es sich nicht um einen groß­flä­chigen Angriff z.B. auf eine neu bekannt gewordene Lücke handelt.

Diese Phase namens “Recon­nais­sance” — Auf­klärung — geht übli­cher­weise recht still über die Bühne. Wenn über das eigene Unter­nehmen Infor­ma­tionen bekannt sind, die auf einer unab­hän­gigen Web­seite von Dritten zur Ver­fügung gestellt werden, wie kann man dann schon wissen, wer diese ausnutzt?

Schließlich inter­agieren die Angreifer hier ja nicht mit den eigenen Servern. Sicht­barkeit ist also gleich null.

Genau des­wegen ist es wichtig, die Position der Angreifer ein­zu­nehmen und sich aus deren Sicht zu betrachten; dann sieht man die gleichen Lücken, Unre­gel­mä­ßig­keiten, viel­leicht Fehl­kon­fi­gu­ra­tionen, offenen Ports etc., die auch Andere ent­decken können, und kann handeln, bevor das geschieht.

In dem Zusam­menhang fallen häufig die Begriffe Deep Web und Darknet, und Varia­tionen davon wie “Deep Net” etc. Das “Deep Web” bezeichnet übli­cher­weise all die Infor­ma­ti­ons­quellen, die nicht von Such­ma­schinen wie Google oder Bing (oder anderen) indi­ziert werden. Das können Foren sein, deren Inhalte nur nach Login zu erreichen sind, oder Kataloge, die mit Schlüs­sel­worten beaus­kunftet werden können. Auch Web­seiten, die Such­ma­schinen nicht erlauben, ihre Seiten zu indi­zieren, oder Archive mit alten Ver­sionen von Web­auf­tritten und zuge­hö­rigen Infor­ma­tionen — die Liste ist lang.

Tat­sächlich können es durchaus auch Seiten sein, die zwar von Such­ma­schinen auf­ge­führt werden, aber eben viel­leicht erst auf Seite 71 — die Nadel im Nadel­haufen eben.

Ein Darknet hin­gegen ist ein Overlay-Netzwerk (ein über­ge­la­gertes Netzwerk) innerhalb des Internets, welches übli­cher­weise nur mit spe­zi­fi­scher Software, Kon­fi­gu­ration oder Auto­ri­sierung erreicht werden kann. Obwohl es mehr als ein Darknet gibt, wird der Begriff meistens für die Tor Onion Ser­vices verwendet.

Extra­hierte Infor­ma­tionen aus offen ver­füg­baren Quellen nennt man im eng­li­schen Sprach­ge­brauch OSINT — Open Source INTel­li­gence. Zahl­reiche Platt­formen und Web­dienste bieten Hilfe bei der Aus­wertung von Social Media, Sharing-Plat­t­­formen, Blogs, Foren, etc.

Spannend wird das Ganze dann, wenn man das eigene Unter­nehmen betrachtet und beur­teilen kann, ob ver­se­hentlich (oder wis­sentlich) ver­öf­fent­lichte Infor­ma­tionen mög­li­cher­weise zu einem Security Incident führen könnten oder eher nicht.

Die Suche im Darknet hin­gegen erweist sich immer als schwierig — was so ein bisschen in der Natur der Sache liegt. Wie soll man die Infor­ma­tionen eines Servers aus­werten, der unauf­findbar ist? Glück­li­cher­weise müssen auch hier die Per­sonen, die Geld mit Infor­ma­ti­ons­handel ver­dienen möchten, ein bisschen dafür werben. Geld ist schlecht ver­dient, wenn auch poten­tielle Kunden den Dienst nicht finden. So gibt es einige Foren und Markt­plätze, auf denen zum Bei­spiel Log­in­daten (Username, Passwort und der zuge­hörige Dienst) zum Kauf ange­boten werden, oder auch funk­tio­nie­rende Exploits gegen gängige oder spe­zia­li­sierte Software, welche zum Ein­dringen in Unter­neh­mens­netz­werke benutzt werden können.

In diesen meist von Kri­mi­nellen und Geheim­diensten fre­quen­tierten Foren gibt es ein inter­es­santes Hin­dernis: wenn man nur von schlechten Men­schen umgeben ist, wie soll man da noch irgend­jemand ver­trauen? Nur weil jemand behauptet, er zahlt 10000$ für ein Passwort, heißt das noch lange nichts; genauso wenig, wie wenn jemand anderes behauptet, er oder sie verfüge über so ein Passwort und würde das für schlappe 10000$ verkaufen.

Des­wegen gibt es in den ein­schlä­gigen Foren häufig ein Repu­ta­ti­ons­system, und Trans­ak­tionen werden auch bewertet. Gute Repu­tation macht es wahr­schein­licher, dass die Trans­aktion zustande kommt und die ange­bo­tenen Exploits auch funk­tio­nieren, bzw. dass auch gezahlt und nicht betrogen wird. “Ehre unter Dieben”, möchte man meinen, ist einer der wich­ti­geren Grund­pfeiler. Das macht es aber für die Per­sonen schwer, welche diese Foren fre­quen­tieren, um zu sehen, was über die eigene Firma gehandelt wird. Um solch eine gute Repu­tation zu bekommen, gibt es meist nur wenige Möglichkeiten:

a) man zahlt den Foren­be­treibern Geld

b) man ist lange genug (häufig ein Jahr oder länger) im Forum und beteiligt sich ab und an aktiv oder

c) man hat selbst Exploits geschrieben und ist dafür bekannt

An der Stelle ist es ziel­führend, sich pro­fes­sio­nelle Hilfe zu holen. Firmen, die nach etwaigen Risiken und Schlüs­sel­wörtern auch in diesen Ecken des Internets suchen können und die gewon­nenen Infor­ma­tionen zusam­men­ge­fasst für ihre Kunden zur Ver­fügung stellen. Perfekt, wenn diese Art Infor­ma­ti­ons­ge­winnung ein Bau­stein in einer wei­ter­ge­henden Cyber Risk-Plattform vor­handen ist.